適用於:
Azure SQL 受控執行個體
Azure SQL 受控執行個體可透過公用端點提供使用者連線。 本文說明如何讓此設定更安全。
案例
Azure SQL 受控執行個體提供 VNet 本機端點,藉以允許來自其虛擬網路內的連線。 預設選項是提供最大隔離。 不過,在某些情況下,您必須提供公用端點連線:
- SQL 受控執行個體必須與僅限多租用戶的平台即服務 (PaaS) 供應項目整合。
- 當您使用 VPN 時,您需要較高的資料交換輸送量。
- 公司原則禁止在公司網路內部進行 PaaS。
公用端點一律會使用 Proxy 連線類型 ,而不論連線類型設定為何。
部署 SQL 受控執行個體以進行公用端點存取
雖然不是必要,但具有公用端點存取權的 SQL 受控執行個體的常見部署模型是在專用的隔離虛擬網路中建立執行個體。 在此設定中,虛擬網路只會用於虛擬叢集隔離。 SQL 受控執行個體的 IP 位址空間是否與公司網路的 IP 位址空間重疊並不重要。
保護移動中的資料
如果用戶端驅動程式支援加密,SQL 受控執行個體資料流量一律會加密。 在 SQL 受控執行個體與其他 Azure 虛擬機器或 Azure 服務之間傳送的資料永遠不會離開 Azure 的骨幹。 如果 SQL 受控執行個體與內部部署網路之間有連線,建議您使用 Azure ExpressRoute。 ExpressRoute 有助於您避免透過公用網際網路移動資料。 針對 SQL 受控執行個體本機連線,只能使用私人對等互連。
鎖定輸入和輸出連線能力
下圖顯示建議的安全性設定:
SQL 受控執行個體具有專用於客戶的公用端點位址。 此端點與管理端點共用 IP 位址,但使用不同的連接埠。 與 VNet 本機端點類似,公用端點可能會在特定管理作業之後變更。 一律解析端點 FQDN 記錄,以判斷公用端點位址。 例如,在設定應用程式層級防火牆規則時。
若要確保 SQL 受控執行個體的流量來自受信任的來源,建議您從具有已知 IP 位址的來源連線。 使用網路安全性群組來限制對埠 3342 上 SQL 受控執行個體公用端點的存取。
當用戶端需要起始來自內部部署網路的連線時,請確定原始位址已轉譯為已知的 IP 位址集合。 如果您無法這麼做 (例如,行動員工是一般案例),建議您使用 點對站 VPN 連線和 VNet 本機端點。
如果從 Azure 啟動連線,我們建議流量來自已知的指派虛擬 IP 位址 (例如虛擬機器)。 為了更輕鬆地管理虛擬 IP (VIP) 位址,您可能會想要使用公用 IP 位址首碼。