Självstudie: Få åtkomst till lokal SQL Server från Data Factory-hanterat VNet med hjälp av privat slutpunkt
Den här självstudien innehåller steg för att använda Azure-portalen för att konfigurera Private Link-tjänsten och få åtkomst till lokal SQL Server från ett hanterat virtuellt nätverk med hjälp av en privat slutpunkt. Genom att använda ett hanterat virtuellt nätverk ser du till att trafik till och från din lokala SQL-källa passerar genom din egen privata slutpunkt, vilket skyddar exponeringen för det offentliga molnet med ett extra lager av säkerhet och isolering. De resurser som anges nedan är nödvändiga för att stödja scenariot.
Kommentar
Lösningen som presenteras i den här artikeln beskriver SQL Server-anslutning, men du kan använda en liknande metod för att ansluta och fråga andra tillgängliga lokala anslutningsappar som stöds i Azure Data Factory.
Förutsättningar
- Azure-prenumeration. Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
- Virtuellt nätverk. Om du inte har ett virtuellt nätverk skapar du ett efter Skapa virtuellt nätverk.
- Virtuellt nätverk till lokalt nätverk. Skapa en anslutning mellan det virtuella nätverket och det lokala nätverket med expressroute eller VPN. Om du föredrar att använda en virtuell molndator i ett privat nätverk kan du också göra det. Skapa bara ett virtuellt nätverk för dina virtuella molndatorer och en privat länk till det virtuella nätverket och du kan komma åt dem som om de vore lokala datorer i ditt privata nätverk trots att de finns i molnet.
- Data Factory med hanterat VNet aktiverat. Om du inte har en datafabrik eller om det hanterade virtuella nätverket inte är aktiverat skapar du ett efter Skapa datafabrik med hanterat virtuellt nätverk.
Skapa undernät för resurser
Använd portalen för att skapa undernät i ditt virtuella nätverk.
| Undernät | beskrivning |
|---|---|
| be-subnet | undernät för serverdelsservrar |
| fe-undernät | undernät för intern standardlastbalanserare |
| pls-subnet | undernät för Private Link-tjänsten |
Skapa en standardlastbalanserare
Använd portalen för att skapa en intern standardlastbalanserare.
Välj Skapa en resurs > Nätverksbelastningsbalanserare> längst upp till vänster på skärmen.
På fliken Grundinställningar på sidan Skapa lastbalanserare anger du eller väljer följande information:
Inställning Värde Prenumeration Välj din prenumeration. Resursgrupp Välj din resursgrupp. Name Ange myLoadBalancer. Region Välj USA, östra. Typ Välj Intern. SKU Välj Standard. Virtuellt nätverk Välj ditt virtuella nätverk. Undernät Välj fe-undernät som skapades i föregående steg. IP-adresstilldelning Välj Dynamisk. Availability zone Välj Zonredundant. Acceptera standardinställningarna för de återstående inställningarna och välj sedan Granska + skapa.
På fliken Granska + skapa väljer du Skapa.
Skapa resurser för lastbalansering
Skapa en serverdelspool
En serverdelsadresspool innehåller IP-adresserna för de virtuella (NIC) som är anslutna till lastbalanseraren.
Skapa serverdelsadresspoolen myBackendPool för att inkludera virtuella datorer för belastningsutjämning av Internettrafik.
- Välj Alla tjänster på den vänstra menyn, välj Alla resurser och välj sedan myLoadBalancer i resurslistan.
- Under Inställningar väljer du Serverdelspooler och sedan Lägg till.
- På sidan Lägg till en serverdelspool skriver du myBackendPool som namn på serverdelspoolen och väljer sedan Lägg till.
Skapa en hälsoavsökning
Lastbalanseraren övervakar statusen för din app med en hälsoavsökning.
Hälsoavsökningen lägger till eller tar bort virtuella datorer från lastbalanseraren baserat på deras svar på hälsokontroller.
Skapa en hälsoavsökning med namnet myHealthProbe så att du kan övervaka de virtuella datorernas hälsotillstånd.
Välj Alla tjänster på den vänstra menyn, välj Alla resurser och välj sedan myLoadBalancer i resurslistan.
Under Inställningar väljer du Hälsoavsökningar och sedan Lägg till.
