Bagikan melalui


Kontrol akses jaringan Azure SQL Database dan Azure Synapse Analytics

Berlaku untuk: Azure SQL Database Azure Synapse Analytics (hanya kumpulan SQL khusus)

Saat Anda membuat server logis dari portal Azure untuk Azure SQL Database dan Azure Synapse Analytics, hasilnya adalah titik akhir publik dalam format, yourservername.database.windows.net.

Anda bisa menggunakan kontrol akses jaringan berikut untuk mengizinkan akses ke database secara selektif melalui titik akhir publik:

  • Aturan firewall berbasis IP: Gunakan fitur ini untuk secara eksplisit mengizinkan koneksi dari alamat IP tertentu. Misalnya, dari komputer lokal atau rentang alamat IP dengan menentukan alamat IP awal dan akhir.

  • Izinkan layanan dan sumber daya Azure mengakses server ini: Saat diaktifkan, sumber daya lain dalam batas Azure dapat mengakses SQL Database. Misalnya, Azure Virtual Machine dapat mengakses sumber daya SQL Database.

Anda juga dapat mengizinkan akses privat ke database dari jaringan virtual melalui:

  • Aturan firewall jaringan virtual: Gunakan fitur ini untuk mengizinkan lalu lintas dari jaringan virtual tertentu dalam batas Azure.

  • Private Link: Gunakan fitur ini untuk membuat titik akhir privat untuk server logis di Azure dalam jaringan virtual tertentu.

Penting

Artikel ini tidak berlaku untuk SQL Managed Instance. Untuk informasi selengkapnya tentang konfigurasi jaringan, lihat menyambungkan ke Azure SQL Managed Instance.

Aturan firewall IP

Firewall berbasis IP adalah fitur server logis di Azure yang mencegah semua akses ke server Anda sampai Anda secara eksplisit menambahkan alamat IP untuk komputer klien.

Izinkan Layanan Azure

Secara default, selama pembuatan server logis baru dari portal Azure, Izinkan layanan dan sumber daya Azure untuk mengakses server ini tidak dicentang dan tidak diaktifkan. Pengaturan ini muncul ketika konektivitas diizinkan melalui titik akhir publik.

Anda juga dapat mengubah pengaturan ini melalui pengaturan Jaringan setelah server logis dibuat sebagai berikut:

Cuplikan layar kelola firewall server

Saat Izinkan layanan dan sumber daya Azure untuk mengakses server ini diaktifkan, server Anda mengizinkan komunikasi dari semua sumber daya di dalam batas Azure, terlepas dari apakah mereka adalah bagian dari langganan Anda. Dalam banyak kasus, mengaktifkan pengaturan lebih permisif daripada yang diinginkan sebagian besar pelanggan. Anda mungkin ingin menghapus centang pengaturan ini dan menggantinya dengan aturan firewall IP yang lebih ketat atau menggunakan satu opsi untuk akses privat.

Penting

Memeriksa Izinkan layanan dan sumber daya Azure untuk mengakses server ini menambahkan aturan firewall berbasis IP dengan alamat IP awal dan akhir 0.0.0.0

Namun, melakukannya mempengaruhi fitur-fitur berikut yang berjalan pada komputer virtual di Azure yang bukan bagian dari jaringan virtual Anda dan karenanya terhubung ke database melalui alamat IP Azure:

Layanan Ekspor Impor

Layanan Ekspor Impor tidak berfungsi saat Izinkan layanan dan sumber daya Azure untuk mengakses server ini tidak diaktifkan. Namun Anda dapat mengatasi masalah dengan menjalankan SqlPackage secara manual dari Azure VM atau melakukan ekspor langsung dalam kode Anda dengan menggunakan DACFx API.

Sinkronisasi Data

Untuk menggunakan fitur Sinkronisasi data dengan Izinkan layanan dan sumber daya Azure untuk mengakses server ini tidak diaktifkan, Anda perlu membuat entri aturan firewall individual untuk menambahkan alamat IP dari tag layanan Sql untuk wilayah yang menghosting database Hub . Tambahkan aturan firewall tingkat server ini ke server yang menghosting database Hub dan Anggota (yang mungkin berada di wilayah yang berbeda).

Gunakan skrip PowerShell berikut untuk menghasilkan alamat IP yang sesuai dengan tag layanan SQL untuk wilayah US Barat.

PS C:\>  $serviceTags = Get-AzNetworkServiceTag -Location eastus2
PS C:\>  $sql = $serviceTags.Values | Where-Object { $_.Name -eq "Sql.WestUS" }
PS C:\> $sql.Properties.AddressPrefixes.Count
70
PS C:\> $sql.Properties.AddressPrefixes
13.86.216.0/25
13.86.216.128/26
13.86.216.192/27
13.86.217.0/25
13.86.217.128/26
13.86.217.192/27

Tip

Get-AzNetworkServiceTag mengembalikan rentang global untuk Tag Layanan SQL meskipun menentukan parameter Lokasi. Pastikan untuk memfilternya ke wilayah yang menjadi host database Hub yang digunakan oleh grup sinkronisasi Anda

Output skrip PowerShell ada dalam notasi Classless Inter-Domain Routing (CIDR). Ini perlu dikonversi ke format alamat IP Mulai dan Akhir menggunakan Get-IPrangeStartEnd.ps1 seperti ini:

PS C:\> Get-IPrangeStartEnd -ip 52.229.17.93 -cidr 26
start        end
-----        ---
52.229.17.64 52.229.17.127

Anda dapat menggunakan skrip PowerShell berikut untuk mengonversi semua alamat IP dari CIDR ke format alamat IP Mulai dan Akhir.

PS C:\>foreach( $i in $sql.Properties.AddressPrefixes) {$ip,$cidr= $i.split('/') ; Get-IPrangeStartEnd -ip $ip -cidr $cidr;}
start          end
-----          ---
13.86.216.0    13.86.216.127
13.86.216.128  13.86.216.191
13.86.216.192  13.86.216.223

Anda sekarang dapat menambahkan ini sebagai aturan firewall yang berbeda lalu menonaktifkan pengaturan Izinkan layanan dan sumber daya Azure untuk mengakses server ini.

Tag Layanan Sql

Tag layanan dapat digunakan dalam aturan dan rute keamanan dari klien ke SQL Database. Tag layanan dapat digunakan dalam grup keamanan jaringan, Azure Firewall, dan rute yang ditentukan pengguna dengan menentukannya di bidang sumber atau tujuan aturan keamanan. Tag layanan Sql terdiri dari semua alamat IP yang sedang digunakan oleh SQL Database. Tag disegmentasi lebih lanjut menurut wilayah. Misalnya Sql.WestUS mencantumkan semua alamat IP yang digunakan oleh SQL Database di US Barat.

Tag layanan Sql terdiri dari alamat IP yang diperlukan untuk membangun konektivitas ke SQL Database seperti yang didokumentasikan dalam alamat IP Gateway. Selain itu, tag layanan juga akan dikaitkan dengan lalu lintas keluar dari SQL Database yang digunakan dalam fitur seperti:

Tag Layanan SqlManagement

Tag layanan SqlManagement digunakan untuk operasi sarana kontrol terhadap SQL Database.

Aturan firewall jaringan virtual

Aturan firewall jaringan virtual adalah alternatif yang lebih mudah untuk membuat dan mengelola akses dari subnet tertentu yang berisi VM Anda.

Dengan Private Link Anda dapat terhubung ke server melalui titik akhir privat. Titik akhir privat adalah alamat IP privat dalam jaringan virtual dan subnet tertentu.