Condividi tramite


Configurare i criteri degli endpoint servizio (anteprima) per Istanza gestita di SQL di Azure

Si applica a: Istanza gestita di SQL di Azure SQL

I criteri degli endpoint servizio di Azure Storage per la rete virtuale (VNet) consentono di filtrare il traffico di rete virtuale in uscita verso Azure Storage, limitando i trasferimenti dei dati ad account di archiviazione specifici.

La funzionalità per configurare i criteri degli endpoint e associarli all'Istanza gestita di SQL è attualmente disponibile in anteprima.

Vantaggi chiave

La configurazione dei criteri dell'endpoint di servizio di Azure Storage per la rete virtuale per Istanza gestita di SQL di Azure offre i vantaggi seguenti:

  • Maggiore sicurezza per il traffico di Istanza gestita di SQL di Azure da Azure Storage: i criteri degli endpoint stabiliscono un controllo di sicurezza che impedisce l'esfiltrazione errata o dannosa di dati aziendali critici. Il traffico può essere limitato solo agli account di archiviazione conformi ai requisiti di governance dei dati.

  • Controllo granulare sugli account di archiviazione a cui è possibile accedere: i criteri degli endpoint di servizio possono consentire il traffico agli account di archiviazione a livello di sottoscrizione, gruppo di risorse e account di archiviazione individuale. Gli amministratori possono usare i criteri degli endpoint di servizio per applicare la conformità all'architettura di sicurezza dei dati dell'organizzazione in Azure.

  • Traffico di sistema invariato: i criteri degli endpoint di servizio non ostacolano mai l'accesso all'archiviazione necessaria per il funzionamento di Istanza gestita di SQL di Azure. Sono inclusi l'archiviazione di backup, file di dati, file di log delle transazioni e altri asset.

Importante

I criteri degli endpoint di servizio controllano solo il traffico che proviene dalla subnet di Istanza gestita di SQL e termina in Azure Storage. I criteri non influiscono, ad esempio, sull'esportazione del database in un file BACPAC locale, sull'integrazione di Azure Data Factory, sulla raccolta di informazioni di diagnostica tramite Impostazioni di diagnostica di Azure o su altri meccanismi di estrazione dei dati che non hanno come destinazione diretta Azure Storage.

Limiti

L'abilitazione dei criteri degli endpoint di servizio per Istanza gestita di SQL di Azure presenta le limitazioni seguenti:

  • Durante l'anteprima, l'inserimento di criteri di endpoint di servizio in una subnet interferisce con la capacità delle istanze in tale subnet di eseguire un ripristino temporizzato (PITR) da un'istanza in un'altra subnet. I criteri degli endpoint di servizio non impediscono tuttavia alle istanze di altre subnet di ripristinare i backup da tale subnet.
  • Durante l'anteprima, questa funzionalità è disponibile in tutte le aree di Azure in cui Istanza gestita di SQL è supportato ad eccezione di China East 2, China North 2, Central US EUAP, East US 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia e West Central US.
  • La funzionalità è disponibile solo per le reti virtuali distribuite con il modello di distribuzione Azure Resource Manager.
  • La funzionalità è disponibile solo nelle subnet con endpoint di servizio per Azure Storage abilitati.
  • L'assegnazione di un criterio endpoint di servizio a un endpoint di servizio aggiorna l'endpoint dall'area all'ambito globale. In altri termini, tutto il traffico verso Azure Storage passa attraverso l'endpoint di servizio indipendentemente dall'area in cui risiede l'account di archiviazione.
  • L'autorizzazione di un account di archiviazione consentirà automaticamente l'accesso al database secondario RA-GRS.

Preparare l'inventario di archiviazione

Prima di iniziare a configurare i criteri degli endpoint di servizio in una subnet, comporre un elenco di account di archiviazione a cui l'istanza gestita deve avere accesso in tale subnet.

Di seguito è riportato un elenco di flussi di lavoro che possono riguardare Azure Storage:

Prendere nota del nome dell'account, del gruppo di risorse e della sottoscrizione per qualsiasi account di archiviazione che partecipa a questi o a qualsiasi altro flusso di lavoro che accede all'archiviazione.

Configura criteri

È prima necessario creare i criteri dell'endpoint di servizio, quindi associare i criteri alla subnet di Istanza gestita di SQL. Modificare il flusso di lavoro in questa sezione in base alle esigenze aziendali.

Nota

  • Le subnet di Istanza gestita di SQL richiedono criteri per contenere l'alias del servizio /Services/Azure/ManagedInstance (vedere il passaggio 5).
  • Le istanze gestite distribuite in una subnet che contiene già i criteri degli endpoint di servizio aggiorneranno automaticamente l'alias del servizio /Services/Azure/ManagedInstance.

Creare un criterio di endpoint di servizio

Per creare un nuovo criterio di endpoint di servizio, procedere come segue:

  1. Accedere al portale di Azure.

  2. Selezionare + Crea una risorsa.

  3. Nel riquadro di ricerca digitare criterio per l'endpoint servizio, selezionare Criterio per l'endpoint servizio, quindi selezionare Crea.

    Creare i criteri per l'endpoint servizio

  4. Nella pagina Informazioni di base immettere i valori seguenti:

    • Sottoscrizione: selezionare la sottoscrizione del criterio nell'elenco a discesa.
    • Gruppo di risorse: selezionare il gruppo di risorse in cui si trova l'istanza gestita oppure selezionare Crea nuovo e immettere il nome per un nuovo gruppo di risorse.
    • Nome: specificare un nome per il criterio, ad esempio mySEP.
    • Posizione: selezionare l'area della rete virtuale che ospita l'istanza gestita.

    Creare le informazioni di base per un criterio di endpoint di servizio

  5. In Definizioni di criteri selezionare Aggiungi un alias e immettere le informazioni seguenti nel riquadro Aggiungi un alias:

    • Alias del servizio: selezionare /Services/Azure/ManagedInstance.
    • Selezionare Aggiungi per completare l'aggiunta dell'alias del servizio.

    Aggiungere un alias a un criterio dell'endpoint di servizio

  6. In Definizioni di criteri selezionare + Aggiungi in Risorse e immettere o selezionare le informazioni seguenti nel riquadro Aggiungi una risorsa:

    • Servizio: selezionare Microsoft.Storage.
    • Ambito: selezionare Tutti gli account nella sottoscrizione.
    • Sottoscrizione: selezionare una sottoscrizione contenente gli account di archiviazione autorizzati. Fare riferimento all'inventario degli account di archiviazione di Azure creati in precedenza.
    • Selezionare Aggiungi per completare l'aggiunta della risorsa.
    • Ripetere questo passaggio per aggiungere eventuali sottoscrizioni aggiuntive.

    Aggiungere una risorsa a un criterio dell'endpoint di servizio

  7. Facoltativo: è possibile configurare i tag nei criteri dell'endpoint di servizio in Tag.

  8. Selezionare Rivedi e crea. Convalidare le informazioni e fare clic su Crea. Per apportare altre modifiche, fare clic su Indietro.

Suggerimento

Configurare innanzitutto i criteri per consentire l'accesso a intere sottoscrizioni. Convalidare la configurazione assicurandosi che tutti i flussi di lavoro funzionino normalmente. Facoltativamente, riconfigurare i criteri per consentire singoli account di archiviazione o account in un gruppo di risorse. A tale scopo, selezionare Account singolo o Tutti gli account nel gruppo di risorse nel campo Ambito: e compilare gli altri campi di conseguenza.

Associare i criteri alla subnet

Dopo aver creato i criteri dell'endpoint di servizio, associare i criteri alla subnet di Istanza gestita di SQL.

Usare la procedura seguente per associare i criteri:

  1. Nella casella Tutti i servizi del portale di Azure cercare reti virtuali. Selezionare Reti virtuali.

  2. Individuare e selezionare la rete virtuale che ospita l'istanza gestita.

  3. Selezionare Subnet e scegliere la subnet dedicata all'istanza gestita. Immettere le seguenti informazioni nel riquadro laterale:

    • Servizi: selezionare Microsoft.Storage. Se questo campo è vuoto, è necessario configurare l'endpoint del servizio per Azure Storage in questa subnet.
    • Criteri dell'endpoint di servizio: selezionare i criteri degli endpoint di servizio da applicare alla subnet di Istanza gestita di SQL.

    Associare un criterio di endpoint di servizio a una subnet

  4. Dopo aver configurato la rete virtuale, selezionare Salva.

Avviso

Se i criteri in questa subnet non hanno l'alias /Services/Azure/ManagedInstance, è possibile che venga visualizzato l'errore seguente: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Per risolvere questo problema, aggiornare tutti i criteri nella subnet per includere l'alias /Services/Azure/ManagedInstance.

Passaggi successivi