Azure Firewall-toepassingsregels configureren met SQL FQDN's

U kunt Azure Firewall-toepassingsregels configureren met SQL FQDN's. Deze configuratie beperkt de toegang van uw virtuele netwerken tot alleen de opgegeven SQL Server-exemplaren.

Met behulp van SQL-FQDN's kunt u verkeer filteren:

• Van uw virtuele netwerken naar een Azure SQL Database of Azure Synapse Analytics. Bijvoorbeeld: Alleen toegang tot sql-server1.database.windows.NET toestaan.
• Van on-premises naar Azure SQL Managed Instances of SQL IaaS die worden uitgevoerd in uw virtuele netwerken.
• Van spoke-to-spoke naar Azure SQL Managed Instances of SQL IaaS draaiende in uw virtuele netwerken.

Filteren op SQL FQDN wordt alleen ondersteund in de proxymodus (poort 1433). Als u SQL in de standaardomleidingsmodus gebruikt, kunt u de toegang filteren met behulp van de SQL-servicetag als onderdeel van netwerkregels. Als u niet-standaardpoorten gebruikt voor SQL IaaS-verkeer, kunt u deze poorten configureren in de firewalltoepassingsregels.

Configureren met behulp van Azure CLI

1. Implementeer een Azure Firewall met behulp van Azure CLI.

2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, stelt u de SQL-connectiviteitsmodus in op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

   Opmerking

   De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

3. Maak een nieuwe regelverzameling met een toepassingsregel die gebruikmaakt van SQL FQDN om toegang tot een SQL-server toe te staan:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Configureren met behulp van Azure PowerShell

1. Implementeer een Azure Firewall met behulp van Azure PowerShell.

2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, stelt u de SQL-connectiviteitsmodus in op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

   Opmerking

   De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

3. Maak een nieuwe regelverzameling met een toepassingsregel die gebruikmaakt van SQL FQDN om toegang tot een SQL-server toe te staan:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433"
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection"
      Priority   = 1000
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)
   Set-AzFirewall -AzureFirewall $AzFw
   

Configureren met behulp van Azure Portal

1. Implementeer een Azure Firewall met behulp van Azure Portal.

2. Als u verkeer filtert naar Azure SQL Database, Azure Synapse Analytics of SQL Managed Instance, stelt u de SQL-connectiviteitsmodus in op Proxy. Zie Azure SQL-connectiviteitsinstellingen voor meer informatie over het overschakelen van de SQL-connectiviteitsmodus.

   Opmerking

   De SQL-proxymodus kan leiden tot meer latentie in vergelijking met omleiding. Als u de omleidingsmodus wilt blijven gebruiken, wat de standaardmodus is voor clients die verbinding maken in Azure, kunt u de toegang filteren met behulp van de SQL-servicetag in firewallnetwerkregels.

3. Voeg de toepassingsregel toe met het juiste protocol, de poort en de SQL-FQDN en selecteer Opslaan.

4. Toegang krijgen tot SQL vanaf een virtuele machine in een virtueel netwerk waarmee het verkeer via de firewall wordt gefilterd.

5. Controleer of azure Firewall-logboeken aangeven dat het verkeer is toegestaan.

Volgende stappen

Zie de connectiviteitsarchitectuur van Azure SQL Database voor meer informatie over sql-proxy- en omleidingsmodi.