Mengonfigurasi aturan aplikasi Azure Firewall dengan SQL FQDN

Anda dapat mengonfigurasi aturan aplikasi Azure Firewall dengan SQL FQDN. Konfigurasi ini membatasi akses dari jaringan virtual Anda hanya untuk instans server SQL yang ditentukan.

Dengan menggunakan FQDN SQL, Anda dapat memfilter lalu lintas:

• Dari jaringan virtual Anda ke Azure SQL Database atau Azure Synapse Analytics. Misalnya: Hanya izinkan akses ke sql-server1.database.windows.NET.
• Dari lokal ke Azure SQL Managed Instances atau IaaS SQL yang berjalan di jaringan virtual Anda.
• Dari spoke-to-spoke ke Instans Terkelola Azure SQL atau SQL IaaS yang berjalan di jaringan virtual Anda.

Pemfilteran SQL FQDN hanya didukung dalam mode proksi (port 1433). Jika Anda menggunakan SQL dalam mode pengalihan default, Anda dapat memfilter akses dengan menggunakan tag layanan SQL sebagai bagian dari aturan jaringan. Jika Anda menggunakan port non-default untuk lalu lintas SQL IaaS, Anda dapat mengonfigurasi port tersebut dalam aturan aplikasi firewall.

Mengonfigurasi dengan menggunakan Azure CLI

1. Sebarkan Azure Firewall menggunakan Azure CLI.

2. Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, atur mode konektivitas SQL ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.

   Catatan

   Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses dengan menggunakan tag layanan SQL dalam aturan jaringan firewall.

3. Buat kumpulan aturan baru dengan aturan aplikasi yang menggunakan SQL FQDN untuk mengizinkan akses ke server SQL:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Mengonfigurasi dengan menggunakan Azure PowerShell

1. Sebarkan Azure Firewall menggunakan Azure PowerShell.

2. Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, atur mode konektivitas SQL ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.

   Catatan

   Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses dengan menggunakan tag layanan SQL dalam aturan jaringan firewall.

3. Buat kumpulan aturan baru dengan aturan aplikasi yang menggunakan SQL FQDN untuk mengizinkan akses ke server SQL:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433"
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection"
      Priority   = 1000
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)
   Set-AzFirewall -AzureFirewall $AzFw
   

Mengonfigurasi dengan menggunakan portal Microsoft Azure

1. Sebarkan Azure Firewall menggunakan portal Microsoft Azure.

2. Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, atur mode konektivitas SQL ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.

   Catatan

   Mode proksi dapat mengakibatkan latensi lebih besar dibandingkan dengan mode pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses dengan menggunakan tag layanan SQL dalam aturan jaringan firewall.

3. Tambahkan aturan aplikasi dengan protokol, port, dan SQL FQDN yang sesuai, lalu pilih Simpan.

4. Akses SQL dari komputer virtual di jaringan virtual yang memfilter lalu lintas melalui firewall.

5. Pastikan bahwa log Azure Firewall memperlihatkan lalu lintas diizinkan.

Langkah berikutnya

Untuk mempelajari tentang proksi SQL dan mode pengalihan, lihat Arsitektur konektivitas Azure SQL Database.