Oktatóanyag: Helyszíni SQL Server elérése a Data Factory által felügyelt virtuális hálózatról privát végpont használatával
Ez az oktatóanyag lépéseket tartalmaz az Azure Portal használatával a Private Link Service beállításához, valamint a helyszíni SQL Serverhez való hozzáféréshez egy felügyelt virtuális hálózatról egy privát végpont használatával. Felügyelt virtuális hálózat használata biztosítja, hogy a helyszíni SQL-forrás felé és onnan érkező forgalom mind a saját privát végpontján haladjon át, ezáltal biztosítva a nyilvános felhőnek való kitettséget egy további biztonsági és elkülönítési réteggel. Az alábbi szükséges erőforrások szükségesek a forgatókönyv támogatásához.
Feljegyzés
A cikkben bemutatott megoldás az SQL Server kapcsolatát ismerteti, de hasonló megközelítéssel csatlakozhat és lekérdezhet más, az Azure Data Factoryben támogatott helyszíni összekötőket .
Előfeltételek
- Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
- Virtuális hálózat. Ha nem rendelkezik virtuális hálózatokkal, hozzon létre egyet a következő virtuális hálózat létrehozása után.
- Virtuális hálózat helyszíni hálózatra. Hozzon létre kapcsolatot a virtuális hálózat és a helyszíni hálózat között az ExpressRoute vagy a VPN használatával. Ha inkább felhőalapú virtuális gépet szeretne használni egy magánhálózaton, ezt is megteheti. Csak hozzon létre egy virtuális hálózatot a felhőbeli virtuális gépekhez és egy privát kapcsolatot a virtuális hálózathoz , és úgy érheti el őket, mintha helyszíni gépek lennének a magánhálózatban, még akkor is, ha azok a felhőben vannak üzemeltetve.
- Data Factory engedélyezett felügyelt virtuális hálózattal. Ha nem rendelkezik Data Factoryvel, vagy a felügyelt virtuális hálózat nincs engedélyezve, hozzon létre egyet a Következő Data Factory létrehozása felügyelt virtuális hálózattal.
Alhálózatok létrehozása erőforrásokhoz
A portál használatával alhálózatokat hozhat létre a virtuális hálózaton.
| Alhálózat | Leírás |
|---|---|
| be-alhálózat | háttérkiszolgálók alhálózata |
| fe-alhálózat | a standard belső terheléselosztó alhálózata |
| pls-alhálózat | a Private Link Service alhálózata |
Standard terheléselosztó létrehozása
A portál használatával hozzon létre egy szabványos belső terheléselosztót.
A képernyő bal felső részén válassza az Erőforrás-hálózatkezelési >> terheléselosztó létrehozása lehetőséget.
A Terheléselosztó létrehozása lap Alapjailapján adja meg vagy válassza ki a következő információkat:
Beállítás Érték Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza ki az erőforráscsoportot. Név Adja meg a myLoadBalancer parancsot. Régió Válassza az USA keleti régiója lehetőséget. Típus Válassza a Belső lehetőséget. Termékváltozat Válassza a Standard lehetőséget. Virtuális hálózat Válassza ki a virtuális hálózatot. Alhálózat Válassza ki az előző lépésben létrehozott fe-alhálózatot . IP-cím hozzárendelése Válassza a Dinamikus lehetőséget. A rendelkezésre állási zóna Válassza a Zónaredundáns lehetőséget. Fogadja el a fennmaradó beállítások alapértelmezett beállításait, majd válassza a Véleményezés + létrehozás lehetőséget.
A Véleményezés + létrehozás lapon válassza a Létrehozás lehetőséget.
Terheléselosztó erőforrásainak létrehozása
Háttérkészlet létrehozása
A háttércímkészlet a terheléselosztóhoz csatlakoztatott virtuális hálózati adapterek IP-címeit tartalmazza.
Hozza létre a myBackendPool háttércímkészletet, hogy virtuális gépeket is tartalmazzon az internetes forgalom terheléselosztásához.
