Azure Private Link dla Azure SQL Managed Instance

  • Artykuł

Dotyczy:Azure SQL Managed Instance

Ten artykuł zawiera omówienie prywatnego punktu końcowego dla usługi Azure SQL Managed Instance, a także kroki konfigurowania go. Prywatne punkty końcowe ustanawiają bezpieczną, izolowana łączność między usługą i wieloma sieciami wirtualnymi bez uwidaczniania całej infrastruktury sieciowej usługi.

Omówienie

Usługa Private Link to technologia platformy Azure, która udostępnia usługę Azure SQL Managed Instance w wybranej sieci wirtualnej. Administrator sieci może ustanowić prywatny punkt końcowy w usłudze Azure SQL Managed Instance w swojej sieci wirtualnej, podczas gdy administrator SQL decyduje się zaakceptować lub odrzucić punkt końcowy, zanim stanie się aktywny. Prywatne punkty końcowe ustanawiają bezpieczną, izolowana łączność między usługą i wieloma sieciami wirtualnymi bez uwidaczniania całej infrastruktury sieciowej usługi.

Czym różnią się prywatne punkty końcowe od punktów końcowych lokalnych sieci wirtualnej

Domyślny lokalny punkt końcowy sieci wirtualnej wdrożony z każdą usługą Azure SQL Managed Instance działa tak, jakby komputer z uruchomioną usługą był fizycznie dołączony do sieci wirtualnej. Umożliwia niemal pełną kontrolę ruchu za pośrednictwem tabel routingu, sieciowych grup zabezpieczeń, rozpoznawania nazw DNS, zapór i podobnych mechanizmów. Możesz również użyć tego punktu końcowego, aby zaangażować wystąpienie w scenariuszach wymagających łączności na portach innych niż 1433, takich jak grupy trybu failover, transakcje rozproszone i link wystąpienia zarządzanego. Mimo że lokalny punkt końcowy sieci wirtualnej zapewnia elastyczność, zwiększa złożoność konfigurowania dla określonych scenariuszy, zwłaszcza tych obejmujących wiele sieci wirtualnych lub dzierżaw.

Z kolei skonfigurowanie prywatnego punktu końcowego przypomina przedłużenie fizycznego kabla sieciowego od komputera z usługą Azure SQL Managed Instance do innej sieci wirtualnej. Ta ścieżka łączności jest ustanawiana praktycznie za pośrednictwem technologii azure Private Link. Zezwala tylko na połączenia w jednym kierunku: od prywatnego punktu końcowego do usługi Azure SQL Managed Instance i przesyła tylko ruch na porcie 1433 (standardowy port ruchu TDS). W ten sposób usługa Azure SQL Managed Instance staje się dostępna dla innej sieci wirtualnej bez konieczności konfigurowania komunikacji równorzędnej sieci ani włączania publicznego punktu końcowego wystąpienia. Nawet jeśli przeniesiesz wystąpienie do innej podsieci, wszystkie ustanowione prywatne punkty końcowe będą nadal wskazywać wystąpienie.

Aby zapoznać się z bardziej szczegółowym omówieniem różnych typów punktów końcowych obsługiwanych przez usługę Azure SQL Managed Instance, zobacz Omówienie komunikacji.

Kiedy używać prywatnych punktów końcowych

Prywatne punkty końcowe w usłudze Azure SQL Managed Instance są bezpieczniejsze niż korzystanie z lokalnego punktu końcowego sieci wirtualnej lub publicznego punktu końcowego i upraszcza implementację ważnych scenariuszy łączności. Scenariusze obejmują:

