Mengonfigurasi kebijakan titik akhir layanan untuk Azure SQL Managed Instance

Berlaku untuk:Azure SQL Managed Instance

Kebijakan titik akhir layanan Virtual Network (VNet) Azure Storage memungkinkan Anda memfilter lalu lintas jaringan virtual keluar ke Azure Storage, membatasi transfer data untuk akun penyimpanan tertentu.

Manfaat utama

Mengonfigurasi kebijakan titik akhir layanan Azure Storage Virtual Network untuk Azure SQL Managed Instance Anda memberikan manfaat berikut:

• Peningkatan keamanan untuk lalu lintas Azure SQL Managed Instance Anda ke Azure Storage: Kebijakan titik akhir menetapkan kontrol keamanan yang mencegah eksfiltrasi data penting bisnis yang salah atau berbahaya. Lalu lintas hanya dapat dibatasi pada akun penyimpanan yang sesuai dengan persyaratan tata kelola data Anda.

• Kontrol terperinci di mana akun penyimpanan dapat diakses: Kebijakan titik akhir layanan dapat mengizinkan lalu lintas ke akun penyimpanan di tingkat langganan, grup sumber daya, dan akun penyimpanan individual. Administrator dapat menggunakan kebijakan titik akhir layanan untuk menerapkan kepatuhan untuk arsitektur keamanan data organisasi di Azure.

• Lalu lintas sistem tetap tidak terpengaruh: Kebijakan titik akhir layanan tidak pernah menghalangi akses ke penyimpanan yang diperlukan agar Azure SQL Managed Instance dapat berfungsi. Ini termasuk penyimpanan cadangan, file data, file log transaksi, dan aset lainnya.

Kebijakan titik akhir layanan hanya mengontrol lalu lintas yang berasal dari subnet SQL Managed Instance dan dihentikan di Azure Storage. Mereka tidak memengaruhi cara lain keluarnya data; misalnya, mengekspor database ke file BACPAC lokal, integrasi Azure Data Factory, eksfiltrasi data ke penyedia cloud lain, atau mekanisme ekstraksi data lainnya yang tidak secara langsung menargetkan Azure Storage. Jalur tersebut dapat dilindungi dengan cara kontrol lalu lintas lainnya, seperti rute yang ditentukan pengguna, grup keamanan jaringan, dan Azure Firewall.

Batasan

Mengaktifkan kebijakan titik akhir layanan untuk Azure SQL Managed Instance Anda memiliki batasan berikut:

• Kebijakan titik akhir layanan untuk Azure Storage di subnet instans terkelola tersedia di semua wilayah Azure di mana SQL Managed Instance didukung kecuali yang tercantum dalam Ketersediaan regional kebijakan titik akhir layanan.
• Fitur ini hanya tersedia untuk jaringan virtual yang disebarkan melalui model penyebaran Azure Resource Manager.
• Fitur ini hanya tersedia di subnet yang memiliki titik akhir layanan untuk Azure Storage yang diaktifkan.
• Menetapkan kebijakan titik akhir layanan ke suatu titik akhir layanan meningkatkan titik akhir dari lingkup regional ke global. Dengan kata lain, semua lalu lintas ke Azure Storage akan melalui titik akhir layanan di wilayah mana pun tempat akun penyimpanan berada.
• Mengizinkan akun penyimpanan akan secara otomatis mengizinkan akses ke RA-GRS sekundernya jika ada.

Menyiapkan inventaris penyimpanan

Sebelum Anda mulai mengonfigurasi kebijakan titik akhir layanan pada subnet, buat daftar akun penyimpanan yang harus diakses oleh instans terkelola pada subnet tersebut.

Berikut ini adalah daftar alur kerja yang mungkin menghubungi Azure Storage:

• Mengaudit ke Azure Storage.
• Melakukan pencadangan hanya salin untuk Azure Storage.
• Memulihkan database dari Azure Storage.
• Mengimpor data dengan BULK INSERT atau OPENROWSET(BULK ...).
• Mencatat log acara yang diperpanjang ke target Event File pada Azure Storage.
• Migrasi offline Azure ke Azure SQL Managed Instance.
• Migrasi Log Replay Service ke Azure SQL Managed Instance.
• Menyinkronkan tabel menggunakan replikasi transaksional.

Perhatikan nama akun, grup sumber daya, dan langganan untuk akun penyimpanan apa pun yang berpartisipasi dalam alur kerja ini, atau lainnya, yang mengakses penyimpanan.