- Válassza a bal oldali menü Minden szolgáltatás elemét, válassza az Összes erőforrás lehetőséget, majd válassza a myLoadBalancer lehetőséget az erőforrások listájából.
- A Gépház területen válassza a Háttérkészletek, majd a Hozzáadás lehetőséget.
- A Háttérkészlet hozzáadása lapon írja be a myBackendPool nevet a háttérkészlet neveként, majd válassza a Hozzáadás lehetőséget.
Állapotminta létrehozása
A terheléselosztó állapotmintával figyeli az alkalmazás állapotát.
Az állapotadat-mintavétel virtuális gépeket ad hozzá vagy távolít el a terheléselosztóból az állapotellenőrzésekre adott válaszuk alapján.
Hozzon létre egy myHealthProbe nevű állapotmintát a virtuális gépek állapotának felügyeletéhez.
Válassza a bal oldali menü Minden szolgáltatás elemét, válassza az Összes erőforrás lehetőséget, majd válassza a myLoadBalancer lehetőséget az erőforrások listájából.
A Gépház területen válassza az Állapotadat-mintavételek, majd a Hozzáadás lehetőséget.
Beállítás Érték Név Adja meg a myHealthProbe parancsot. Protokoll Válassza a TCP lehetőséget. Kikötő Adja meg a 22-et. Intervallum Adjon meg 15 értéket a mintavételi kísérletek közötti másodpercekben megadott intervallumok számához. Nem kifogástalan állapot küszöbértéke Válassza a 2 lehetőséget a nem kifogástalan küszöbérték vagy az egymást követő mintavételi hibák számához, amelyeknek a virtuális gép nem megfelelő állapotúnak minősülése előtt kell történnie. Hagyja meg a többi alapértelmezett értéket, és válassza az OK gombot.
Terheléselosztási szabály létrehozása
A terheléselosztási szabállyal azt lehet megadni, hogy a rendszer hogyan ossza el a forgalmat a virtuális gépek között. Megadhatja a bejövő forgalom előtérbeli IP-konfigurációját és a háttérBELI IP-készletet a forgalom fogadásához. A forrás- és célport a szabályban van definiálva.
Ebben a szakaszban egy terheléselosztó-szabályt fog létrehozni:
Válassza a bal oldali menü Minden szolgáltatás elemét, válassza az Összes erőforrás lehetőséget, majd válassza a myLoadBalancer lehetőséget az erőforrások listájából.
A Gépház területen válassza a Terheléselosztási szabályok, majd a Hozzáadás lehetőséget.
Az alábbi értékekkel konfigurálhatja a terheléselosztási szabályt:
Beállítás Érték Név Írja be a myRule-t. IP-verzió Válassza az IPv4 lehetőséget. Előtérbeli IP-cím Válassza a LoadBalancerFrontEnd lehetőséget. Protokoll Válassza a TCP lehetőséget. Kikötő Adja meg az 1433-at. Háttérport Adja meg az 1433-at. Háttérkészlet Válassza a myBackendPool lehetőséget. Állapotteszt Válassza a myHealthProbe lehetőséget. Üresjárat időkorlátja (perc) Húzza a csúszkát 15 percre. TCP-visszaállítás Válassza a Letiltva lehetőséget. Hagyja meg a többi alapértelmezett beállítást, majd kattintson az OK gombra.
Privát kapcsolati szolgáltatás létrehozása
Ebben a szakaszban egy Private Link szolgáltatást fog létrehozni egy standard terheléselosztó mögött.
Az Azure Portal bal felső részén válassza az Erőforrás létrehozása lehetőséget.
Keressen rá a Privát hivatkozásra a Keresés a Marketplace-en mezőben.
Válassza a Létrehozás lehetőséget.
A Private Link Center Áttekintés területén válassza a kék Privát kapcsolat szolgáltatás létrehozása gombot.
A Privát kapcsolat létrehozása szolgáltatás létrehozása alatt az Alapismeretek lapon adja meg vagy válassza ki a következő információkat:
Beállítás Érték Projekt részletei Előfizetés Válassza ki előfizetését. Erőforráscsoport Válassza ki az erőforráscsoportot. Példány részletei Név Adja meg a myPrivateLinkService értéket. Régió Válassza az USA keleti régiója lehetőséget. Válassza a Kimenő beállítások lapot, vagy válassza a Tovább: Kimenő beállítások lehetőséget a lap alján.
