Поделиться через


Руководство. Подключение к серверу SQL Azure с помощью частной конечной точки Azure с помощью портал Azure

Частная конечная точка Azure — ключевой компонент для построения Приватного канала в Azure. Это позволяет ресурсам Azure, таким как виртуальные машины, конфиденциально и безопасно обмениваться данными с ресурсами Приватного канала, например с сервером Azure SQL.

Схема ресурсов, созданных в кратком руководстве по частной конечной точке.

В этом руководстве описано следующее:

  • Создание виртуальной сети и узла бастиона.
  • Создайте виртуальную машину.
  • Создание Azure SQL Server и частной конечной точки.
  • Проверка подключения к частной конечной точке SQL Server.

Если у вас нет подписки Azure, создайте бесплатную учетную запись, прежде чем приступить к работе.

Необходимые компоненты

  • Подписка Azure

Вход в Azure

Войдите на портал Azure.

Создание виртуальной сети и узла Бастиона Azure

Следующая процедура создает виртуальную сеть с подсетью ресурсов, подсетью Бастиона Azure и узлом Бастиона:

  1. На портале найдите и выберите "Виртуальные сети".

  2. На странице Виртуальные сети выберите команду + Создать.

  3. На вкладке "Основы" создайте виртуальную сеть, введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите Создать.
    Введите test-rg для имени.
    Нажмите кнопку ОК.
    Сведения об экземпляре
    Имя. Введите vnet-1.
    Область/регион Выберите регион Восточная часть США 2.

    Снимок экрана: вкладка

  4. Нажмите кнопку "Далее ", чтобы перейти на вкладку "Безопасность ".

  5. В разделе "Бастион Azure" выберите "Включить Бастион Azure".

    Бастион использует браузер для подключения к виртуальным машинам в виртуальной сети через Secure Shell (SSH) или протокол удаленного рабочего стола (RDP) с помощью частных IP-адресов. Виртуальные машины не нуждаются в общедоступных IP-адресах, клиентском программном обеспечении или специальной конфигурации. Подробные сведения см. в статье Что такое Бастион Azure?

    Примечание.

    Почасовая цена начинается с момента развертывания Бастиона независимо от использования исходящих данных. Дополнительные сведения см. в разделе "Цены и номера SKU". Если вы развертываете Бастион в рамках руководства или теста, рекомендуется удалить этот ресурс после завершения работы с ним.

  6. В Бастионе Azure введите или выберите следующие сведения:

    Параметр Значение
    Имя узла Бастиона Azure Введите бастион.
    Общедоступный IP-адрес Бастиона Azure Выберите " Создать общедоступный IP-адрес".
    Введите public-ip-бастион в поле "Имя".
    Нажмите кнопку ОК.

    Снимок экрана: параметры включения узла Бастиона Azure в рамках создания виртуальной сети в портал Azure.

  7. Нажмите кнопку "Рядом ", чтобы перейти на вкладку IP-адресов .

  8. В поле адресного пространства в подсетях выберите подсеть по умолчанию .

  9. В разделе "Изменить подсеть" введите или выберите следующие сведения:

    Параметр Значение
    Назначение подсети Оставьте значение по умолчанию по умолчанию.
    Имя. Введите подсеть-1.
    IРv4
    Диапазон адресов IPv4 Оставьте значение по умолчанию 10.0.0.0/16.
    Начальный адрес Оставьте значение по умолчанию 10.0.0.0.
    Размер Оставьте значение по умолчанию /24 (256 адресов).

    Снимок экрана: сведения о конфигурации для подсети.

  10. Выберите Сохранить.

  11. Выберите "Проверка и создание " в нижней части окна. После завершения проверки нажмите кнопку Создать.

Создание тестовой виртуальной машины

Следующая процедура создает тестовую виртуальную машину с именем vm-1 в виртуальной сети.

  1. На портале найдите и выберите "Виртуальные машины".

  2. На виртуальных машинах нажмите кнопку +Создать, а затем виртуальную машину Azure.

