Partilhar via

Configurar regras de NSG de Instância Gerenciada de SQL do Azure para funcionar com o Razão Confidencial do Azure

  • Artigo

Aplica-se a:Instância Gerenciada de SQL do Azure

Após habilitar o Razão Confidencial do Azure como seu local de resumo em sua Instância Gerenciada de SQL do Azure, você precisará configurar manualmente as regras da rede virtual de sua Instância Gerenciada de SQL do Azure para se comunicar com o Razão Confidencial do Azure.

Neste artigo, você aprenderá como:

  • Configure as regras da tabela de roteamento e o NSG (grupo de segurança de rede) da Instância Gerenciada de SQL para permitir o tráfego para o Razão Confidencial do Azure.

Permissões

Devido à confidencialidade dos dados na instância gerenciada, a configuração para habilitar o ponto de extremidade público da Instância Gerenciada de SQL do Azure requer um processo de duas etapas. Essa medida de segurança segue a separação de direitos (SoD):

  • O administrador da Instância Gerenciada de SQL precisa habilitar o ponto de extremidade público na Instância Gerenciada de SQL. O administrador da Instância Gerenciada de SQL está disponível na página Visão geral do recurso de Instância Gerenciada de SQL.
  • Um administrador de rede precisa permitir o tráfego para a Instância Gerenciada de SQL usando um NSG. Para obter mais informações, consulte as permissões do grupo de segurança de rede.

Habilitar regras de NSG de saída para o Razão Confidencial do Azure

Será necessário capturar os endereços IP do Razão Confidencial do Azure e adicioná-los às regras de NSG de saída e à tabela de rotas da sua Instância Gerenciada de SQL.

Obter endereços IP de ponto de extremidade do razão e de ponto de extremidade do serviço de identidade

Na página Visão Geral do Razão Confidencial do Azure provisionado no portal do Azure, capture o nome do host do Ponto de Extremidade do Razão. Adquira o endereço IP da instância do Razão Confidencial do Azure usando ping ou uma ferramenta de rede semelhante.

ping -a <ledgername>.confidential-ledger.azure.com

PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms

Da mesma forma, execute o procedimento para a instância Identity Service Endpoint do Razão Confidencial do Azure.

ping identity.confidential-ledger.core.azure.com

PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms

Adicionar endereços IP às regras de NSG de saída

Adicione esses dois endereços IP às regras de NSG de saída da sua Instância Gerenciada de SQL.

  1. No Portal do Azure, acesse o Grupo de segurança de rede da sua Instância Gerenciada de SQL. O Grupo de segurança de rede é um recurso distinto no Grupo de recursos da Instância Gerenciada de SQL.

  2. Acesse o menu Regras de segurança de saída.

  3. Adicione como uma nova regra de saída os dois endereços IP obtidos na seção anterior:

    Selecione a guia Regras de segurança de saída e Adicione uma regra que tenha prioridade mais alta do que a regra deny_all_inbound com as seguintes configurações:

    Configuração Valor sugerido Descrição
    Origem Qualquer endereço IP ou marca de serviço
    • Para serviços do Azure como Power BI, selecione a Marca de serviço de nuvem do Azure
    • Para seu computador ou máquina virtual do Azure, use o endereço IP de NAT
    Intervalos de portas de origem * Deixe isso como * (qualquer), já que geralmente as portas de origem são alocadas dinamicamente e, consequentemente, imprevisíveis
    Destino <1.123.123.123>, <13.107.246.70> Adicionar os endereços IP obtidos na seção anterior para o Razão Confidencial do Azure
    Intervalos de portas de destino 3342 Porta de destino do escopo para 3342, que é o ponto de extremidade TDS público da instância gerenciada
    Serviço HTTPS A Instância Gerenciada de SQL se comunicará com o razão por HTTPS
    Ação Permitir Permitir tráfego de saída da instância gerenciada para o razão
    Prioridade 1500 Verificar se essa regra é de prioridade mais alta do que a regra deny_all_inbound

    Screenshot of NSG outbound rules to enable SQL to communicate with the ledger.

Adicionar endereços IP à tabela de rotas

Adicione também os dois endereços IP do Razão Confidencial do Azure à Tabela de rotas:

  1. No portal do Azure, acesse a Tabela de rotas da Instância Gerenciada de SQL. A Tabela de rotas é um recurso distinto no Grupo de recursos da Instância Gerenciada de SQL.

  2. Acesse o menu Rotas em Configurações.

  3. Adicione como novas rotas os dois endereços IP obtidos na seção anterior:

    Configuração Valor sugerido Descrição
    Nome da rota Usar um nome preferencial O nome que você deseja usar para esta rota
    Tipo de destino Endereços IP Selecione Endereços IP no menu suspenso.
    Intervalos de CIDR /endereço IP de destino 1.123.123.123/32 Neste exemplo, usamos 1.123.123.123/32. Crie outra rota para adicionar o ponto de extremidade do serviço de identidade, que é 13.107.246.70/32 neste exemplo
    Tipo do próximo salto Internet

    Screenshot of adding a route for the VNET to the ledger.

Verificar se o roteamento está configurado corretamente

É possível confirmar que sua Instância Gerenciada de SQL pode se comunicar com o Razão Confidencial do Azure executando uma verificação de banco de dados. A consulta deve relatar que Ledger verification succeeded.

Conteúdo relacionado