Condividi tramite


Configurare regole NSG dell'Istanza gestita di SQL di Azure per lavorare con Azure Confidential Ledger

Si applica a: Istanza gestita di SQL di Azure SQL

Dopo aver abilitato Azure Confidential Ledger come percorso di riepilogo in Istanza gestita di SQL di Azure, è necessario configurare manualmente le regole di rete virtuale di Istanza gestita di SQL di Azure per comunicare con Azure Confidential Ledger.

In questo articolo vengono illustrate le operazioni seguenti:

  • Configurare il gruppo di sicurezza di rete (NSG) di Istanza gestita di SQL e le regole della tabella di routing per consentire il traffico verso Azure Confidential Ledger.

Autorizzazioni

A causa dell'importanza dei dati in un'istanza gestita, la configurazione per abilitare l'endpoint pubblico di Istanza gestita di SQL di Azure richiede un processo in due passaggi. Questa misura di sicurezza rispetta la separazione dei compiti (SoD):

  • L'amministratore di Istanza gestita di SQL deve abilitare l'endpoint pubblico in Istanza gestita di SQL. È possibile trovare l'amministratore di Istanza gestita di SQL nella pagina Informazioni generali della risorsa di Istanza gestita di SQL.
  • Un amministratore di rete deve consentire il traffico verso Istanza gestita di SQL usando un NSG. Per ulteriori informazioni, vedere autorizzazioni dei gruppi di sicurezza di rete.

Abilitare le regole degli NSG in uscita per Azure Confidential Ledger

Sarà necessario acquisire gli indirizzi IP di Azure Confidential Ledger e aggiungerli alle regole dell'NSG in uscita e alla tabella di route di Istanza gestita di SQL.

Ottenere gli indirizzi IP dell'endpoint del libro mastro e dell'endpoint del servizio di gestione delle identità

Nella pagina Informazioni generali di Azure Confidential Ledger di cui è stato effettuato il provisioning nel portale di Azure, acquisire il nome host dell'endpoint del libro mastro. Acquisire l'indirizzo IP dell'istanza di Azure Confidential Ledger usando ping o uno strumento di rete simile.

ping -a <ledgername>.confidential-ledger.azure.com
PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms

Analogamente, eseguire la procedura per l'istanza Identity Service Endpoint di Azure Confidential Ledger.

ping identity.confidential-ledger.core.azure.com
PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms

Aggiungere indirizzi IP alle regole dell'NSG in uscita

Questi due indirizzi IP devono essere aggiunti alle regole dell'NSG in uscita in Istanza gestita di SQL.

  1. Nel portale di Azure, andare a Gruppo di sicurezza di rete di Istanza gestita di SQL. Il Gruppo di sicurezza di rete è una risorsa separata nel Gruppo di risorse di Istanza gestita di SQL.

  2. Andare al menu Regole di sicurezza in uscita.

  3. Aggiungere i due indirizzi IP ottenuti nella sezione precedente come nuova regola in uscita:

    Selezionare la scheda Regole di sicurezza in uscita e Aggiungere una regola con priorità più alta rispetto alla regola deny_all_inbound con le impostazioni seguenti:

    Impostazione Valore suggerito Descrizione
    Origine Qualsiasi indirizzo IP o tag del servizio
    • Per i servizi Azure come Power BI, selezionare il tag del servizio cloud di Azure
    • Per il computer o la macchina virtuale Azure, usare l'indirizzo IP NAT
    Intervalli porte di origine * Lasciare questa opzione su * (qualsiasi) perché le porte di origine vengono in genere allocate in modo dinamico e, di conseguenza, sono imprevedibili
    Destinazione <1.123.123.123>, <13.107.246.70> Aggiungere gli indirizzi IP ottenuti nella sezione precedente per Azure Confidential Ledger
    Intervalli porte di destinazione 3342 Definire l'ambito della porta di destinazione a 3342, ovvero l'endpoint TDS pubblico dell'istanza gestita
    Servizio HTTPS Istanza gestita di SQL comunicherà con il libro mastro tramite HTTPS
    Azione Consenti Consentire il traffico in uscita dall'istanza gestita al libro mastro
    Priorità 1500 Assicurarsi che questa regola abbia priorità più alta rispetto alla regola deny_all_inbound

    Screenshot delle regole in uscita del gruppo di sicurezza di rete per consentire a SQL di comunicare con il libro mastro.

Aggiungere indirizzi IP alla tabella di route

Anche i due indirizzi IP di Azure Confidential Ledger devono essere aggiunti alla tabella di route:

  1. Nel portale di Azure, andare a Tabella di route di Istanza gestita di SQL. La Tabella di route è una risorsa separata nel Gruppo di risorse di Istanza gestita di SQL.

  2. Andare al menu Route in Impostazioni.

  3. Aggiungere i due indirizzi IP ottenuti nella sezione precedente come nuove route:

    Impostazione Valore suggerito Descrizione
    Nome route Usare un nome preferito Nome da usare per questa route
    Tipo di destinazione Indirizzi IP Usare il menu a discesa e selezionare Indirizzi IP
    Indirizzi IP/Intervalli CIDR di destinazione 1.123.123.123/32 In questo esempio, usiamo 1.123.123.123/32. Creare un'altra route per aggiungere l'endpoint del servizio di gestione delle identità, che in questo esempio è 13.107.246.70/32
    Tipo hop successivo Internet

    Screenshot dell'aggiunta di una route per la rete virtuale al libro mastro.

Verificare che la pianificazione percorso sia configurata correttamente

È possibile confermare che Istanza gestita di SQL è ora in grado di comunicare con Azure Confidential Ledger eseguendo una verifica del database. La query deve segnalare che Ledger verification succeeded.