A Kimenő beállítások lapon adja meg vagy válassza ki a következő adatokat:
Beállítás Érték Terheléselosztóval Válassza a myLoadBalancer lehetőséget. Terheléselosztó előtérbeli IP-címe Válassza a LoadBalancerFrontEnd lehetőséget. Forrás NAT-alhálózat Válassza ki a pls-alhálózatot. TCP-proxy V2 engedélyezése Hagyja meg a Nem alapértelmezett értékét. Privát IP-cím beállításai Hagyja meg az alapértelmezett beállításokat. Válassza az Access biztonsági lapját, vagy válassza a Tovább: Hozzáférés biztonsága a lap alján.
A szerepköralapú hozzáférés-vezérlés alapértelmezett beállítását csak az Access biztonsági lapján hagyja meg.
Válassza a Címkék lapot, vagy válassza a Tovább: Címkék lehetőséget a lap alján.
Válassza a Véleményezés + létrehozás lapot, vagy válassza a Tovább: Véleményezés + létrehozás a lap alján lehetőséget.
Válassza a Létrehozás lehetőséget a Véleményezés + létrehozás lapon.
Háttérkiszolgálók létrehozása
A portál bal felső részén válassza az Erőforrás > számítási > virtuális gép létrehozása lehetőséget.
A Virtuális gép létrehozása lapon írja be vagy válassza ki az alapértékeket :
Beállítás Érték Projekt részletei Előfizetés Válassza ki az Azure-előfizetését. Erőforráscsoport Válassza ki az erőforráscsoportot. Példány részletei Virtuális gép neve Adja meg a myVM1 értéket. Régió Válassza az USA keleti régiója lehetőséget. Rendelkezésre állási beállítások Válassza ki a rendelkezésre állási zónákat. A rendelkezésre állási zóna Válassza az 1 lehetőséget. Kép Válassza az Ubuntu Server 22.04 LTS lehetőséget. Azure Spot-példány Válassza a Nem lehetőséget. Méret Válassza ki a virtuális gép méretét, vagy állítsa be az alapértelmezett beállítást. Rendszergazda istrator-fiók Felhasználónév Adjon meg egy felhasználónevet. Nyilvános SSH-kulcs forrása Új kulcspár létrehozása. Kulcspár neve mySSHKey. Bejövő portszabályok Nyilvános bejövő portok Egyik sem Válassza a Hálózatkezelés lapot, vagy válassza a Tovább: Lemezek, majd a Tovább: Hálózatkezelés lehetőséget.
A Hálózatkezelés lapon válassza ki vagy írja be a következőt:
Beállítás Érték Hálózati adapter Virtuális hálózat Válassza ki a virtuális hálózatot. Alhálózat alhálózat. Nyilvános IP-cím Válassza a Nincs lehetőséget. Hálózati hálózati biztonsági csoport Válassza a Nincs lehetőséget. Terheléselosztás Helyezze ezt a virtuális gépet egy meglévő terheléselosztási megoldás mögé? Válassza az Igen lehetőséget. Terheléselosztási beállítások Terheléselosztási beállítások Válassza ki az Azure-terheléselosztást. Terheléselosztó kiválasztása Válassza a myLoadBalancer lehetőséget. Háttérkészlet kiválasztása Válassza a myBackendPool lehetőséget. Válassza az Áttekintés + létrehozás lehetőséget.
Tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget.
Megismételheti az 1–6. lépést, hogy több mint 1 háttérkiszolgálói virtuális gép legyen a HA-hoz.
Továbbítási szabály létrehozása végpontra
Jelentkezzen be és másolja a szkriptet ip_fwd.sh a háttérkiszolgáló virtuális gépeibe.
Futtassa a szkriptet a következő beállításokkal:
sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433Állítsa be a helyőrzőt
<FQDN/IP>a cél SQL Server IP-címeként.Feljegyzés
Az FQDN nem működik a helyszíni SQL Serveren, hacsak nem ad hozzá egy rekordot az Azure DNS-zónában.
Futtassa a következő parancsot, és ellenőrizze a háttérkiszolgáló virtuális gépei iptable-jait. A cél IP-címmel rendelkező iptable-jaiban egy rekord látható.
sudo iptables -t nat -v -L PREROUTING -n --line-number**
Feljegyzés
Ha több SQL Server-kiszolgálóval vagy adatforrással rendelkezik, több terheléselosztó-szabályt és IP-táblarekordot kell definiálnia különböző portokkal. Ellenkező esetben ütközés lesz. Például:
Port a terheléselosztó szabályában Háttérport a terheléselosztási szabályban Parancs futtatása a háttérkiszolgáló virtuális gépén SQL Server 1 1433 1433 sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433 SQL Server 2 1434 1434 sudo ./ip_fwd.sh -i eth0 -f 1434 -a <FQDN/IP> -b 1433 Feljegyzés
Fontos tisztában lenni azzal, hogy a virtuális gépen (virtuális gépen) belüli konfiguráció nem állandó. Ez azt jelenti, hogy a virtuális gép minden újraindításakor újrakonfigurálásra lesz szükség.
Privát végpont létrehozása privát kapcsolati szolgáltatáshoz
Válassza a bal oldali menü Minden szolgáltatás elemét, válassza a Minden erőforrás lehetőséget, majd válassza ki az adat-előállítót az erőforrások listájából.
A Data Factory felhasználói felületének külön lapon történő elindításához válassza a Létrehozás és figyelés csempét.
Lépjen a Kezelés lapra, majd a Felügyelt privát végpontok szakaszra.
Válassza az + Új lehetőséget a felügyelt privát végpontok alatt.
Válassza ki a Privát kapcsolat szolgáltatás csempét a listából, és válassza a Folytatás lehetőséget.
Adja meg a privát végpont nevét, és válassza a myPrivateLinkService lehetőséget a privát kapcsolat szolgáltatáslistában.
Adja hozzá a
<FQDN>célhely helyszíni SQL Serverét.
Feljegyzés
Amikor az SQL Servert virtuális hálózaton belüli virtuális gépen helyezi üzembe, elengedhetetlen a teljes tartománynév javítása a privatelink hozzáfűzésével. Ellenkező esetben a rendszer ütközik a DNS-beállítás többi rekordjával. Például egyszerűen módosíthatja az SQL Server teljes tartománynevét sqlserver.westus.cloudapp.azure.net-ról sqlserver.privatelink.westus.cloudapp.azure.net.
Hozzon létre privát végpontot.
Társított szolgáltatás létrehozása és a kapcsolat tesztelése
Lépjen a Kezelés lapra, majd a Csatolt szolgáltatások szakaszra.
Válassza az + Új lehetőséget a Társított szolgáltatás alatt.
Válassza ki az SQL Server csempét a listából, és válassza a Folytatás lehetőséget.
Interaktív szerzői műveletek engedélyezése.
Adja meg a helyszíni SQL Server teljes tartománynevét , a felhasználónevet és a jelszót.
Ezután kattintson a Kapcsolat tesztelése elemre.
Feljegyzés
Ha több SQL Serverrel rendelkezik, és több terheléselosztó-szabályt és IP-táblarekordot kell definiálnia különböző portokkal, a csatolt szolgáltatás szerkesztésekor explicit módon adja hozzá a portnevet az FQDN után. A NAT virtuális gép kezeli a portfordítást. Ha nincs explicit módon megadva, a kapcsolat mindig időtúllépést fog végrehajtani.
Hibaelhárítás
Lépjen a háttérkiszolgáló virtuális gépére, győződjön meg arról, hogy az SQL Server működik: telnet< FQDN> 1433.
Kapcsolódó tartalom
A következő oktatóanyagban megismerheti, hogyan férhet hozzá a Felügyelt Microsoft Azure SQL-példányhoz a Data Factory által felügyelt virtuális hálózatról privát végpont használatával: