Condividi tramite

Esercitazione: Connettersi a un server SQL di Azure con un endpoint privato di Azure utilizzando il portale di Azure

  • Articolo

Un endpoint privato di Azure è il blocco costitutivo fondamentale del collegamento privato in Azure. Consente alle risorse di Azure, come le macchine virtuali, di comunicare privatamente e in modo sicuro con le risorse di collegamento privato, ad esempio server SQL Azure.

Diagramma delle risorse create nella guida di avvio rapido all'endpoint privato.

In questa esercitazione apprenderai a:

  • Creare una rete virtuale e un host bastion.
  • Creare una macchina virtuale.
  • Creare un server di Azure SQL e un endpoint privato.
  • Testare la connettività con l'endpoint privato del server SQL.

Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.

Prerequisiti

  • Una sottoscrizione di Azure

Accedere ad Azure

Accedere al portale di Azure.

Creare una rete virtuale e un host Azure Bastion

La procedura seguente crea una rete virtuale con una subnet di risorse, una subnet di Azure Bastion e un host Bastion:

  1. Nel portale cercare e selezionare Reti virtuali.

  2. Nella pagina Reti virtuali selezionare + Crea.

  3. Nella scheda Informazioni di base di Crea rete virtuale, immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare Crea nuovo.
    Immettere test-rg per il nome.
    Selezionare OK.
    Dettagli istanza
    Nome Immettere vnet-1.
    Paese Selezionare Stati Uniti orientali 2.

    Screenshot della scheda Informazioni di base per la creazione di una rete virtuale nel portale di Azure.

  4. Selezionare Avanti per passare alla scheda Sicurezza.

  5. Nella sezione Azure Bastion selezionare Abilita Bastion.

    Bastion usa il browser per connettersi alle macchine virtuali nella rete virtuale tramite Secure Shell (SSH) o Remote Desktop Protocol (RDP) utilizzando i loro indirizzi IP privati. Le macchine virtuali non hanno bisogno di indirizzi IP pubblici, software client o configurazioni speciali. Per altre informazioni, vedere Informazioni su Azure Bastion.

    Nota

    La tariffa oraria inizia dal momento in cui viene distribuito Bastion, a prescindere dall'utilizzo dei dati in uscita. Per altre informazioni, vedere Prezzi e SKU. Se si distribuisce Bastion nel corso di un'esercitazione o di un test, è consigliabile eliminare questa risorsa dopo averla usata.

  6. In Azure Bastion, immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Nome host Azure Bastion Immettere bastion.
    Indirizzo IP pubblico di Azure Bastion Selezionare Creare un indirizzo IP pubblico.
    Immettere public-ip-bastion in Nome.
    Selezionare OK.

    Screenshot delle opzioni per abilitare un host Azure Bastion come parte della creazione di una rete virtuale nel portale di Azure.

  7. Selezionare Avanti per passare alla scheda Indirizzi IP.

  8. Nella casella spazio indirizzi in Subnetselezionare la subnet predefinita.

  9. In Modifica subnet immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Scopo della subnet Lasciare l'impostazione predefinita Impostazione predefinita.
    Nome Immettere subnet-1.
    IPv4
    Intervallo di indirizzi IPv4 Lasciare l'impostazione predefinita 10.0.0.0/16.
    Indirizzo iniziale Lasciare l'impostazione predefinita 10.0.0.0.
    Dimensione Lasciare l'impostazione predefinita /24 (256 indirizzi).

    Screenshot dei dettagli di configurazione per una subnet.

  10. Seleziona Salva.

  11. Nella parte inferiore della finestra, selezionare Rivedi e crea. Al termine della convalida, selezionare Crea.

Creare una macchina virtuale di test

La procedura seguente crea nella rete virtuale una macchina virtuale (VM) di test denominata vm-1.

  1. Nel portale, cercare e selezionare Macchine virtuali.

  2. In Macchine virtuali, selezionare + Crea, quindi Macchina virtuale di Azure.

  3. Nella scheda Dati principali di Crea una macchina virtuale, immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli istanza
    Virtual machine name Immettere vm-1.
    Paese Selezionare Stati Uniti orientali 2.
    Opzioni di disponibilità Selezionare La ridondanza dell'infrastruttura non è richiesta.
    Tipo di sicurezza Lasciare l'impostazione predefinita Standard.
    Immagine Selezionare Ubuntu Server 22.04 LTS - x64 Gen2.
    Architettura della macchina virtuale Lasciare il valore predefinito di x64.
    Dimensione Selezionare una dimensione.
    Account amministratore
    Tipo di autenticazione selezionare Password.
    Username digitare azureuser.
    Password Immettere una password.
    Conferma password Immettere nuovamente la password.
    Regole porta in ingresso
    Porte in ingresso pubbliche Selezionare Nessuno.

  4. Selezionare la scheda Rete, nella parte superiore della pagina.

  5. Nella scheda Rete immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Interfaccia di rete
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-1 (10.0.0.0/24).
    IP pubblico Selezionare Nessuno.
    Gruppo di sicurezza di rete della scheda di interfaccia di rete Seleziona Avanzate.
    Configura gruppo di sicurezza di rete Selezionare Crea nuovo.
    Immettere nsg-1 per il nome.
    Lasciare invariate le impostazioni predefinite e selezionare OK.

  6. Lasciare invariate le impostazioni predefinite e selezionare Rivedi e crea.

  7. Rivedere le impostazioni e selezionare Crea.

Nota

Le macchine virtuali in una rete virtuale con un host bastion non necessitano di indirizzi IP pubblici. Bastion fornisce l'indirizzo IP pubblico e le macchine virtuali usano IP privati per comunicare all'interno della rete. È possibile rimuovere gli IP pubblici da qualsiasi macchina virtuale nelle in reti virtuali ospitate in Bastion. Per altre informazioni, vedere Annullare l'associazione di un indirizzo IP pubblico a una macchina virtuale di Azure.

Nota

Azure fornisce un IP di accesso in uscita predefinito per le macchine virtuali a cui non è stato assegnato un indirizzo IP pubblico o che si trovano nel pool back-end di un servizio del bilanciamento del carico di base di Azure. Il meccanismo dell'IP di accesso in uscita predefinito fornisce un IP in uscita non configurabile.

L'IP di accesso in uscita predefinito è disabilitato quando si verifica uno degli eventi seguenti:

  • Alla macchina virtuale viene assegnato un indirizzo IP pubblico.
  • La macchina virtuale è posizionata nel pool back-end di un servizio di bilanciamento del carico standard, con o senza regole in uscita.
  • Una risorsa del gateway NAT di Azure viene assegnata alla subnet della VM.

Le macchine virtuali create usando set di scalabilità di macchine virtuali in modalità di orchestrazione flessibile non hanno l'accesso in uscita predefinito.

Per altre informazioni sulle connessioni in uscita in Azure, vedere Accesso in uscita predefinito in Azure e Uso di Source Network Address Translation (SNAT) per le connessioni in uscita.

Creare un server di Azure SQL e un endpoint privato

In questa sezione si crea un server SQL in Azure.

  1. Nella casella di ricerca nella parte superiore del portale, immettere SQL. Selezionare Database SQL nei risultati della ricerca.

  2. In Database SQL, selezionare + Crea.

  3. Nella scheda Informazioni di base della pagina Crea database SQL, immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Dettagli di progetto
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Dettagli database
    Nome database Immettere sql-db.
    Server Selezionare Crea nuovo.
    Immettere sql-server-1 in Nome server (i nomi dei server devono essere univoci, sostituire sql-server-1 con un valore univoco).
    Selezionare (Stati Uniti) Stati Uniti orientali 2 in Area geografica.
    Selezionare Usa autenticazione SQL.
    Immettere l'accesso e la password dell'amministratore del server.
    Selezionare OK.
    Usare il pool elastico SQL? Selezionare No.
    Ambiente del carico di lavoro Lasciare l'impostazione predefinita Produzione.
    Ridondanza dell'archivio di backup
    Ridondanza dell'archivio di backup Selezionare Archivio di backup con ridondanza locale.

  4. Selezionare Avanti: Rete.

  5. Nella scheda Rete di Crea database SQL, immettere o selezionare le informazioni seguenti:

    Impostazione Valore
    Connettività di rete
    Metodo di connettività Selezionare Endpoint privato.
    Endpoint privati
    Selezionare + Aggiungi endpoint privato.
    Creare un endpoint privato
    Subscription Selezionare la propria sottoscrizione.
    Gruppo di risorse Selezionare test-rg.
    Ufficio Selezionare Stati Uniti orientali 2.
    Nome Immettere private-endpoint-sql.
    Sottorisorsa di destinazione Selezionare SqlServer.
    Networking
    Rete virtuale Selezionare vnet-1.
    Subnet Selezionare subnet-1.
    Integrazione DNS privato
    Integra con la zona DNS privato Selezionare .
    Zona DNS privato Lasciare l'impostazione predefinita privatelink.database.windows.net.

  6. Seleziona OK.

  7. Selezionare Rivedi e crea.

  8. Seleziona Crea.

Importante

Quando si aggiunge una connessione endpoint privato, il routing pubblico al server SQL Azure non viene bloccato per impostazione predefinita. L'impostazione "Nega l'accesso alla rete pubblica" nel pannello "Firewall e reti virtuali" viene lasciata deselezionata per impostazione predefinita. Per disabilitare l'accesso alla rete pubblica, verificare che sia selezionata.

Disabilitare l'accesso pubblico al server logico SQL Azure

Per questo scenario, si supponga di voler disabilitare tutti gli accessi pubblici al server SQL Azure e di consentire solo le connessioni dalla rete virtuale.

  1. Nella casella di ricerca nella parte superiore del portale, immettere SQL Server. Selezionare SQL Server nei risultati della ricerca.

  2. Selezionare sql-server-1.

  3. Nella pagina Rete, selezionare la scheda Accesso pubblico e quindi selezionare Disabilita per Accesso alla rete pubblica.

  4. Seleziona Salva.

Testare la connettività con l'endpoint privato

In questa sezione si usa la macchina virtuale creata nel passaggio precedente per connettersi al server SQL tramite l'endpoint privato.

  1. Nella casella di ricerca, nella parte superiore del portale, immettere Macchina virtuale. Selezionare Macchine virtuali nei risultati della ricerca.

  2. Selezionare vm-1.

  3. In Operazioni, selezionare Bastion.

  4. Immettere il nome utente e la password della macchina virtuale.

  5. Selezionare Connetti.

  6. Per verificare la risoluzione dei nomi dell'endpoint privato, immettere il comando seguente nella finestra del terminale:

    nslookup server-name.database.windows.net

    Verrà visualizzato un messaggio simile all'esempio seguente. L'indirizzo IP restituito è l'indirizzo IP privato dell'endpoint privato.

    Server:    127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
Name:sql-server-8675.privatelink.database.windows.net
Address: 10.1.0.4

  7. Installare gli strumenti da riga di comando di SQL Server indicati in Installare gli strumenti da riga di comando di SQL Server sqlcmd e bcp in Linux. Al termine dell'installazione, procedere con i passaggi successivi.

  8. Usare i comandi seguenti per connettersi al server SQL creato nei passaggi precedenti.

    • Sostituire <server-admin> con il nome utente amministratore immesso durante la creazione del server SQL.

    • Sostituire <admin-password> con la password amministratore immessa durante la creazione del server SQL.

    • Sostituire sql-server-1 con il nome del server SQL.

    sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'

  9. Al completamento dell'accesso, viene visualizzato un prompt dei comandi SQL. Immettere exit per uscire dallo strumento sqlcmd.

Pulire le risorse

Al termine dell'uso delle risorse create, è possibile eliminare il gruppo di risorse e tutte le relative risorse:

  1. Accedere al portale di Azure e selezionare Gruppi di risorse.

  2. Nella pagina Gruppi di risorse selezionare il gruppo di risorse test-rg.

  3. Nella pagina test-rg, selezionare Elimina gruppo di risorse.

  4. Immettere test-rg in Immettere il nome del gruppo di risorse per confermare l'eliminazione, quindi selezionare Elimina.

Passaggi successivi

In questa esercitazione sono state illustrate le procedure per:

  • Una rete virtuale e un host bastion.

  • Una macchina virtuale.

  • Un server SQL con un endpoint privato.

La macchina virtuale è stata usata per testare la connettività in modo sicuro al server SQL tramite l'endpoint privato.

Come passaggio successivo, è anche possibile essere interessati all'app Web con connettività privata all'architettura del database SQL Azure, che connette un'applicazione Web posta all'esterno della rete virtuale all'endpoint privato di un database.

Connettività privata dell'app Web al database SQL Azure