Mengonfigurasi kebijakan

Anda perlu terlebih dahulu membuat kebijakan titik akhir layanan Anda, kemudian mengaitkan kebijakan tersebut dengan subnet SQL Managed Instance. Ubah alur kerja di bagian ini agar sesuai dengan kebutuhan bisnis Anda.

Catatan

• Subnet SQL Managed Instance memerlukan kebijakan untuk memuat alias layanan /Services/Azure/ManagedInstance (Lihat langkah 5).

Membuat kebijakan titik akhir layanan

Untuk membuat kebijakan titik akhir layanan, ikuti langkah-langkah berikut:

1. Masuk ke Portal Microsoft Azure.

2. Pilih + Buat sumber daya.

3. Di panel pencarian, masukkan kebijakan titik akhir layanan, pilih Kebijakan titik akhir layanan, lalu pilih Buat.

   

4. Masukkan nilai berikut pada halaman Dasar:

   • Langganan: Pilih langganan untuk kebijakan Anda dari menu drop-down.
   • Grup sumber daya: Pilih grup sumber daya tempat instans terkelola Anda berada, atau pilih Buat baru dan isi nama untuk grup sumber daya baru.
   • Nama: Berikan nama untuk kebijakan Anda, seperti mySEP.
   • Lokasi: Pilih wilayah jaringan virtual menghosting instans terkelola.

   

5. Dalam Definisi kebijakan, pilih Tambahkan alias dan masukkan informasi berikut pada panel Tambahkan alias:

   • Alias Layanan: Pilih /Services/Azure/ManagedInstance.
   • Pilih Tambahkan untuk menyelesaikan penambahan alias layanan.

   

6. Dalam Definisi kebijakan, pilih + Tambahkan pada Sumber Daya dan masukkan atau pilih informasi berikut di panel Tambahkan sumber daya:

   • Layanan: Pilih Microsoft.Storage.
   • Lingkup: Pilih Semua akun dalam langganan.
   • Langganan: Pilih langganan yang berisi akun penyimpanan yang akan diizinkan. Lihat inventaris akun penyimpanan Azure yang dibuat sebelumnya.
   • Pilih Tambahkan untuk menyelesaikan penambahan sumber daya.
   • Ulangi langkah ini untuk menambahkan langganan lainnya.

   

7. Opsional: Anda dapat mengonfigurasi tag pada kebijakan titik akhir layanan pada Tag.

8. Pilih Tinjau + Buat. Validasikan informasi dan pilih Buat. Untuk mengedit lebih lanjut, pilih Sebelumnya.

Petunjuk / Saran

Pertama, konfigurasikan kebijakan untuk memungkinkan akses ke seluruh langganan. Validasikan konfigurasi dengan memastikan semua alur kerja beroperasi secara normal. Kemudian, secara opsional, konfigurasi ulang kebijakan untuk mengizinkan akun penyimpanan individual, atau akun dalam grup sumber daya. Untuk melakukannya, pilih Akun tunggal atau Semua akun dalam grup sumber daya di bidang Lingkup:, dan isi bidang lainnya sesuai yang sesuai.

Mengaitkan kebijakan dengan subnet

Setelah kebijakan titik akhir layanan Anda dibuat, kaitkan kebijakan dengan subnet SQL Managed Instance Anda.

Untuk mengaitkan kebijakan Anda, ikuti langkah-langkah berikut:

1. Di kotak Semua layanan di portal Azure, cari jaringan virtual. Pilih Jaringan virtual.

2. Temukan dan pilih jaringan virtual yang menghosting instans terkelola Anda.

3. Pilih Subnet dan pilih subnet yang khusus untuk instans terkelola Anda. Masukkan informasi berikut di panel subnet:

   • Layanan: Pilih Microsoft.Storage. Jika bidang ini kosong, Anda perlu mengonfigurasi titik akhir layanan untuk Azure Storage pada subnet ini.
   • Kebijakan titik akhir layanan: Pilih kebijakan titik akhir layanan apa pun yang ingin Anda terapkan ke subnet SQL Managed Instance.

   

4. Pilih Simpan untuk menyelesaikan konfigurasi jaringan virtual.

Peringatan

Jika kebijakan pada subnet ini tidak memiliki /Services/Azure/ManagedInstance alias, Anda mungkin melihat kesalahan berikut: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions Untuk mengatasi hal ini, perbarui semua kebijakan di subnet untuk menyertakan alias /Services/Azure/ManagedInstance.

Langkah berikutnya

• Pelajari selengkapnya tentang mengamankan akun Azure Storage Anda.
• Baca tentang Kemampuan keamanan SQL Managed Instance.
• Jelajahi arsitektur konektivitas Azure SQL Managed Instance.