Tutorial: Cara mengakses SQL Server lokal dari Data Factory Managed VNET menggunakan Titik Akhir Privat
Tutorial ini menyediakan langkah-langkah untuk menggunakan portal Azure untuk menyiapkan Layanan Private Link dan mengakses SQL Server lokal dari jaringan virtual terkelola menggunakan titik akhir privat. Menggunakan jaringan virtual terkelola memastikan bahwa lalu lintas ke dan dari sumber SQL lokal Anda semuanya akan melewati titik akhir privat Anda sendiri, sehingga mengamankan paparan ke cloud publik dengan lapisan keamanan dan isolasi tambahan. Sumber daya yang diperlukan yang disebutkan di bawah ini diperlukan untuk mendukung skenario.
Catatan
Solusi yang disajikan dalam artikel ini menjelaskan konektivitas SQL Server, tetapi Anda bisa menggunakan pendekatan serupa untuk menyambungkan dan mengkueri konektor lokal lain yang tersedia yang didukung di Azure Data Factory.
Prasyarat
- Langganan Azure. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
- Jaringan Virtual. Jika Anda tidak memiliki Jaringan Virtual, buat saja dengan mengikuti Buat Jaringan Virtual.
- Jaringan virtual ke jaringan lokal. Buat koneksi antara jaringan virtual dan jaringan lokal baik menggunakan ExpressRoute atauVPN. Jika Anda lebih suka menggunakan komputer virtual cloud di jaringan privat, Anda juga dapat melakukan ini. Cukup buat jaringan virtual untuk komputer virtual cloud Anda dan tautan privat ke jaringan virtual dan Anda dapat mengaksesnya seolah-olah mereka adalah komputer lokal di jaringan privat Anda meskipun dihosting di cloud.
- Data Factory dengan VNET Terkelola diaktifkan. Jika Anda tidak memiliki Data Factory atau VNET Terkelola tidak diaktifkan, buatlah dengan mengikutiBuat Data Factory dengan VNET Terkelola.
Membuat subnet untuk sumber daya
Gunakan portal untuk membuat subnet di jaringan virtual Anda.
Subnet | Deskripsi |
---|---|
be-subnet | subnet untuk server backend |
fe-subnet | subnet untuk penyeimbang beban internal standar |
pls-subnet | subnet untuk Layanan Private Link |
Membuat penyeimbang muatan standar
Gunakan portal untuk membuat penyeimbang muatan internal standar.
Di sisi kiri atas layar, pilih Buat sumber daya > Jaringan > Load Balancer.
Di tab Dasar pada halaman Buat load balancer, masukkan atau pilih informasi berikut ini:
Pengaturan Nilai Langganan Pilih langganan Anda. Grup sumber daya Pilih grup sumber daya Anda. Nama Masukkan myLoadBalancer. Wilayah Pilih AS Timur. Jenis Pilih Internal. SKU Pilih Standar. Jaringan virtual Pilih jaringan virtual Anda. Subnet Pilih fe-subnet yang dibuat di langkah sebelumnya. Penetapan alamat IP Pilih Dinamis. Zona ketersediaan Pilih Zona redundan. Terima default untuk pengaturan yang tersisa, lalu pilih Ulasan + buat.
Di tab Ulasan + buat, pilih Buat.
Membuat sumber daya load balancer
Membuat kumpulan backend
Kumpulan alamat backend berisi alamat IP virtual (NIC) yang tersambung ke load balancer.
Buat kumpulan alamat backend myBackendPool untuk menyertakan komputer virtual untuk lalu lintas internet load balance.
- Pilih Semua layanan di menu sebelah kiri, pilih Semua sumber daya, lalu pilih myLoadBalancer dari daftar sumber daya.
- Di bawah Pengaturan, pilih Kumpulan ujung belakang, lalu pilih Tambahkan.
- Pada halaman Tambahkan kumpulan backend, untuk nama, masukkan myBackendPool, sebagai nama untuk kumpulan backend Anda, lalu pilih Tambahkan.
Membuat pemeriksaan kesehatan
Load balancer memantau status aplikasi Anda dengan pemeriksaan kesehatan.
Pemeriksaan kesehatan menambahkan atau menghapus VM dari load balancer berdasarkan responsnya terhadap pemeriksaan kesehatan.
Buat pemeriksaan kesehatan bernama myHealthProbe untuk memantau kesehatan VM.
Pilih Semua layanan di menu sebelah kiri, pilih Semua sumber daya, lalu pilih myLoadBalancer dari daftar sumber daya.
Di bawah Pengaturan, pilih Pemeriksaan kesehatan, lalu pilih Tambahkan.
