設定 Azure SQL 受控執行個體的服務端點原則 (預覽)

適用於：Azure SQL 受控執行個體

虛擬網路 (VNet) Azure 儲存體服務端點原則可讓您篩選流往 Azure 儲存體的輸出虛擬網路流量，以限制資料只能傳輸到特定儲存體帳戶。

設定端點原則並讓原則與 SQL 受控執行個體產生關聯的功能目前為預覽版。

主要權益

為您的 Azure SQL 受控執行個體設定虛擬網路 Azure 儲存體服務端點原則，可提供下列優點：

• 提升 Azure SQL 受控執行個體到 Azure 儲存體流量的安全性：端點原則會建立安全性控制，以防止業務關鍵資料遭到錯誤或惡意外泄。 可將流量限制於符合您資料治理需求的儲存體帳戶。

• 更精確地控制可存取的儲存體帳戶：服務端點原則可以允許訂用帳戶、資源群組和個別儲存體帳戶層級的儲存體帳戶流量。 系統管理員可以使用服務端點原則來強制遵循 Azure 中組織的資料安全性架構。

• 系統流量不會受到影響：服務端點原則絕不會對 Azure SQL 受控執行個體運作所需的儲存體阻止存取。 這包括備份、資料檔案、交易記錄檔和其他資產的儲存體。

重要

服務端點原則只會控制來源自 SQL 受控執行個體子網路，並在 Azure 儲存體中終止的流量。 例如，原則不會影響將資料庫匯出至內部部署 BACPAC 檔案、Azure Data Factory 整合、透過 Azure 診斷設定收集診斷資訊，或是未直接以 Azure 儲存體為目標的其他資料擷取機制。

限制

為您的 Azure SQL 受控執行個體啟用服務端點原則有下列限制：

• 在預覽版中，在子網路上設定服務端點原則，會干擾該子網路的執行個體，從另一個子網路的執行個體執行時間點還原 (PITR) 的功能。 但服務端點原則不會阻止其他子網路中的執行個體從該子網路還原備份。
• 在預覽期間，除了中國東部 2、中國北部 2、美國中部 EUAP、美國東部 2 EUAP、US Gov 亞利桑那州、US Gov 德克薩斯州、US Gov 維吉尼亞州和美國中西部以外，在支援 SQL 受控執行個體的所有 Azure 區域中都有提供這項功能。
• 這項功能僅適用於透過 Azure Resource Manager 部署模型所部署的虛擬網路。
• 只有在已啟用 Azure 儲存體服務端點的子網路中，才能使用此功能。
• 若將服務端點原則指派給服務端點，則會將端點從區域升級至全域範圍。 換句話說，無論儲存體帳戶所在的區域為何，Azure 儲存體的所有流量都會通過服務端點。
• 允許儲存體帳戶會自動允許存取其 RA-GRS 次要資料庫。

準備儲存體清查

在您開始設定子網路的服務端點原則之前，請先撰寫受控執行個體在該子網路中應具有存取權的儲存體帳戶清單。

以下是可與 Azure 儲存體聯絡的工作流程清單：

• Azure 儲存體的稽核。
• 執行僅限複本備份至 Azure 儲存體。
• 從 Azure 儲存體還原資料庫。
• 使用 BULK INSERT 或 OPENROWSET (大量) 匯入資料。
• 將擴充事件記錄到 Azure 儲存體上的事件檔案目標。
• Azure DMS 離線移轉至 Azure SQL 受控執行個體。
• 將記錄重新執行服務移轉至 Azure SQL 受控執行個體。
• 使用異動複寫同步處理資料表。

請記下任何參與這些儲存體帳戶的帳戶名稱、資源群組和訂用帳戶，或任何其他可存取儲存體的工作流程。

設定原則

您必須先建立服務端點原則，然後將原則與 SQL 受控執行個體子網路建立關聯。 修改本節中的工作流程，以符合您的業務需求。

注意

• SQL 受控執行個體子網路要求原則包含 /Services/Azure/ManagedInstance 服務別名 (請參閱步驟 5)。
• 若將受控執行個體部署到已包含服務端點原則的子網路，則會自動升級 /Services/Azure/ManagedInstance 服務別名。

建立服務端點原則

若要建立服務端點原則，請遵循下列步驟：

1. 登入 Azure 入口網站。

2. 選取 [+ 建立資源]。

3. 在搜尋窗格中，輸入服務端點原則，然後選取 [服務端點原則]，然後選取 [建立]。

   

4. 在 [基本] 頁面上填入下列值：

   • 訂用帳戶：從下拉式清單中選取您的原則訂用帳戶。
   • 資源群組：選取您受控執行個體所在的資源群組，或選取 [新建] 並填入新資源群組的名稱。
   • 名稱：提供原則的名稱，例如 mySEP。
   • 位置：選取裝載受控執行個體虛擬網路的區域。

   

5. 在 [原則定義] 中，選取 [新增別名]，然後在 [新增別名] 窗格中輸入下列資訊：

   • 服務別名：選取 /Services/Azure/ManagedInstance。
   • 選取 [新增] 以完成加入服務別名。

   

6. 在 [原則定義] 中，選取 [資源] 下的 [+新增]，然後在 [新增資源] 窗格中輸入或選取下列資訊：

   • 服務：選取 [Microsoft.Storage]。
   • 範圍：選取 [訂用帳戶中的所有帳戶]。
   • 訂用帳戶：選取包含待允許儲存體帳戶的訂用帳戶。 請參閱您稍早建立的 Azure 儲存體帳戶清查。
   • 選取 [新增] 以完成新增資源。
   • 重複此步驟以新增任何其他訂閱。

   

7. 選擇性：您可以在 [標記] 下的服務端點原則上設定標記。

8. 選取 [檢閱 + 建立] 。 驗證資訊，然後選取 [建立]。 若要進行進一步的編輯，請選取 [上一步]。

提示

首先，設定原則以允許存取整個訂用帳戶。 確定所有工作流程正常運作，藉此驗證設定。 然後，選擇性地重新設定原則，以允許個別儲存體帳戶或資源群組中的帳戶。 若要這樣做，請改為選取 [範圍：] 欄位中的 [單一帳戶] 或 [資源群組中的所有帳戶]，並據以填寫其他欄位。

將原則與子網路產生關聯

建立服務端點原則之後，請將原則與您的 SQL 受控執行個體子網路建立關聯。

若要建立原則的關聯，請遵循下列步驟：

1. 在 Azure 入口網站的 [所有服務] 方塊中，搜尋虛擬網路。 選取 [虛擬網路]。

2. 找出並選取裝載受控執行個體的虛擬網路。

3. 選取 [子網路]，然後選擇您受控執行個體專用的子網路。 在 [子網路] 窗格中輸入下列資訊：

   • 服務：選取 [Microsoft.Storage]。 如果這個欄位為空白，則您必須在此子網路上設定 Azure 儲存體的服務端點。
   • 服務端點原則：選取您想要套用至 SQL 受控執行個體子網路的任何服務端點原則。

   

4. 選取 [儲存] 以完成虛擬網路設定。

警告

如果此子網路上 /Services/Azure/ManagedInstance的原則沒有別名，您可能會看到下列錯誤： Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions 若要解決此問題，請更新子網路上的所有原則，以包含 /Services/Azure/ManagedInstance 別名。

後續步驟

• 深入了解如何保護您的 Azure 儲存體帳戶。
• 了解 SQL 受控執行個體的安全性功能。
• 探索 SQL 受控執行個體的連線架構。