Inställning Värde Name Ange myHealthProbe. Protokoll Välj TCP. Port Ange 22. Intervall Ange 15 för antal intervall i sekunder mellan avsökningsförsök. Defekt tröskelvärde Välj 2 för antal tröskelvärden för feltillstånd eller efterföljande avsökningsfel som måste inträffa innan en virtuell dator anses vara felfri. Låt resten vara standardvärdena och välj OK.
Skapa en lastbalanseringsregel
En lastbalanseringsregel används för att definiera hur trafiken ska distribueras till de virtuella datorerna. Du definierar IP-konfigurationen för klientdelen för inkommande trafik och serverdels-IP-poolen för att ta emot trafiken. Käll- och målporten definieras i regeln.
I det här avsnittet skapar du en lastbalanseringsregel:
Välj Alla tjänster på den vänstra menyn, välj Alla resurser och välj sedan myLoadBalancer i resurslistan.
Under Inställningar väljer du Belastningsutjämningsregler och sedan Lägg till.
Använd dessa värden för att konfigurera belastningsutjämningsregeln:
Inställning Värde Name Ange myRule. IP-version Välj IPv4. Klientdelens IP-adress Välj LoadBalancerFrontEnd. Protokoll Välj TCP. Port Ange 1433. Serverdelsport Ange 1433. Serverdelspool Välj myBackendPool. Hälsoavsökning Välj myHealthProbe. Timeout för inaktivitet (minuter) Flytta skjutreglaget till 15 minuter. TCP-återställning Välj Inaktiverad. Låt resten av standardvärdena vara kvar och välj sedan OK.
Skapa en privat länktjänst
I det här avsnittet skapar du en Private Link-tjänst bakom en standardlastbalanserare.
I den övre vänstra delen av sidan i Azure-portalen väljer du Skapa en resurs.
Sök efter Private Link i rutan Sök på Marketplace .
Välj Skapa.
I Översikt under Private Link Center väljer du den blå knappen Skapa privat länktjänst .
På fliken Grundläggande under Skapa privat länktjänst anger du eller väljer följande information:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj din resursgrupp. Instansinformation Name Ange myPrivateLinkService. Region Välj USA, östra. Välj fliken Utgående inställningar eller välj Nästa: Utgående inställningar längst ned på sidan.
På fliken Utgående inställningar anger eller väljer du följande information:
Inställning Värde Lastbalanserare Välj myLoadBalancer. IP-adress för lastbalanserare Välj LoadBalancerFrontEnd. Nat-undernät för källa Välj pls-subnet. Aktivera TCP-proxy V2 Lämna standardvärdet Nej. Inställningar för privat IP-adress Låt standardinställningarna vara kvar. Välj fliken Åtkomstsäkerhet eller välj Nästa: Åtkomstsäkerhet längst ned på sidan.
Låt standardvärdet rollbaserad åtkomstkontroll vara kvar på fliken Åtkomstsäkerhet .
Välj fliken Taggar eller välj Nästa: Taggar längst ned på sidan.
Välj fliken Granska + skapa eller välj Nästa: Granska + skapa längst ned på sidan.
Välj Skapa på fliken Granska + skapa .
Skapa serverdelsservrar
Längst upp till vänster i portalen väljer du Skapa en virtuell dator för beräkning av > resurs>.
I Skapa en virtuell dator skriver eller väljer du värdena på fliken Grundläggande :
Inställning Värde Projektinformation Prenumeration Välj din Azure-prenumerationen. Resursgrupp Välj din resursgrupp. Instansinformation Virtual machine name Ange myVM1. Region Välj USA, östra. Tillgänglighetsalternativ Välj Tillgänglighetszoner. Availability zone Välj 1. Bild Välj Ubuntu Server 22.04 LTS. Azure Spot-instans Välj Nej. Storlek Välj VM-storlek eller använd standardinställningen. Administratörskonto Username Ange ett användarnamn. Offentlig SSH-nyckelkälla Generera ett nytt nyckelpar. Nyckelparsnamn mySSHKey. Regler för inkommande portar Offentliga inkommande portar Ingen Välj fliken Nätverk eller Nästa: diskar och sedan Nästa: nätverk.
