Aracılığıyla paylaş


Azure SQL Yönetilen Örneği için hizmet uç noktası ilkelerini yapılandırma (Önizleme)

Şunlar için geçerlidir: Azure SQL Yönetilen Örneği

Sanal Ağ (VNet) Azure Depolama hizmeti uç noktası ilkeleri, çıkış sanal ağ trafiğini Azure Depolama'ya filtreleyerek veri aktarımlarını belirli depolama hesaplarına kısıtlamanızı sağlar.

Uç nokta ilkelerinizi yapılandırma ve bunları SQL Yönetilen Örneği ile ilişkilendirme özelliği şu anda önizleme aşamasındadır.

Temel avantajlar

Azure SQL Yönetilen Örneği için Sanal ağ Azure Depolama hizmet uç noktası ilkelerini yapılandırmak aşağıdaki avantajları sağlar:

  • Azure Depolama'ya Azure SQL Yönetilen Örneği trafiğiniz için geliştirilmiş güvenlik: Uç nokta ilkeleri, iş açısından kritik verilerin hatalı veya kötü amaçlı olarak sızmasını önleyen bir güvenlik denetimi oluşturur. Trafik yalnızca veri idaresi gereksinimlerinizle uyumlu depolama hesaplarıyla sınırlı olabilir.

  • Hangi depolama hesaplarına erişilebileceği üzerinde ayrıntılı denetim: Hizmet uç noktası ilkeleri abonelik, kaynak grubu ve tek tek depolama hesabı düzeyinde depolama hesaplarına gelen trafiğe izin verebilir. Yöneticiler, Azure'da kuruluşun veri güvenliği mimarisine bağlılığı zorunlu kılmak için hizmet uç noktası ilkelerini kullanabilir.

  • Sistem trafiği etkilenmeden kalır: Hizmet uç noktası ilkeleri, Azure SQL Yönetilen Örneği çalışması için gereken depolamaya erişimi hiçbir zaman engellemez. Buna yedeklemelerin, veri dosyalarının, işlem günlüğü dosyalarının ve diğer varlıkların depolanması dahildir.

Önemli

Hizmet uç noktası ilkeleri yalnızca SQL Yönetilen Örneği alt ağından gelen ve Azure depolamada sonlandıran trafiği denetler. İlkeler, örneğin veritabanını şirket içi BACPAC dosyasına dışarı aktarma, Azure Data Factory tümleştirmesi, Azure Tanılama Ayarları aracılığıyla tanılama bilgilerinin toplanması veya Doğrudan Azure Depolama'yı hedeflemeyen diğer veri ayıklama mekanizmalarını etkilemez.

Sınırlamalar

Azure SQL Yönetilen Örneği için hizmet uç noktası ilkelerini etkinleştirmenin sınırlamaları şunlardır:

  • Önizleme aşamasındayken, bir alt ağa hizmet uç noktası ilkesi yerleştirmek, bu alt bilgisayarınızda bulunan örneklerin başka bir alt ağdaki bir örnekten belirli bir noktaya geri yükleme (PITR) gerçekleştirmesini engeller. Ancak hizmet uç noktası ilkesi, diğer alt ağlardaki örneklerin bu alt ağdan yedekleri geri yüklemesini engellemez.
  • Önizleme aşamasındayken bu özellik Çin Doğu 2, Çin Kuzey 2, Orta ABD EUAP, Doğu ABD 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia ve Orta Batı ABD dışında SQL Yönetilen Örneği desteklendiği tüm Azure bölgelerinde kullanılabilir.
  • Bu özellik yalnızca Azure Resource Manager dağıtım modeli üzerinden dağıtılmış olan sanal ağlarda kullanılabilir.
  • Bu özellik yalnızca Azure Depolama için hizmet uç noktalarının etkinleştirildiği alt ağlarda kullanılabilir.
  • Hizmet uç noktası ilkesi atanarak uç nokta bölgesel kapsamdan genel kapsama yükseltildi. Başka bir deyişle Azure Depolama'ya giden tüm trafik, depolama hesabının bulunduğu bölgeden bağımsız olarak hizmet uç noktasından geçer.
  • Depolama hesabına izin vermek, RA-GRS ikincil hesabına otomatik olarak erişime izin verir.

Depolama envanteri hazırlama

Bir alt ağda hizmet uç noktası ilkelerini yapılandırmaya başlamadan önce, yönetilen örneğin bu alt ağda erişmesi gereken depolama hesaplarının listesini oluşturun.

Azure Depolama ile iletişim kurabilecek iş akışlarının listesi aşağıdadır:

Bunlara katılan herhangi bir depolama hesabının veya depolamaya erişen diğer iş akışlarının hesap adını, kaynak grubunu ve aboneliğini not edin.

İlkeleri yapılandırma

Önce hizmet uç noktası ilkenizi oluşturmanız ve ardından ilkeyi SQL Yönetilen Örneği alt ağıyla ilişkilendirmeniz gerekir. Bu bölümdeki iş akışını iş gereksinimlerinize uyacak şekilde değiştirin.

Not

  • SQL Yönetilen Örneği alt ağlarda ilkelerin /Services/Azure/ManagedInstance hizmet diğer adını içermesi gerekir (Bkz. 5. adım).
  • Zaten hizmet uç noktası ilkeleri içeren bir alt ağa dağıtılan yönetilen örnekler otomatik olarak /Services/Azure/ManagedInstance hizmet diğer adı yükseltilir.

Hizmet uç noktası ilkesi oluşturma

Hizmet uç noktası ilkesi oluşturmak için şu adımları izleyin:

  1. Azure portal oturum açın.

  2. + Kaynak oluştur’u seçin.

  3. Arama bölmesine hizmet uç noktası ilkesi girin, Hizmet uç noktası ilkesi'ni ve ardından Oluştur'u seçin.

    Hizmet uç noktası ilkesi oluşturma

  4. Temel Bilgiler sayfasında aşağıdaki değerleri doldurun:

    • Abonelik: Açılan listeden ilkenizin aboneliğini seçin.
    • Kaynak grubu: Yönetilen örneğinizin bulunduğu kaynak grubunu seçin veya Yeni oluştur'u seçin ve yeni bir kaynak grubunun adını doldurun.
    • Ad: İlkeniz için mySEP gibi bir ad belirtin.
    • Konum: Yönetilen örneği barındıran sanal ağın bölgesini seçin.

    Hizmet uç noktası ilkesi temellerini oluşturma

  5. İlke tanımları bölümünde Diğer ad ekle'yi seçin ve Diğer ad ekle bölmesine aşağıdaki bilgileri girin:

    • Hizmet Diğer Adı: /Services/Azure/ManagedInstance öğesini seçin.
    • Hizmet diğer adını eklemeyi tamamlamak için Ekle'yi seçin.

    Hizmet uç noktası ilkesine diğer ad ekleme

  6. İlke tanımları'nda Kaynaklar'ın altında + Ekle'yi seçin ve Kaynak ekle bölmesine aşağıdaki bilgileri girin veya seçin:

    • Hizmet: Microsoft.Storage'ı seçin.
    • Kapsam: Abonelikteki tüm hesaplar'ı seçin.
    • Abonelik: İzin vermek için depolama hesaplarını içeren bir abonelik seçin. Daha önce oluşturulan Azure depolama hesapları envanterinize bakın.
    • Kaynağı eklemeyi tamamlamak için Ekle'yi seçin.
    • Ek abonelik eklemek için bu adımı yineleyin.

    Hizmet uç noktası ilkesine kaynak ekleme

  7. İsteğe bağlı: Etiketler altında hizmet uç noktası ilkesinde etiketleri yapılandırabilirsiniz.

  8. Gözden geçir + Oluştur’u seçin. Bilgileri doğrulayın ve Oluştur'u seçin. Daha fazla düzenleme yapmak için Önceki'yi seçin.

İpucu

İlk olarak, tüm aboneliklere erişime izin vermek için ilkeleri yapılandırın. Tüm iş akışlarının normal çalıştığından emin olarak yapılandırmayı doğrulayın. Ardından, isteğe bağlı olarak, tek tek depolama hesaplarına veya bir kaynak grubundaki hesaplara izin vermek için ilkeleri yeniden yapılandırın. Bunu yapmak için Kapsam: alanında Tek hesap veya Kaynak grubundaki tüm hesaplar'ı seçin ve diğer alanları buna göre doldurun.

İlkeyi alt ağ ile ilişkilendirme

Hizmet uç noktası ilkeniz oluşturulduktan sonra ilkeyi SQL Yönetilen Örneği alt ağınızla ilişkilendirin.

İlkenizi ilişkilendirmek için şu adımları izleyin:

  1. Azure portalındaki Tüm hizmetler kutusunda sanal ağları arayın. Sanal ağlar'ı seçin.

  2. Yönetilen örneğinizi barındıran sanal ağı bulun ve seçin.

  3. Alt ağlar'ı seçin ve yönetilen örneğiniz için ayrılmış alt ağı seçin. Alt ağ bölmesine aşağıdaki bilgileri girin:

    • Hizmetler: Microsoft.Storage'ı seçin. Bu alan boşsa, bu alt ağda Azure Depolama için hizmet uç noktasını yapılandırmanız gerekir.
    • Hizmet uç noktası ilkeleri: SQL Yönetilen Örneği alt asına uygulamak istediğiniz hizmet uç noktası ilkelerini seçin.

    Hizmet uç noktası ilkesini alt ağ ile ilişkilendirme

  4. Sanal ağı yapılandırmayı tamamlamak için Kaydet'i seçin.

Uyarı

Bu alt ağ /Services/Azure/ManagedInstance üzerindeki ilkelerde diğer ad yoksa aşağıdaki hatayı görebilirsiniz: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Bu sorunu çözmek için alt ağ üzerindeki tüm ilkeleri diğer adı içerecek şekilde güncelleştirin /Services/Azure/ManagedInstance .

Sonraki adımlar