Dela via

Självstudie: Ansluta till en Azure SQL-server med en privat Azure-slutpunkt med Hjälp av Azure CLI

  • Artikel

Azure Private-slutpunkten är den grundläggande byggstenen för Private Link i Azure. Det gör att Azure-resurser, till exempel virtuella datorer, kan kommunicera med Private Link-resurser privat.

Diagram över resurser som skapats i snabbstarten för privat slutpunkt.

I den här självstudien lär du dig att:

  • Skapa ett virtuellt nätverk och en skyddsvärd.
  • Skapa en virtuell dator.
  • Skapa en Azure SQL-server och en privat slutpunkt.
  • Testa anslutningen till den privata SQL-serverns slutpunkt.

Förutsättningar

  • Ett Azure-konto med en aktiv prenumeration. Skapa ett konto utan kostnad.
  • Logga in på Azure-portalen och kontrollera att din prenumeration är aktiv genom att köra az login.
  • Kontrollera din version av Azure CLI i en terminal eller ett kommandofönster genom att köra az --version. Den senaste versionen finns i de senaste viktig information.

Skapa en resursgrupp

En Azure-resursgrupp är en logisk container där Azure-resurser distribueras och hanteras.

Skapa en resursgrupp med az group create:

  • Med namnet CreateSQLEndpointTutorial-rg.
  • På platsen eastus .
az group create \
    --name CreateSQLEndpointTutorial-rg \
    --location eastus

Skapa ett virtuellt nätverk och en skyddsvärd

I det här avsnittet skapar du ett virtuellt nätverk, ett undernät och en skyddsvärd.

Bastion-värden används för att ansluta säkert till den virtuella datorn för att testa den privata slutpunkten.

Skapa ett virtuellt nätverk med az network vnet create

  • Heter myVNet.
  • Adressprefixet 10.0.0.0/16.
  • Undernät med namnet myBackendSubnet.
  • Undernätsprefixet 10.0.0.0/24.
  • I resursgruppen CreateSQLEndpointTutorial-rg.
  • Plats för eastus.
az network vnet create \
    --resource-group CreateSQLEndpointTutorial-rg\
    --location eastus \
    --name myVNet \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name myBackendSubnet \
    --subnet-prefixes 10.0.0.0/24

Uppdatera undernätet för att inaktivera privata slutpunktsnätverksprinciper för den privata slutpunkten med az network vnet subnet update:

az network vnet subnet update \
    --name myBackendSubnet \
    --resource-group CreateSQLEndpointTutorial-rg \
    --vnet-name myVNet \
    --disable-private-endpoint-network-policies true

Använd az network public-ip create för att skapa en offentlig IP-adress för bastionsvärden:

  • Skapa en standardzonredundant offentlig IP-adress med namnet myBastionIP.
  • I CreateSQLEndpointTutorial-rg.
az network public-ip create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name myBastionIP \
    --sku Standard

Använd az network vnet subnet create för att skapa ett skyddsundernät:

  • Med namnet AzureBastionSubnet.
  • Adressprefixet 10.0.1.0/24.
  • I det virtuella nätverket myVNet.
  • I resursgruppen CreateSQLEndpointTutorial-rg.
az network vnet subnet create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name AzureBastionSubnet \
    --vnet-name myVNet \
    --address-prefixes 10.0.1.0/24

Använd az network bastion create för att skapa en skyddsvärd:

  • Heter myBastionHost.
  • I CreateSQLEndpointTutorial-rg.
  • Associerad med offentlig IP myBastionIP.
  • Associerad med det virtuella nätverket myVNet.
  • platsen Eastus .
az network bastion create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name myBastionHost \
    --public-ip-address myBastionIP \
    --vnet-name myVNet \
    --location eastus

Det kan ta några minuter innan Azure Bastion-värden distribueras.

Skapa en virtuell testdator

I det här avsnittet skapar du en virtuell dator som ska användas för att testa den privata slutpunkten.

Skapa en virtuell dator med az vm create. När du uppmanas till det anger du ett lösenord som ska användas som autentiseringsuppgifter för den virtuella datorn:

  • Heter myVM.
  • I CreateSQLEndpointTutorial-rg.
  • I nätverket myVNet.
  • I undernätet myBackendSubnet.
  • Serverbild Win2019Datacenter.
az vm create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name myVM \
    --image Win2019Datacenter \
    --public-ip-address "" \
    --vnet-name myVNet \
    --subnet myBackendSubnet \
    --admin-username azureuser

Kommentar

Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.

Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:

  • En offentlig IP-adress tilldelas till den virtuella datorn.
  • Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
  • En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.

Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.

Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.

Skapa en Azure SQL-server

I det här avsnittet skapar du en SQL-server och databas.

Använd az sql server create för att skapa en SQL-server:

  • Ersätt <sql-server-name> med ditt unika servernamn.
  • Ersätt <ditt lösenord> med ditt lösenord.
  • I CreateSQLEndpointTutorial-rg.
  • I regionen Eastus .
az sql server create \
    --name <sql-server-name> \
    --resource-group CreateSQLEndpointTutorial-rg \
    --location eastus \
    --admin-user sqladmin \
    --admin-password <your-password>

Använd az sql db create för att skapa en databas:

  • Heter myDataBase.
  • I CreateSQLEndpointTutorial-rg.
  • Ersätt <sql-server-name> med ditt unika servernamn.
az sql db create \
    --resource-group CreateSQLEndpointTutorial-rg  \
    --server <sql-server-name> \
    --name myDataBase \
    --sample-name AdventureWorksLT

Skapa en privat slutpunkt

I det här avsnittet skapar du den privata slutpunkten.