  3. На вкладке Основные сведения страницы Создание виртуальной машины введите или выберите следующие значения параметров:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения об экземпляре
    Virtual machine name Введите vm-1.
    Область/регион Выберите регион Восточная часть США 2.
    Параметры доступности Выберите Избыточность инфраструктуры не требуется.
    Тип безопасности Оставьте значение по умолчанию Стандартный.
    Изображения Выберите Ubuntu Server 22.04 LTS — x64-го поколения 2-го поколения.
    Архитектура виртуальной машины Оставьте значение по умолчанию x64.
    Размер Выберите размер.
    Учетная запись администратора
    Тип аутентификации выберите Пароль.
    Username Введите azureuser.
    Пароль Введите пароль.
    Подтверждение пароля Повторно введите пароль.
    Правила входящего порта
    Общедоступные входящие порты Выберите Отсутствует.
  4. Выберите вкладку "Сеть" в верхней части страницы.

  5. На вкладке Сеть введите или выберите следующие значения параметров:

    Параметр Значение
    Сетевой интерфейс
    Виртуальная сеть Выберите виртуальную сеть-1.
    Подсеть Выберите подсеть-1 (10.0.0.0/24).
    Общедоступный IP-адрес Выберите Отсутствует.
    Группа безопасности сети сетевого адаптера Выберите Дополнительно.
    Настройка группы безопасности сети Выберите Создать.
    Введите nsg-1 для имени.
    Оставьте остальные значения по умолчанию и нажмите кнопку "ОК".
  6. Оставьте остальные параметры по умолчанию и нажмите кнопку "Просмотр и создание".

  7. Проверьте параметры и выберите Создать.

Примечание.

Виртуальные машины в виртуальной сети с узлом бастиона не требуют общедоступных IP-адресов. Бастион предоставляет общедоступный IP-адрес, а виртуальные машины используют частные IP-адреса для обмена данными в сети. Вы можете удалить общедоступные IP-адреса из любых виртуальных машин в размещенных виртуальных сетях бастиона. Дополнительные сведения см. в разделе "Отсообщение общедоступного IP-адреса" с виртуальной машины Azure.

Примечание.

Azure предоставляет IP-адрес исходящего доступа по умолчанию для виртуальных машин, которые либо не назначены общедоступным IP-адресом, либо находятся в серверном пуле внутренней подсистемы балансировки нагрузки Azure. Механизм IP-адреса исходящего трафика по умолчанию предоставляет исходящий IP-адрес, который нельзя настроить.

IP-адрес исходящего доступа по умолчанию отключен при возникновении одного из следующих событий:

  • Общедоступный IP-адрес назначается виртуальной машине.
  • Виртуальная машина размещается в серверном пуле стандартной подсистемы балансировки нагрузки с правилами исходящего трафика или без нее.
  • Ресурс шлюза NAT Azure назначается подсети виртуальной машины.

Виртуальные машины, созданные с помощью масштабируемых наборов виртуальных машин в гибком режиме оркестрации, не имеют исходящего доступа по умолчанию.

Дополнительные сведения об исходящих подключениях в Azure см. в статье об исходящем доступе по умолчанию в Azure и использовании преобразования исходящих сетевых адресов (SNAT) для исходящих подключений.

Создание Azure SQL Server и частной конечной точки

В этом разделе описано, как создать сервер SQL Server в Azure.

  1. В поле поиска в верхней части портала введите SQL. Выберите базы данных SQL в результатах поиска.

  2. В базах данных SQL нажмите кнопку +Создать.

  3. На вкладке "Основы" создания База данных SQL введите или выберите следующие сведения:

    Параметр Значение
    Сведения о проекте
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Сведения о базе данных
    Имя базы данных Введите sql-db.
    Сервер Выберите Создать.
    Введите sql-server-1 в имя сервера (имена серверов должны быть уникальными, замените sql-server-1 уникальным значением).
    Выберите (США) Восточная часть США 2 в расположении.
    Выберите "Использовать проверку подлинности SQL".
    Введите вход и пароль администратора сервера.
    Нажмите кнопку ОК.
    Want to use SQL elastic pool? (Нужно ли использовать эластичный пул баз данных SQL?) Выберите Нет.
    Среда рабочей нагрузки Оставьте значение по умолчанию в Рабочей среде.
    Избыточность хранилища резервных копий
    Избыточность хранилища резервных копий Выберите локально избыточное хранилище резервных копий.
  4. Выберите Далее: сеть.

  5. На вкладке "Сеть" База данных SQL введите или выберите следующие сведения:

    Параметр Значение
    Сетевое подключение
    Метод подключения Выберите Частная конечная точка.
    Частные конечные точки
    Нажмите кнопку +Добавить частную конечную точку.
    Создание частной конечной точки
    Отток подписок Выберите свою подписку.
    Группа ресурсов Выберите test-rg.
    Расположение Выберите регион Восточная часть США 2.
    Имя. Введите private-endpoint-sql.
    Целевой подресурс Выберите SqlServer.
    Сеть
    Виртуальная сеть Выберите виртуальную сеть-1.
    Подсеть Выберите подсеть-1.
    Интеграция с частной зоной DNS
    Интегрировать с частной зоной DNS Выберите Да.
    Частная зона DNS Оставьте значение по умолчанию privatelink.database.windows.net.
  6. Нажмите ОК.

  7. Выберите Review + create (Просмотреть и создать).

  8. Нажмите кнопку создания.

Внимание

При добавлении подключения к частной конечной точке общедоступная маршрутизация к серверу Azure SQL по умолчанию не блокируется. Параметр "Запретить доступ к общедоступной сети" в колонке "Брандмауэр и виртуальные сети" остается снятым по умолчанию. Чтобы отключить доступ к общедоступной сети, убедитесь, что этот флажок установлен.

Отключение общего доступа к логическому серверу Azure SQL

В этом сценарии предположим, что вы хотите отключить весь общий доступ к серверу Azure SQL и разрешить подключения только из виртуальной сети.

  1. В поле поиска в верхней части портала введите SQL Server. Выберите серверы SQL в результатах поиска.

  2. Выберите sql-server-1.

  3. На странице Сеть откройте вкладку Общий доступ, а затем выберите Отключить для параметра Доступ к общедоступной сети.

  4. Выберите Сохранить.

Проверка подключения к частной конечной точке

В этом разделе описано, как использовать виртуальную машину, созданную на предыдущих шагах, для подключения к серверу SQL Server через частную конечную точку.

  1. В поле поиска в верхней части портала введите Виртуальная машина. В результатах поиска выберите Виртуальные машины.

  2. Выберите vm-1.

  3. В операциях выберите Бастион.

  4. Введите имя пользователя и пароль виртуальной машины.

  5. Нажмите Подключиться.

  6. Чтобы проверить разрешение имен частной конечной точки, введите следующую команду в окне терминала:

    nslookup server-name.database.windows.net
    

    Вы получите сообщение, аналогичное следующему примеру. Возвращенный IP-адрес — это частный IP-адрес частной конечной точки.

    Server:    127.0.0.53
    Address:   127.0.0.53#53
    
    Non-authoritative answer:
    sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
    Name:sql-server-8675.privatelink.database.windows.net
    Address: 10.1.0.4
    
  7. Установите средства командной строки SQL Server из установки средств командной строки SQL Server sqlcmd и bcp в Linux. Выполните следующие действия после завершения установки.

  8. Используйте следующие команды, чтобы подключиться к серверу SQL Server, созданному на предыдущих шагах.

    • Замените <администратора> сервера именем администратора, введенным во время создания SQL Server.

    • Замените <пароль> администратора паролем администратора, введенным во время создания SQL Server.

    • Замените sql-server-1 именем сервера SQL Server.

    sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'
    
  9. Командная строка SQL отображается при успешном входе. Введите exit, чтобы выйти из инструмента sqlcmd.

Завершив использование созданных ресурсов, можно удалить группу ресурсов и все ее ресурсы.

  1. Войдите на портал Azure; найдите в поиске и выберите Группы ресурсов.

  2. На странице групп ресурсов выберите группу ресурсов test-rg.

  3. На странице test-rg выберите "Удалить группу ресурсов".

  4. Введите test-rg в поле Ввод имени группы ресурсов, чтобы подтвердить удаление, а затем нажмите кнопку "Удалить".

Следующие шаги

Из этого руководства вы узнали, как создать следующее:

  • виртуальную сеть и узел-бастион;

  • виртуальную машину;

  • Azure SQL Server с частной конечной точкой.

Вы использовали виртуальную машину для конфиденциальной и безопасной проверки подключения к серверу SQL через частную конечную точку.

В качестве следующего шага вы также можете ознакомиться со сценарием архитектуры веб-приложения с частным подключением к базе данных SQL Azure, когда веб-приложение за пределами виртуальной сети подключается к частной конечной точке базы данных.