Konfigurowanie zasad punktu końcowego usługi (wersja zapoznawcza) dla usługi Azure SQL Managed Instance

Dotyczy:Azure SQL Managed Instance

Zasady punktu końcowego usługi Azure Storage dla sieci wirtualnej (VNet) umożliwiają filtrowanie ruchu wychodzącego sieci wirtualnej do usługi Azure Storage, co ogranicza transfer danych do określonych kont magazynu.

Możliwość skonfigurowania zasad punktów końcowych i skojarzenia ich z usługą SQL Managed Instance jest obecnie dostępna w wersji zapoznawczej.

Kluczowe korzyści

Konfigurowanie zasad punktu końcowego usługi Azure Storage dla usługi Azure SQL Managed Instance w sieci wirtualnej zapewnia następujące korzyści:

• Ulepszone zabezpieczenia ruchu usługi Azure SQL Managed Instance do usługi Azure Storage: zasady punktu końcowego ustanawiają kontrolę zabezpieczeń, która uniemożliwia błędne lub złośliwe eksfiltrację danych krytycznych dla działania firmy. Ruch może być ograniczony tylko do tych kont magazynu, które są zgodne z wymaganiami dotyczącymi ładu danych.

• Szczegółowa kontrola nad dostępem do kont magazynu: zasady punktu końcowego usługi mogą zezwalać na ruch do kont magazynu na poziomie subskrypcji, grupy zasobów i poszczególnych kont magazynu. Administratorzy mogą używać zasad punktu końcowego usługi do wymuszania przestrzegania architektury zabezpieczeń danych organizacji na platformie Azure.

• Ruch systemowy pozostaje nienaruszony: zasady punktu końcowego usługi nigdy nie blokują dostępu do magazynu wymaganego do działania usługi Azure SQL Managed Instance. Obejmuje to przechowywanie kopii zapasowych, plików danych, plików dziennika transakcji i innych zasobów.

Ważne

Zasady punktu końcowego usługi kontrolują tylko ruch pochodzący z podsieci usługi SQL Managed Instance i kończy działanie w usłudze Azure Storage. Zasady nie mają wpływu na przykład eksportowanie bazy danych do lokalnego pliku BACPAC, integracji usługi Azure Data Factory, zbierania informacji diagnostycznych za pośrednictwem ustawień diagnostycznych platformy Azure lub innych mechanizmów wyodrębniania danych, które nie są bezpośrednio przeznaczone dla usługi Azure Storage.

Ograniczenia

Włączanie zasad punktu końcowego usługi dla usługi Azure SQL Managed Instance ma następujące ograniczenia:

• W wersji zapoznawczej umieszczenie zasad punktu końcowego usługi w podsieci spowoduje zakłócenia możliwości wystąpień w tej podsieci do wykonywania przywracania do punktu w czasie (PITR) z wystąpienia w innej podsieci. Zasady punktu końcowego usługi nie uniemożliwiają jednak wystąpieniom w innych podsieciach przywracania kopii zapasowych z tej podsieci.
• W wersji zapoznawczej ta funkcja jest dostępna we wszystkich regionach świadczenia usługi Azure, w których jest obsługiwane wystąpienie zarządzane SQL, z wyjątkiem Chin Wschodnich 2, Chiny Północne 2, Środkowe stany USA EUAP, Wschodnie stany USA 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Wirginia i Zachodnie środkowe stany USA.
• Funkcja jest dostępna tylko dla sieci wirtualnych wdrożonych za pomocą modelu wdrażania przy użyciu usługi Azure Resource Manager.
• Ta funkcja jest dostępna tylko w podsieciach z włączonymi punktami końcowymi usługi Azure Storage.
• Przypisanie zasad punktu końcowego usługi do punktu końcowego usługi uaktualni punkt końcowy z regionu do zakresu globalnego. Innymi słowy cały ruch do usługi Azure Storage będzie przechodził przez punkt końcowy usługi niezależnie od regionu, w którym znajduje się konto magazynu.
• Zezwolenie na konto magazynu będzie automatycznie zezwalać na dostęp do pomocniczego magazynu RA-GRS.

Przygotowywanie spisu magazynu

Przed rozpoczęciem konfigurowania zasad punktu końcowego usługi w podsieci utwórz listę kont magazynu, do których wystąpienie zarządzane powinno mieć dostęp w tej podsieci.

Poniżej znajduje się lista przepływów pracy, które mogą kontaktować się z usługą Azure Storage:

• Inspekcja w usłudze Azure Storage.
• Wykonywanie kopii zapasowej tylko do kopiowania do usługi Azure Storage.
• Przywracanie bazy danych z usługi Azure Storage.
• Importowanie danych za pomocą funkcji BULK INSERT lub OPENROWSET(BULK ...).
• Rejestrowanie zdarzeń rozszerzonych w obiekcie docelowym pliku zdarzeń w usłudze Azure Storage.
• Migracja usługi Azure DMS w trybie offline do usługi Azure SQL Managed Instance.
• Migracja usługi Replay Service do usługi Azure SQL Managed Instance.
• Synchronizowanie tabel przy użyciu replikacji transakcyjnej.

Zanotuj nazwę konta, grupę zasobów i subskrypcję dla dowolnego konta magazynu, które uczestniczy w tych lub innych przepływach pracy, które uzyskują dostęp do magazynu.

Konfigurowanie zasad

Najpierw należy utworzyć zasady punktu końcowego usługi, a następnie skojarzyć je z podsiecią usługi SQL Managed Instance. Zmodyfikuj przepływ pracy w tej sekcji zgodnie z potrzebami biznesowymi.

Uwaga

• Podsieci usługi SQL Managed Instance wymagają zasad, aby zawierały alias usługi /Services/Azure/ManagedInstance (zobacz krok 5).
• Wystąpienia zarządzane wdrożone w podsieci, która zawiera już zasady punktu końcowego usługi, zostaną automatycznie uaktualnione alias usługi /Services/Azure/ManagedInstance.

Tworzenie zasad punktu końcowego usługi

Aby utworzyć zasady punktu końcowego usługi, wykonaj następujące kroki:

1. Zaloguj się do Azure Portal.

2. Wybierz pozycję + Utwórz zasób.

3. W okienku wyszukiwania wprowadź zasady punktu końcowego usługi, wybierz pozycję Zasady punktu końcowego usługi, a następnie wybierz pozycję Utwórz.

   

4. Wypełnij następujące wartości na stronie Podstawy :

   • Subskrypcja: wybierz subskrypcję zasad z listy rozwijanej.
   • Grupa zasobów: wybierz grupę zasobów, w której znajduje się wystąpienie zarządzane, lub wybierz pozycję Utwórz nową i wprowadź nazwę nowej grupy zasobów.
   • Nazwa: podaj nazwę zasad, taką jak mySEP.
   • Lokalizacja: wybierz region sieci wirtualnej hostująca wystąpienie zarządzane.

   

5. W obszarze Definicje zasad wybierz pozycję Dodaj alias i wprowadź następujące informacje w okienku Dodawanie aliasu:

   • Alias usługi: wybierz pozycję /Services/Azure/ManagedInstance.
   • Wybierz pozycję Dodaj , aby zakończyć dodawanie aliasu usługi.

   

6. W obszarze Definicje zasad wybierz pozycję + Dodaj w obszarze Zasoby i wprowadź lub wybierz następujące informacje w okienku Dodawanie zasobu:

   • Usługa: wybierz pozycję Microsoft.Storage.
   • Zakres: wybierz pozycję Wszystkie konta w subskrypcji.
   • Subskrypcja: wybierz subskrypcję zawierającą konta magazynu, na które chcesz zezwolić. Zapoznaj się ze spisem utworzonych wcześniej kont usługi Azure Storage.
   • Wybierz pozycję Dodaj , aby zakończyć dodawanie zasobu.
   • Powtórz ten krok, aby dodać dodatkowe subskrypcje.

   

7. Opcjonalnie: tagi można skonfigurować w zasadach punktu końcowego usługi w obszarze Tagi.

8. Wybierz pozycję Przejrzyj i utwórz. Zweryfikuj informacje i wybierz pozycję Utwórz. Aby wprowadzić dalsze zmiany, wybierz pozycję Wstecz.

Napiwek

Najpierw skonfiguruj zasady, aby zezwolić na dostęp do całych subskrypcji. Zweryfikuj konfigurację, upewniając się, że wszystkie przepływy pracy działają normalnie. Następnie opcjonalnie skonfiguruj ponownie zasady, aby zezwolić na poszczególne konta magazynu lub konta w grupie zasobów. W tym celu wybierz pozycję Pojedyncze konto lub Wszystkie konta w grupie zasobów w polu Zakres: zamiast tego wypełnij pozostałe pola.

Kojarzenie zasad z podsiecią

Po utworzeniu zasad punktu końcowego usługi skojarz zasady z podsiecią usługi SQL Managed Instance.

Aby skojarzyć zasady, wykonaj następujące kroki:

1. W polu Wszystkie usługi w witrynie Azure Portal wyszukaj sieci wirtualne. Wybierz pozycję Sieci wirtualne.

2. Znajdź i wybierz sieć wirtualną hostująca wystąpienie zarządzane.

3. Wybierz pozycję Podsieci i wybierz podsieć dedykowaną dla wystąpienia zarządzanego. Wprowadź następujące informacje w okienku podsieci:

   • Usługi: wybierz pozycję Microsoft.Storage. Jeśli to pole jest puste, musisz skonfigurować punkt końcowy usługi dla usługi Azure Storage w tej podsieci.
   • Zasady punktu końcowego usługi: wybierz dowolne zasady punktu końcowego usługi, które chcesz zastosować do podsieci usługi SQL Managed Instance.

   

4. Wybierz pozycję Zapisz , aby zakończyć konfigurowanie sieci wirtualnej.

Ostrzeżenie

Jeśli zasady w tej podsieci nie mają aliasu /Services/Azure/ManagedInstance , może zostać wyświetlony następujący błąd: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Aby rozwiązać ten problem, zaktualizuj wszystkie zasady w podsieci, aby uwzględnić /Services/Azure/ManagedInstance alias.

Następne kroki

• Dowiedz się więcej na temat zabezpieczania kont usługi Azure Storage.
• Przeczytaj o możliwościach zabezpieczeń usługi SQL Managed Instance.
• Zapoznaj się z architekturą łączności usługi SQL Managed Instance.