Pengaturan Nilai Nama Masukkan myHealthProbe. Protokol Pilih TCP. Port Masukkan 22. Interval Masukkan 15 untuk jumlah Interval dalam detik di antara upaya pemeriksaan. Ambang tidak sehat Pilih 2 untuk jumlah Ambang tidak sehat atau kegagalan pemeriksaan berturut-turut yang harus terjadi sebelum VM dianggap tidak sehat. Biarkan sisanya default dan pilih OK.
Membuat aturan load balancer
Aturan load balancer digunakan untuk menentukan cara lalu lintas didistribusikan ke VM. Anda menentukan konfigurasi IP frontend untuk lalu lintas masuk dan kumpulan IP backend untuk menerima lalu lintas. Port sumber dan tujuan didefinisikan dalam aturan.
Di bagian ini, Anda akan membuat aturan load balancer:
Pilih Semua layanan di menu sebelah kiri, pilih Semua sumber daya, lalu pilih myLoadBalancer dari daftar sumber daya.
Di bawah Pengaturan, pilih Aturan load balancing, lalu pilih Tambahkan.
Gunakan nilai-nilai ini untuk mengonfigurasi aturan load balancing:
Pengaturan Nilai Nama Masuk myRule. Versi IP Pilih IPv4. Alamat IP ujung depan Pilih LoadBalancerFrontEnd. Protokol Pilih TCP. Port Ketik 1433. Port ujung belakang Ketik 1433. Kumpulan backend Pilih myBackendPool. Pemeriksaan kesehatan Pilih myHealthProbe. Waktu idle habis (menit) Pindahkan penggeser ke 15 menit. Reset TCP Pilih Dinonaktifkan. Tinggalkan default lainnya lalu pilih OK.
Membuat layanan tautan privat
Di bagian ini, Anda akan membuat layanan Private Link di belakang penyeimbang muatan standar.
Di bagian kiri atas halaman di portal Microsoft Azure, pilih Buat sumber daya.
Cari Private Link dalam kotak Cari Marketplace.
Pilih Buat.
Di Ringkasan di bawah Pusat Private Link, pilih tombol Buat layanan tautan privat berwarna biru.
Di tab Dasar di bawah Buat layanan tautan privat, masukkan, atau pilih informasi berikut ini:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Anda. Grup Sumber Daya Pilih grup sumber daya Anda. Detail instans Nama Masuk myPrivateLinkService. Wilayah Pilih AS Timur. Pilih tab Pengaturan keluar atau pilih Berikutnya: Pengaturan keluar di bagian bawah halaman.
Pada tab Pengaturan keluar, masukkan atau pilih informasi berikut ini:
Pengaturan Nilai Load Balancer Pilih myLoadBalancer. Alamat IP frontend penyeimbang muatan Pilih LoadBalancerFrontEnd. Subnet NAT sumber Pilih pls-subnet. Aktifkan TCP proxy V2 Biarkan default Tidak ada. Pengaturan alamat IP privat Biarkan pengaturan default. Pilih tab Keamanan akses atau pilih Berikutnya: Keamanan akses di bagian bawah halaman.
Biarkan default Kontrol akses berbasis peran saja di tab Keamanan akses.
Pilih tab Tag atau pilih Berikutnya: Tag di bagian bawah halaman.
Pilih tab Tinjau + buat, atau pilih Berikutnya: Tinjau + buat di bagian bawah halaman.
Pilih Buat, pada tab Tinjau + Buat.
Membuat server backend
Di sisi kiri atas portal, pilih Buat sumber daya > Komputasi > Mesin virtual.
Pada Buat komputer virtual, ketik atau pilih nilai di tab Dasar:
Pengaturan Nilai Detail proyek Langganan Pilih langganan Azure Anda. Grup Sumber Daya Pilih grup sumber daya Anda. Detail instans Nama komputer virtual Masukkan myVM1. Wilayah Pilih AS Timur. Opsi Ketersediaan Pilih Zona ketersediaan. Zona ketersediaan Pilih 1. Gambar Pilih Ubuntu Server 22.04 LTS. Instans Azure Spot Pilih Tidak. Ukuran Pilih ukuran VM atau gunakan pengaturan default. Akun administrator Nama Pengguna Masukkan nama pengguna. Sumber kunci publik SSH Buat pasangan kunci baru. Nama pasangan kunci mySSHKey. Aturan port masuk Port masuk publik Tidak Pilih tab Jaringan atau pilih Berikutnya: Disk, lalu Berikutnya: Jaringan.
Di tab Jaringan pilih atau masukkan:
Pengaturan Nilai Antarmuka jaringan Jaringan virtual Pilih jaringan virtual Anda. Subnet be-subnet. IP Publik Pilih Tidak ada. kelompok keamanan jaringan NIC Pilih Tidak ada. Penyeimbangan Muatan Tempatkan komputer virtual ini di belakang solusi penyeimbang muatan yang ada? Pilih Ya. Pengaturan load balancing Opsi penyeimbangan muatan Pilih Penyeimbangan muatan Azure. Pilih load balancer Pilih myLoadBalancer. Memilih kumpulan backend Pilih myBackendPool. Pilih Tinjau + buat.
Tinjau pengaturan, lalu pilih Buat.
Anda dapat mengulangi langkah 1 hingga 6 untuk memiliki lebih dari 1 backend server VM untuk HA.
Membuat Aturan Penerusan ke Titik Akhir
Login dan salin skrip ip_fwd.sh ke VM server backend Anda.
Jalankan skrip dengan opsi berikut:
sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433
Atur tempat penampung
<FQDN/IP>
adalah IP SQL Server target Anda.Catatan
FQDN tidak berfungsi di SQL Server lokal kecuali Anda menambahkan catatan di zona Azure DNS.
Jalankan perintah berikut dan periksa iptable di VM server backend Anda. Anda dapat melihat satu catatan di iptables Anda dengan IP target Anda.
sudo iptables -t nat -v -L PREROUTING -n --line-number**
Catatan
Jika Anda memiliki lebih dari satu SQL Server atau sumber data, Anda perlu menentukan beberapa aturan penyeimbang muatan dan catatan tabel IP dengan port yang berbeda. Jika tidak, akan ada beberapa konflik. Contohnya,
Port dalam aturan penyeimbang muatan Port backend dalam aturan keseimbangan muatan Perintah dijalankan di backend server VM SQL Server 1 1433 1433 sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433 SQL Server 2 1434 1434 sudo ./ip_fwd.sh -i eth0 -f 1434 -a <FQDN/IP> -b 1433 Catatan
Penting untuk diketahui bahwa konfigurasi dalam komputer virtual (VM) tidak permanen. Ini berarti bahwa setiap kali VM dimulai ulang, VM akan memerlukan konfigurasi ulang.
Membuat Titik Akhir Privat ke Layanan Private Link
Pilih Semua layanan di menu sebelah kiri, pilih Semua sumber daya, lalu pilih pabrik data Anda dari daftar sumber daya.
Klik Pembuat & Monitor untuk meluncurkan antarmuka pengguna Azure Data Factory di tab terpisah.
Masuk ke tab Kelola lalu masuk ke bagian Titik akhir privat terkelola.
Pilih + Baru di bawah Titik akhir privat terkelola.
Pilih petak Layanan Private Link dari daftar dan pilih Lanjutkan.
Masukkan nama titik akhir privat dan pilih myPrivateLinkService dalam daftar layanan tautan privat.
<FQDN>
Tambahkan target SQL Server lokal Anda.Catatan
Saat menyebarkan SQL Server Anda pada komputer virtual dalam jaringan virtual, penting untuk meningkatkan FQDN Anda dengan menambahkan privatelink. Jika tidak, ini akan berkonflik dengan rekaman lain dalam pengaturan DNS. Misalnya, Anda cukup memodifikasi FQDN SQL Server dari sqlserver.westus.cloudapp.azure.net ke sqlserver.privatelink.westus.cloudapp.azure.net.
Membuat titik akhir privat.
Membuat layanan tertaut dan menguji koneksi
Buka tab Kelola, lalu buka bagian Layanan tertaut.
Pilih + Baru di bawah Layanan Tertaut.
Pilih petak SQL Server dari daftar dan pilih Lanjutkan.
Aktifkan Penulisan interaktif.
Masukkan FQDN SQL Server lokal Anda, nama pengguna dan kata sandi.
Lalu klik Uji koneksi.
Catatan
Jika Anda memiliki lebih dari satu SQL Server dan perlu menentukan beberapa aturan penyeimbang beban dan catatan tabel IP dengan port yang berbeda, pastikan Anda secara eksplisit menambahkan nama port setelah FQDN saat Anda mengedit Layanan Tertaut. NAT VM akan menangani terjemahan port. Jika tidak ditentukan secara eksplisit, koneksi akan selalu kehabisan waktu.
Pemecahan Masalah
Buka server backend VM, konfirmasi telnet bahwa SQL Server berfungsi: telnet <FQDN> 1433.
Konten terkait
Lanjutkan ke tutorial berikut untuk mempelajari tentang mengakses Microsoft Azure SQL Managed Instance dari VNET Yang Dikelola Azure Data Factory menggunakan Titik Akhir Privat :