Använd az sql server list för att placera resurs-ID:t för SQL-servern i en gränssnittsvariabel.

Använd az network private-endpoint create för att skapa slutpunkten och anslutningen:

  • Heter myPrivateEndpoint.
  • I resursgruppen CreateSQLEndpointTutorial-rg.
  • I det virtuella nätverket myVNet.
  • I undernätet myBackendSubnet.
  • Anslutning med namnet myConnection.
id=$(az sql server list \
    --resource-group CreateSQLEndpointTutorial-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --name myPrivateEndpoint \
    --resource-group CreateSQLEndpointTutorial-rg \
    --vnet-name myVNet --subnet myBackendSubnet \
    --private-connection-resource-id $id \
    --group-ids sqlServer \
    --connection-name myConnection

Konfigurera den privata DNS-zonen

I det här avsnittet skapar och konfigurerar du den privata DNS-zonen med az network private-dns zone create.

Du använder az network private-dns link vnet create för att skapa den virtuella nätverkslänken till dns-zonen.

Du skapar en dns-zongrupp med az network private-endpoint dns-zone-group create.

  • Zon med namnet privatelink.database.windows.net
  • I det virtuella nätverket myVNet.
  • I resursgruppen CreateSQLEndpointTutorial-rg.
  • DNS-länk med namnet myDNSLink.
  • Associerad med myPrivateEndpoint.
  • Zongrupp med namnet MyZoneGroup.
az network private-dns zone create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --name "privatelink.database.windows.net"

az network private-dns link vnet create \
    --resource-group CreateSQLEndpointTutorial-rg \
    --zone-name "privatelink.database.windows.net" \
    --name MyDNSLink \
    --virtual-network myVNet \
    --registration-enabled false

az network private-endpoint dns-zone-group create \
   --resource-group CreateSQLEndpointTutorial-rg \
   --endpoint-name myPrivateEndpoint \
   --name MyZoneGroup \
   --private-dns-zone "privatelink.database.windows.net" \
   --zone-name sql

Testa anslutningen till en privat slutpunkt

I det här avsnittet använder du den virtuella dator som du skapade i föregående steg för att ansluta till SQL-servern över den privata slutpunkten.

  1. Logga in på Azure-portalen.

  2. Välj Resursgrupper i det vänstra navigeringsfönstret.

  3. Välj CreateSQLEndpointTutorial-rg.

  4. Välj myVM.

  5. På översiktssidan för myVM väljer du Anslut och sedan Bastion.

  6. Välj den blå knappen Använd Bastion .

  7. Ange det användarnamn och lösenord som du angav när den virtuella datorn skapades.

  8. Öppna Windows PowerShell på servern när du har anslutit.

  9. Ange nslookup <sqlserver-name>.database.windows.net. Ersätt <sqlserver-name> med namnet på den SQL-server som du skapade i föregående steg. Du får ett meddelande som liknar det som visas nedan:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    mysqlserver8675.privatelink.database.windows.net
Address:  10.0.0.5
Aliases:  mysqlserver8675.database.windows.net

    En privat IP-adress på 10.0.0.5 returneras för SQL-servernamnet. Den här adressen finns i undernätet för det virtuella nätverk som du skapade tidigare.

  10. Installera SQL Server Management StudiomyVM.

  11. Öppna SQL Server Management Studio.

  12. I Anslut till server anger eller väljer du den här informationen:

    Inställning Värde
    Servertyp Välj Databasmotor.
    Servernamn Ange <sql-server-name.database.windows.net>
    Autentisering Välj SQL Server-autentisering.
    Användarnamn Ange användarnamnet som du angav när servern skapades
    Lösenord Ange lösenordet som du angav när servern skapades
    Kom ihåg lösenordet Välj Ja.

  13. Välj Anslut.

  14. Bläddra bland databaser från den vänstra menyn.

  15. (Valfritt) Skapa eller fråga efter information från mysqldatabase.

  16. Stäng bastionanslutningen till myVM.

Rensa resurser

När du är klar med den privata slutpunkten, SQL Server och den virtuella datorn tar du bort resursgruppen och alla resurser som den innehåller:

az group delete \
    --name CreateSQLEndpointTutorial-rg

Nästa steg

I den här självstudien skapade du en:

  • Virtuellt nätverk och skyddsvärd.
  • Virtuell dator.
  • Azure SQL-server med privat slutpunkt.

Du använde den virtuella datorn för att testa anslutningen på ett säkert sätt till SQL-servern över den privata slutpunkten.

Som ett nästa steg kan du också vara intresserad av webbappen med privat anslutning till Azure SQL-databasarkitekturscenariot , som ansluter ett webbprogram utanför det virtuella nätverket till den privata slutpunkten för en databas.

Webbapp med privat anslutning till Azure SQL-databas