På fliken Nätverk väljer eller anger du:
Inställning Värde Nätverksgränssnitt Virtuellt nätverk Välj ditt virtuella nätverk. Undernät be-subnet. Offentlig IP-adress Välj Ingen. Nätverkssäkerhetsgrupp för nätverkskort Välj Ingen. Belastningsutjämning Placera den här virtuella datorn bakom en befintlig belastningsutjämningslösning? Välj Ja. Inställningar för belastningsutjämning Alternativ för belastningsutjämning Välj Azure-belastningsutjämning. Välj en lastbalanserare Välj myLoadBalancer. Välj en serverdelspool Välj myBackendPool. Välj Granska + skapa.
Granska inställningarna och välj sedan Skapa.
Du kan upprepa steg 1 till 6 för att ha fler än 1 virtuell serverdator för HA.
Skapa vidarebefordringsregel till slutpunkt
Logga in och kopiera skriptet ip_fwd.sh till dina virtuella serverdatorer.
Kör skriptet med följande alternativ:
sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433Ange platshållaren
<FQDN/IP>är din SQL Server-mål-IP.Kommentar
FQDN fungerar inte för lokal SQL Server om du inte lägger till en post i Azure DNS-zonen.
Kör följande kommando och kontrollera iptables på dina virtuella serverdatorer. Du kan se en post i dina iptables med din mål-IP.
sudo iptables -t nat -v -L PREROUTING -n --line-number**
Kommentar
Om du har fler än en SQL Server eller datakällor måste du definiera flera regler för lastbalanserare och IP-tabellposter med olika portar. Annars blir det en konflikt. Exempel:
Port i lastbalanseringsregel Serverdelsport i lastbalansregel Kommandokörning på den virtuella serverdatorn SQL Server 1 1433 1433 sudo ./ip_fwd.sh -i eth0 -f 1433 -a <FQDN/IP> -b 1433 SQL Server 2 1434 1434 sudo ./ip_fwd.sh -i eth0 -f 1434 -a <FQDN/IP> -b 1433 Kommentar
Det är viktigt att vara medveten om att konfigurationen i den virtuella datorn (VM) inte är permanent. Det innebär att varje gång den virtuella datorn startas om krävs omkonfiguration.
Skapa en privat slutpunkt till private link-tjänst
Välj Alla tjänster på den vänstra menyn, välj Alla resurser och välj sedan din datafabrik i resurslistan.
Klicka på Författare och övervakare för att starta användargränssnittet för datafabriken på en separat flik.
Gå till fliken Hantera och gå sedan till avsnittet Hanterade privata slutpunkter .
Välj + Ny under Hanterade privata slutpunkter.
Välj panelen Private Link Service i listan och välj Fortsätt.
Ange namnet på den privata slutpunkten och välj myPrivateLinkService i listan med privata länktjänster.
Lägg till den
<FQDN>lokala SQL Server-målservern.
Kommentar
När du distribuerar din SQL Server på en virtuell dator i ett virtuellt nätverk är det viktigt att förbättra ditt FQDN genom att lägga till privatelink. Annars kommer det att vara i konflikt med andra poster i DNS-inställningen. Du kan till exempel helt enkelt ändra SQL Server FQDN från sqlserver.westus.cloudapp.azure.net till sqlserver.privatelink.westus.cloudapp.azure.net.
Skapa en privat slutpunkt.
Skapa en länkad tjänst och testa anslutningen
Gå till fliken Hantera och gå sedan till avsnittet Länkade tjänster .
Välj + Ny under Länkad tjänst.
Välj SQL Server-panelen i listan och välj Fortsätt.
Aktivera interaktiv redigering.
Ange FQDN för din lokala SQL Server, användarnamn och lösenord.
Klicka sedan på Testa anslutning.
Kommentar
Om du har mer än en SQL Server och behöver definiera flera regler för lastbalanserare och IP-tabellposter med olika portar ska du uttryckligen lägga till portnamnet efter det fullständiga domännamnet när du redigerar länkad tjänst. Den virtuella NAT-datorn hanterar portöversättningen. Om det inte uttryckligen anges kommer anslutningen alltid att överskrida tidsgränsen.
Felsökning
Gå till den virtuella serverdatorn och bekräfta att SQL Server fungerar: telnet< FQDN> 1433.
Relaterat innehåll
Gå vidare till följande självstudie för att lära dig mer om att komma åt Microsoft Azure SQL Managed Instance från Data Factory Managed VNet med privat slutpunkt: