Självstudie: Ansluta till en Azure SQL-server med hjälp av en privat Azure-slutpunkt med hjälp av Azure Portal
Azure Private-slutpunkten är den grundläggande byggstenen för Private Link i Azure. Det gör det möjligt för Azure-resurser, till exempel virtuella datorer, att kommunicera privat och säkert med Private Link-resurser som Azure SQL Server.
I den här självstudien lär du dig att:
- Skapa ett virtuellt nätverk och en skyddsvärd.
- Skapa en virtuell dator.
- Skapa en Azure SQL-server och en privat slutpunkt.
- Testa anslutningen till den privata SQL-serverns slutpunkt.
Om du inte har någon Azure-prenumeration skapar du ett kostnadsfritt konto innan du börjar.
Förutsättningar
- En Azure-prenumeration
Logga in på Azure
Logga in på Azure-portalen.
Skapa ett virtuellt nätverk och en Azure Bastion-värd
Följande procedur skapar ett virtuellt nätverk med ett resursundernät, ett Azure Bastion-undernät och en Bastion-värd:
I portalen söker du efter och väljer Virtuella nätverk.
På sidan Virtuella nätverk väljer du + Skapa.
På fliken Grundläggande i Skapa virtuellt nätverk anger du eller väljer följande information:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj Skapa ny.
Ange test-rg som namn.
Välj OK.Instansinformation Name Ange vnet-1. Region Välj USA, östra 2. Välj Nästa för att fortsätta till fliken Säkerhet .
I avsnittet Azure Bastion väljer du Aktivera Azure Bastion.
Bastion använder webbläsaren för att ansluta till virtuella datorer i ditt virtuella nätverk via Secure Shell (SSH) eller Remote Desktop Protocol (RDP) med hjälp av sina privata IP-adresser. De virtuella datorerna behöver inte offentliga IP-adresser, klientprogramvara eller särskild konfiguration. Mer information finns i Vad är Azure Bastion?.
I Azure Bastion anger eller väljer du följande information:
Inställning Värde Azure Bastion-värdnamn Ange bastion. Offentlig IP-adress för Azure Bastion Välj Skapa en offentlig IP-adress.
Ange public-ip-bastion i Namn.
Välj OK.Välj Nästa för att fortsätta till fliken IP-adresser .
I rutan adressutrymme i Undernät väljer du standardundernätet .
I Redigera undernät anger eller väljer du följande information:
Inställning Värde Undernätssyfte Låt standardvärdet Standard vara kvar. Name Ange undernät-1. IPv4 IPv4-adressintervall Låt standardvärdet vara 10.0.0.0/16. Startadress Låt standardvärdet vara 10.0.0.0. Storlek Lämna standardvärdet /24 (256 adresser). Välj Spara.
Välj Granska + skapa längst ned i fönstret. När valideringen har godkänts väljer du Skapa.
Skapa en virtuell testdator
Följande procedur skapar en virtuell testdator (VM) med namnet vm-1 i det virtuella nätverket.
I portalen söker du efter och väljer Virtuella datorer.
I Virtuella datorer väljer du + Skapa och sedan Virtuell Azure-dator.
På fliken Grundläggande i Skapa en virtuell dator anger eller väljer du följande information:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj test-rg. Instansinformation Virtual machine name Ange vm-1. Region Välj USA, östra 2. Tillgängliga alternativ Välj Ingen infrastrukturredundans krävs. Säkerhetstyp Låt standardvärdet Standard vara kvar. Bild Välj Ubuntu Server 22.04 LTS – x64 Gen2. VM-arkitektur Låt standardvärdet x64 vara kvar. Storlek Välj en storlek. Administratörskonto Authentication type Välj Lösenord. Username Ange azureuser. Lösenord Ange ett lösenord. Bekräfta lösenord Ange lösenordet igen. Regler för inkommande portar Offentliga inkommande portar Välj Ingen. Välj fliken Nätverk överst på sidan.
Ange eller välj följande information på fliken Nätverk :
Inställning Värde Nätverksgränssnitt Virtuellt nätverk Välj vnet-1. Undernät Välj undernät-1 (10.0.0.0/24). Offentlig IP-adress Välj Ingen. Nätverkssäkerhetsgrupp för nätverkskort Visa avancerad. Konfigurera nätverkssäkerhetsgrupp Välj Skapa ny.
Ange nsg-1 som namn.
Låt resten vara som standard och välj OK.Låt resten av inställningarna vara som standard och välj Granska + skapa.
Granska inställningarna och välj Skapa.
Kommentar
Virtuella datorer i ett virtuellt nätverk med en skyddsvärd behöver inte offentliga IP-adresser. Bastion tillhandahåller den offentliga IP-adressen och de virtuella datorerna använder privata IP-adresser för att kommunicera i nätverket. Du kan ta bort de offentliga IP-adresserna från alla virtuella datorer i bastionens värdbaserade virtuella nätverk. Mer information finns i Koppla bort en offentlig IP-adress från en virtuell Azure-dator.
Kommentar
Azure tillhandahåller en standard-IP för utgående åtkomst för virtuella datorer som antingen inte har tilldelats någon offentlig IP-adress eller som finns i serverdelspoolen för en intern grundläggande Azure-lastbalanserare. Ip-mekanismen för utgående åtkomst har en utgående IP-adress som inte kan konfigureras.
Standard-IP för utgående åtkomst inaktiveras när någon av följande händelser inträffar:
- En offentlig IP-adress tilldelas till den virtuella datorn.
- Den virtuella datorn placeras i serverdelspoolen för en standardlastbalanserare, med eller utan regler för utgående trafik.
- En Azure NAT Gateway-resurs tilldelas till den virtuella datorns undernät.
Virtuella datorer som du skapar med hjälp av vm-skalningsuppsättningar i flexibelt orkestreringsläge har inte standardåtkomst till utgående trafik.
Mer information om utgående anslutningar i Azure finns i Standardutgående åtkomst i Azure och Använda SNAT (Source Network Address Translation) för utgående anslutningar.
Skapa en Azure SQL-server och en privat slutpunkt
I det här avsnittet skapar du en SQL-server i Azure.
I sökrutan överst i portalen anger du SQL. Välj SQL-databaser i sökresultatet.
I SQL-databaser väljer du + Skapa.
På fliken Grundläggande i Skapa SQL Database anger eller väljer du följande information:
Inställning Värde Projektinformation Prenumeration Välj din prenumeration. Resursgrupp Välj test-rg. Databasinformation Databasnamn Ange sql-db. Server Välj Skapa ny.
Ange sql-server-1 i Servernamn (Servernamn måste vara unika, ersätt sql-server-1 med ett unikt värde).
Välj (USA) USA, östra 2 i Plats.
Välj Använd SQL-autentisering.
Ange inloggning och lösenord för serveradministratör.
Välj OK.Vill du använda elastisk SQL-pool? Välj Nej. Arbetsbelastningsmiljö Lämna standardvärdet Produktion. Redundans för säkerhetskopieringslagring Redundans för säkerhetskopieringslagring Välj Lokalt redundant lagring av säkerhetskopiering. Välj Nästa: Nätverk.
På fliken Nätverk i Skapa SQL Database anger eller väljer du följande information:
Inställning Värde Nätverksanslutning Anslutningsmetod Välj Privat slutpunkt. Privata slutpunkter Välj +Lägg till privat slutpunkt. Skapa en privat slutpunkt Prenumeration Välj din prenumeration. Resursgrupp Välj test-rg. Plats Välj USA, östra 2. Name Ange private-endpoint-sql. Underresurs för mål Välj SqlServer. Nätverk Virtuellt nätverk Välj vnet-1. Undernät Välj undernät-1. Privat DNS integrering Integrera med privat DNS-zon Välj Ja. Privat DNS-zon Låt standardvärdet för privatelink.database.windows.net vara kvar. Välj OK.
Välj Granska + skapa.
Välj Skapa.
Viktigt!
När du lägger till en privat slutpunktsanslutning blockeras inte offentlig routning till Azure SQL-servern som standard. Inställningen Neka åtkomst till offentligt nätverk under bladet "Brandvägg och virtuella nätverk" är avmarkerad som standard. Om du vill inaktivera åtkomst till offentligt nätverk kontrollerar du att detta är markerat.
Inaktivera offentlig åtkomst till logisk Azure SQL-server
I det här scenariot antar vi att du vill inaktivera all offentlig åtkomst till din Azure SQL-server och endast tillåta anslutningar från ditt virtuella nätverk.
I sökrutan överst i portalen anger du SQL Server. Välj SQL-servrar i sökresultatet.
Välj sql-server-1.
På sidan Nätverk väljer du fliken Offentlig åtkomst och sedan Inaktivera för åtkomst till offentligt nätverk.
Välj Spara.
Testa anslutningen till en privat slutpunkt
I det här avsnittet använder du den virtuella dator som du skapade i föregående steg för att ansluta till SQL-servern över den privata slutpunkten.
I sökrutan överst i portalen anger du Virtuell dator. Välj Virtuella datorer i sökresultaten.
Välj vm-1.
I Åtgärder väljer du Bastion.
Ange användarnamnet och lösenordet för den virtuella datorn.
Välj Anslut.
Kontrollera namnmatchningen för den privata slutpunkten genom att ange följande kommando i terminalfönstret:
nslookup server-name.database.windows.net
Du får ett meddelande som liknar följande exempel. Ip-adressen som returneras är den privata IP-adressen för den privata slutpunkten.
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4
Installera SQL Server-kommandoradsverktygen från Installera SQL Server-kommandoradsverktygen sqlcmd och bcp i Linux. Fortsätt med nästa steg när installationen är klar.
Använd följande kommandon för att ansluta till den SQL-server som du skapade i föregående steg.
Ersätt <server-admin> med det administratörsanvändarnamn som du angav när SQL-servern skapades.
Ersätt <administratörslösenordet> med det administratörslösenord som du angav när SQL Server skapades.
Ersätt sql-server-1 med namnet på din SQL-server.
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'
En SQL-kommandotolk visas vid lyckad inloggning. Ange avsluta för att avsluta sqlcmd-verktyget .
När du är klar med de resurser som du skapade kan du ta bort resursgruppen och alla dess resurser.
I Azure Portal söker du efter och väljer Resursgrupper.
På sidan Resursgrupper väljer du resursgruppen test-rg .
På sidan test-rg väljer du Ta bort resursgrupp.
Ange test-rg i Ange resursgruppsnamn för att bekräfta borttagningen och välj sedan Ta bort.
Nästa steg
I den här självstudien har du lärt dig hur du skapar:
Virtuellt nätverk och skyddsvärd.
Virtuell dator.
Azure SQL-server med privat slutpunkt.
Du använde den virtuella datorn för att testa anslutningen privat och säkert till SQL-servern över den privata slutpunkten.
Som ett nästa steg kan du också vara intresserad av webbappen med privat anslutning till Azure SQL Database-arkitekturscenariot , som ansluter ett webbprogram utanför det virtuella nätverket till den privata slutpunkten för en databas.