如何搭配公用端點安全地使用 Azure SQL 受控執行個體

適用于:Azure SQL 受控執行個體

Azure SQL 受控執行個體可透過公用端點提供使用者連線。 本文說明如何讓此設定更安全。

案例

Azure SQL 受控執行個體提供 VNet 本機端點] (connectivity-architecture-overview.md#vnet-local-endpoint) ,以允許從其虛擬網路內部連線。 預設選項是提供最大隔離。 不過,在某些情況下,您必須提供公用端點連線:

  • 受控執行個體必須與僅限多租使用者的平台即服務 (PaaS) 供應項目整合。
  • 當您使用 VPN 時,您需要較高的資料交換輸送量。
  • 公司原則禁止在公司網路內部進行 PaaS。

部署公用端點存取的受控執行個體

雖然並非必要,但具有公用端點存取的受控執行個體所用的一般部署模型,是在專用隔離虛擬網路中建立執行個體。 在此設定中,虛擬網路只會用於虛擬叢集隔離。 受控執行個體的 IP 位址空間與公司網路的 IP 位址空間是否重疊並不重要。

保護移動中的資料

如果用戶端驅動程式支援加密,SQL 受控執行個體資料流量一律會加密。 在受控執行個體與其他 Azure 虛擬機器或 Azure 服務之間傳送的資料永遠不會離開 Azure 的骨幹。 如果受控執行個體與內部部署網路之間有連線,建議您使用 Azure ExpressRoute。 ExpressRoute 有助於您避免透過公用網際網路移動資料。 針對受控實例本機連線,只能使用私人對等互連。

鎖定輸入和輸出連線能力

下圖顯示建議的安全性設定:

鎖定輸入和輸出連線的安全性設定

受控執行個體具有專用於客戶的公用端點位址。 此端點會與 管理端點 共用 IP 位址,但使用不同的埠。 類似于 VNet 本機端點,公用端點可能會在特定管理作業之後變更。 一律藉由解析端點 FQDN 記錄來判斷公用端點位址,例如,設定應用層級防火牆規則時。

若要確保受控執行個體的流量來自信任的來源,建議您從具有已知 IP 位址的來源進行連接。 使用網路安全性群組來限制在連接埠 3342 上對受控執行個體公用端點的存取。

當用戶端需要起始來自內部部署網路的連線時,請確定原始位址已轉譯為已知的 IP 位址集合。 例如,如果您無法 (,行動員工是一般案例) ,建議您使用 點對站 VPN 連線和 VNet 本機端點

如果從 Azure 啟動連線,我們建議流量來自已知的指派虛擬 IP 位址 (例如虛擬機器)。 為了更輕鬆地管理虛擬 IP (VIP) 位址,您可能會想要使用公用 IP 位址首碼

後續步驟