  • Airlock. Prywatne punkty końcowe usługi Azure SQL Managed Instance są wdrażane w sieci wirtualnej z serwerami przesiadkowymi i bramą usługi ExpressRoute, zapewniając bezpieczeństwo i izolację między zasobami lokalnymi i zasobami w chmurze.
  • Topologia piasty i szprych. Prywatne punkty końcowe w sieciach wirtualnych będących szprychami przesyłają ruch z klientów i aplikacji SQL do usługi Azure SQL Managed Instance w sieci wirtualnej będącej piastą, ustanawiając wyraźną izolację sieci i separację odpowiedzialności.
  • Wydawca-konsument. Dzierżawa wydawcy (na przykład niezależnego dostawcy oprogramowania) zarządza wieloma wystąpieniami zarządzanymi SQL w swoich sieciach wirtualnych. Wydawca tworzy prywatne punkty końcowe w sieciach wirtualnych innych dzierżaw, aby udostępnić wystąpienia swoim konsumentom.
  • Integracja usług Azure PaaS i SaaS. Niektóre usługi PaaS i SaaS, takie jak Azure Data Factory, mogą tworzyć prywatne punkty końcowe i zarządzać nimi w usłudze Azure SQL Managed Instance.

Zalety korzystania z prywatnych punktów końcowych za pośrednictwem lokalnego punktu końcowego sieci wirtualnej lub publicznego punktu końcowego:

  • Przewidywalność adresów IP: prywatny punkt końcowy usługi Azure SQL Managed Instance ma przypisany stały adres IP z zakresu adresów jego podsieci. Ten adres IP pozostaje statyczny, nawet jeśli adresy IP lokalnych punktów końcowych sieci wirtualnej lub publicznych punktów końcowych zmienią się.
  • Szczegółowa kontrola dostępu do sieci: prywatny punkt końcowy jest widoczny tylko w sieci wirtualnej.
  • Silna izolacja sieci: w scenariuszu z komunikacją równorzędną sieci wirtualne połączone równorzędnie ustanawiają dwukierunkową łączność, a prywatne punkty końcowe są jednokierunkowe i nie uwidaczniają zasobów sieciowych w swojej sieci usłudze Azure SQL Managed Instance.
  • Unikanie nakładania się adresów: komunikacja równorzędna wielu sieci wirtualnych wymaga starannej alokacji przestrzeni adresów IP i może stanowić problem, gdy przestrzenie adresowe nakładają się na siebie.
  • Oszczędzanie zasobu adresów IP: prywatny punkt końcowy wykorzystuje tylko jeden adres IP z przestrzeni adresowej podsieci.

Ograniczenia

  • Usługa Azure SQL Managed Instance wymaga, aby dokładna nazwa hosta wystąpienia pojawiła się w parametry połączenia wysłanym przez klienta SQL. Użycie adresu IP prywatnego punktu końcowego nie jest obsługiwane i zakończy się niepowodzeniem. Aby rozwiązać ten problem, skonfiguruj serwer DNS lub użyj prywatnej strefy DNS zgodnie z opisem w temacie Konfigurowanie rozpoznawania nazw domen dla prywatnego punktu końcowego.
  • Automatyczna rejestracja nazw DNS nie jest jeszcze obsługiwana. Wykonaj kroki opisane w temacie Konfigurowanie rozpoznawania nazw domen dla prywatnego punktu końcowego .
  • Prywatne punkty końcowe usługi SQL Managed Instance mogą być używane tylko do nawiązywania połączenia z portem 1433, standardowym portem TDS dla ruchu SQL. Bardziej złożone scenariusze łączności wymagające komunikacji na innych portach należy ustanowić za pośrednictwem lokalnego punktu końcowego sieci wirtualnej wystąpienia.
  • Prywatne punkty końcowe w usłudze Azure SQL Managed Instance wymagają specjalnej konfiguracji w celu skonfigurowania wymaganej rozpoznawania nazw DNS, zgodnie z opisem w temacie Konfigurowanie rozpoznawania nazw domen dla prywatnego punktu końcowego.
  • Prywatne punkty końcowe zawsze działają z typem połączenia serwera proxy.

Tworzenie prywatnego punktu końcowego w sieci wirtualnej

Utwórz prywatny punkt końcowy przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure:

Po utworzeniu prywatnego punktu końcowego może być również konieczne zatwierdzenie jego utworzenia w docelowej sieci wirtualnej; Zobacz Przeglądanie i zatwierdzanie żądania utworzenia prywatnego punktu końcowego.

Aby zapewnić pełne działanie prywatnego punktu końcowego w usłudze SQL Managed Instance, postępuj zgodnie z instrukcjami, aby skonfigurować rozpoznawanie nazw domen dla prywatnego punktu końcowego.

Tworzenie prywatnego punktu końcowego w usłudze PaaS lub SaaS

Niektóre usługi PaaS i SaaS platformy Azure mogą używać prywatnych punktów końcowych do uzyskiwania dostępu do danych z poziomu ich środowisk. Procedura konfigurowania prywatnego punktu końcowego w takiej usłudze (czasami nazywanej "zarządzanym prywatnym punktem końcowym" lub "prywatnym punktem końcowym w zarządzanej sieci wirtualnej") różni się w zależności od usług. Administrator nadal musi przejrzeć i zatwierdzić żądanie w usłudze Azure SQL Managed Instance, zgodnie z opisem w artykule Przeglądanie i zatwierdzanie żądania utworzenia prywatnego punktu końcowego.

Uwaga

Usługa Azure SQL Managed Instance wymaga parametry połączenia od klienta SQL, aby mieć nazwę wystąpienia jako pierwszy segment nazwy domeny (na przykład: <instance-name>.<dns-zone>.database.windows.net). Usługi PaaS i SaaS, które próbują nawiązać połączenie z prywatnym punktem końcowym usługi Azure SQL Managed Instance za pośrednictwem jego adresu IP, nie będą mogły nawiązać połączenia.

Tworzenie prywatnego punktu końcowego między dzierżawami

Prywatne punkty końcowe w usłudze Azure SQL Managed Instance można również tworzyć w różnych dzierżawach platformy Azure. Aby to zrobić, administrator sieci wirtualnej, w której powinien pojawić się prywatny punkt końcowy, musi najpierw uzyskać pełny identyfikator zasobu wystąpienia zarządzanego Azure SQL, z którego ma zażądać prywatnego punktu końcowego. Dzięki tym informacjom można utworzyć nowy prywatny punkt końcowy w Centrum usługi Private Link. Tak jak wcześniej administrator usługi Azure SQL Managed Instance otrzyma żądanie, które może przejrzeć i zatwierdzić lub odrzucić, zgodnie z artykułem Przeglądanie i zatwierdzanie żądania utworzenia prywatnego punktu końcowego.

Przeglądanie i zatwierdzanie żądania utworzenia prywatnego punktu końcowego

Po utworzeniu prywatnego punktu końcowego administrator SQL może zarządzać połączeniem prywatnego punktu końcowego z usługą Azure SQL Managed Instance. Pierwszym krokiem do zarządzania nowym połączeniem prywatnego punktu końcowego jest przejrzenie i zatwierdzenie prywatnego punktu końcowego. Ten krok jest automatyczny, jeśli użytkownik lub usługa tworząca prywatny punkt końcowy ma wystarczające uprawnienia kontroli dostępu na podstawie ról platformy Azure w zasobie usługi Azure SQL Managed Instance. Jeśli użytkownik nie ma wystarczających uprawnień, należy ręcznie przeprowadzić przegląd i zatwierdzenie prywatnego punktu końcowego.

Aby zatwierdzić prywatny punkt końcowy, wykonaj następujące kroki:

  1. Przejdź do wystąpienia zarządzanego Azure SQL w witrynie Azure Portal.

  2. W obszarze Zabezpieczenia wybierz pozycję Połączenia prywatnych punktów końcowych.

    Screenshot of the Azure portal, private endpoint connections page showing two pending connections.

  3. Przejrzyj połączenia, które mają stan Oczekiwanie i zaznacz pole wyboru, aby wybrać co najmniej jedno połączenie prywatnego punktu końcowego do zatwierdzenia lub odrzucenia.

    Screenshot of the Azure portal, one private endpoint connection selected for approval.

  4. Wybierz pozycję Zatwierdź lub Odrzuć, a następnie wybierz pozycję Tak w oknie dialogowym weryfikując akcję.

    Screenshot of dialog prompting for a response message to accompany the approval of a connection.

  5. Po zatwierdzeniu lub odrzuceniu połączenia lista prywatnego punktu końcowego Połączenie ion odzwierciedla stan bieżących połączeń prywatnych punktów końcowych, a także komunikat żądania/odpowiedzi.

    Screenshot of the Azure portal, private endpoint connections page showing one pending and one approved connection.

Konfigurowanie rozpoznawania nazw domen dla prywatnego punktu końcowego

Po utworzeniu prywatnego punktu końcowego w usłudze Azure SQL Managed Instance należy skonfigurować rozpoznawanie nazw domen, ponieważ w przeciwnym razie próby logowania nie powiedzą się. Poniższa metoda działa w przypadku sieci wirtualnych korzystających z rozpoznawania nazw DNS platformy Azure. Jeśli sieć wirtualna jest skonfigurowana do używania niestandardowego serwera DNS, odpowiednio dostosuj kroki.

Aby skonfigurować rozpoznawanie nazw domen dla prywatnego punktu końcowego do wystąpienia, którego nazwa domeny lokalnego punktu końcowego sieci wirtualnej to <instance-name>.<dns-zone>.database.windows.net, wykonaj jedną z dwóch poniższych procedur w zależności od tego, czy wystąpienie i jego prywatny punkt końcowy znajdują się w tej samej sieci wirtualnej, czy w różnych sieciach wirtualnych.

Ważne

Nie zmieniaj sposobu rozpoznawania nazwy domeny lokalnego punktu końcowego usługi Azure SQL Managed Instance w ramach własnej sieci wirtualnej. W ten sposób zakłóca to zdolność wystąpienia do wykonywania operacji zarządzania.

Wykonaj następujące kroki, jeśli prywatny punkt końcowy i usługa Azure SQL Managed Instance znajdują się w różnych sieciach wirtualnych.

Po wykonaniu tych kroków klienci SQL łączący <instance-name>.<dns-zone>.database.windows.net się z siecią wirtualną punktu końcowego będą w przezroczysty sposób kierowani przez prywatny punkt końcowy.

  1. Uzyskaj adres IP prywatnego punktu końcowego, odwiedzając Centrum usługi Private Link lub wykonując następujące kroki:

    1. Przejdź do wystąpienia zarządzanego Azure SQL w witrynie Azure Portal.

    2. W obszarze Zabezpieczenia wybierz pozycję Połączenia prywatnych punktów końcowych.

    3. Znajdź połączenie prywatnego punktu końcowego w tabeli i wybierz nazwę prywatnego punktu końcowego dla wybranego połączenia.

      Screenshot of the Azure portal, private endpoint connections pane the private endpoint name highlighted.

    4. Na stronie *Przegląd wybierz interfejs sieciowy.

      Screenshot of the Azure portal, private endpoint connection overview with a highlight on network interface.

    5. Na stronie Przegląd sprawdź podstawowe elementy, aby zidentyfikować i skopiować prywatny adres IP.

      Screenshot of the Azure portal, private endpoint connection's network interface with a highlight on its private IP address.

  2. Utwórz prywatną strefę usługi Azure DNS o nazwie privatelink.<dns-zone>.database.windows.net.

  3. Połącz prywatną strefę DNS z siecią wirtualną punktu końcowego.

  4. W strefie DNS utwórz nowy zestaw rekordów z następującymi wartościami:

    • Nazwa: <instance-name>
    • Typ: A
    • Adres IP: adres IP prywatnego punktu końcowego uzyskanego w poprzednim zestawie.

Następne kroki