使用 Azure Arc 所啟用 SQL Server 的私人路徑連線到 Azure

本文說明如何設定 Azure Arc 實例所啟用 SQL Server 的通訊，使其連線到 Azure 而不透過因特網路徑。

此設計會在 Azure 中部署轉寄 Proxy 伺服器，以允許 SQL Server 透過站對站 VPN 或 ExpressRouteConnection 與私人 IP 位址進行通訊。 Proxy 會透過 Azure 骨幹網路與 Arc URL 通訊。

這很重要

此實作會使用 Azure 防火牆顯式代理，目前可在預覽版中取得。

下圖代表此模式。

針對前向代理，選擇以下其中一項：

• Azure 防火牆顯式代理（預覽）功能，這是平台即服務（PaaS）網路安全服務。

  或

• 第三方 Proxy 網路虛擬設備（NVA）。

  此圖顯示 Azure 防火牆顯式代理。

用例

在下列情況下，針對 Azure Arc 所啟用的 SQL Server 使用此架構：

• SQL Server 實例會隔離並受到保護。

• Azure 連線機器代理只能透過在 Azure 中虛擬網路內裝載的私人 IP 與轉寄代理伺服器進行通訊。 轉送代理為存取與 Arc 相關的 URL 所溝通的公用 IP 和 URL 位於 Microsoft 骨幹內，而非透過因特網。 因此，流量不會經過公用因特網。

• SQL Server 實例與轉寄 Proxy 之間的流量必須安全。 在上圖中，ExpressRoute 顯示了 SQL 伺服器與正向代理之間的連線，但也可以透過站對站 VPN 來實現。

• 流量會經過 ExpressRoute 的專用對等連線，而不是公用對等連線。

• Proxy 組態是在 Arc Connected Machine 代理程式內執行，而不是在 OS 層級執行。 此設定可能不會影響您的安全性相關政策。

• Arc 通訊會透過埠 443 加密，並採用 ExpressRoute 或站對站 VPN 會增加額外的安全性層。

必要條件 - 具有兩個子網的 Azure 虛擬網路

此架構需要在 Azure 中具有兩個子網的虛擬網路。 下述步驟是為站對站 VPN 的準備過程，而非 ExpressRoute。

1. 建立 Azure VPN 閘道的 虛擬網路 和子網。
2. 為 Azure 防火牆建立個別的子網。

稍後的步驟會將 Azure 防火牆部署為轉寄 Proxy。

在 SQL Server 與 Azure 之間建立 VPN

從 SQL Server 的位置建立與 Azure 的站對站 VPN 連線。

1. 遵循教學 課程：使用 Azure 入口網站建立和管理 VPN 閘道 中的步驟來建立 VPN 閘道。

2. 在建立站對站 VPN 之前，請先建立本地網路閘道。 遵循教學 課程：在 Azure 入口網站中建立站對站 VPN 連線中的步驟。

建立防火牆並設定 Proxy

1. 建立 Azure 防火牆以及防火牆管理員。
2. 設定 Azure 防火牆顯式代理伺服器（預覽）設置以作為轉寄代理伺服器。
3. 建立規則以允許 SQL Server IP （10.2.1.4）。

Azure Connected Machine 代理程式會使用該規則透過防火牆存取 https 向外的連線。

使用 Azure Arc 連接 SQL Server

從 Azure 入口網站產生上線腳本。 如這裡所述， 將您的 SQL Server 連線至 Azure Arc。

執行腳本以安裝具有正確組態的 Azure 連線機器代理程式。 您可以在產生文稿時設定 Proxy 設定。

在本文中，我們會在安裝 Arc Connected Machine 代理程式擴充功能之後，更新私人路徑 Proxy 設定。

設定 Azure Connected Machine 代理程式

若要設定 Azure Connected Machine 代理程式，請使用 azcmagent CLI：

1. 設定代理伺服器 URL

   azcmagent config set proxy.url "http://<ip address>:8443"
   

2. 驗證 Proxy URL

   azcmagent config get proxy.url
   

   控制台會傳回目前的代理伺服器網址。

3. 確認代理程式已連線。

   azcmagent show | find | "Agent Status"
   

   主控台會傳回代理人狀態。 如果已設定代理程式，主控台會傳回：

   Agent Status: Connected
   

繞過 URL

您可能需要將代理程式設定為略過特定 URL，使其無法通過 Proxy，而改為允許直接存取。 如果您需要支援私人端點，可以省略 Proxy URL。 如需詳細資訊，請檢閱 繞過私人端點的 Proxy 設定。

為日誌分析設定防火牆

您也可以設定防火牆，將其記錄傳送至 Azure Log Analytics。 如需詳細資訊，請檢閱 監視 Azure 防火牆。

清理資源

如果您不打算繼續使用此應用程式，請刪除這些資源。

若要從 Azure 入口網站移除資源：

1. 在搜尋方塊中輸入資源群組的名稱，從搜尋結果中選取它。
2. 選擇 ，刪除資源群組。
3. 在 [輸入資源組名] 上確認資源組名，然後選取 [刪除]。

相關內容

• 繞過私有端點的代理伺服器
• Azure 防火牆 明確 Proxy （預覽）
• 監視 Azure 防火牆
• 教學課程：使用 Azure 入口網站建立和管理 VPN 閘道
• 教學課程：在 Azure 入口網站中建立站對站 VPN 連線