اتصالات المفهرس SQL Server على جهاز ظاهري Azure

  • مقالة
  • قراءة خلال 4 دقائق

عند تكوين مفهرس Azure SQL لاستخراج محتوى من قاعدة بيانات على جهاز Azure الظاهري، يلزم اتخاذ خطوات إضافية لإجراء اتصالات آمنة.

الاتصال من Azure Cognitive Search إلى SQL Server على جهاز ظاهري هو اتصال إنترنت عام. لكي تنجح الاتصالات الآمنة، أكمل الخطوات التالية:

  • الحصول على شهادة من موفر المرجع المصدق لاسم المجال المؤهل بالكامل لمثيل SQL Server على الجهاز الظاهري

  • قم بتثبيت الشهادة على الجهاز الظاهري ثم قم بتمكين الاتصالات المشفرة وتكوينها على الجهاز الظاهري باستخدام الإرشادات الواردة في هذه المقالة.

تمكين الاتصالات المشفرة

يتطلب Azure Cognitive Search قناة مشفرة لجميع طلبات المفهرسين عبر اتصال إنترنت عام. يسرد هذا القسم الخطوات اللازمة لجعل هذا العمل.

  1. تحقق من خصائص الشهادة للتحقق من أن اسم الموضوع هو اسم المجال المؤهل بالكامل (FQDN) للجهاز الظاهري Azure. يمكنك استخدام أداة مثل CertUtils أو الأداة الإضافية الشهادات لعرض الخصائص. يمكنك الحصول على FQDN من قسم الأساسيات في شفرة خدمة VM، في حقل تسمية اسم عنوان IP العام/DNS ، في مدخل Azure.

    • بالنسبة للأجهزة الظاهرية التي تم إنشاؤها باستخدام قالب Resource Manager الأحدث، يتم تنسيق FQDN على النحو التالي:<your-VM-name>.<region>.cloudapp.azure.com

    • بالنسبة للأجهزة الظاهرية القديمة التي تم إنشاؤها كجهاز ظاهري كلاسيكي ، يتم تنسيق FQDN ك <your-cloud-service-name.cloudapp.net>.

  2. تكوين SQL Server لاستخدام الشهادة باستخدام محرر التسجيل (regedit).

    على الرغم من أن إدارة تكوين SQL Server غالبا ما يستخدم لهذه المهمة، إلا أنه لا يمكنك استخدامه لهذا السيناريو. لن يعثر على الشهادة المستوردة لأن FQDN للجهاز الظاهري على Azure لا يتطابق مع FQDN كما هو محدد بواسطة الجهاز الظاهري (فهو يحدد المجال إما على أنه الكمبيوتر المحلي أو مجال الشبكة الذي تم ضمه إليه). عندما لا تتطابق الأسماء، استخدم regedit لتحديد الشهادة.

    • في regedit، استعرض للوصول إلى مفتاح التسجيل هذا: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Microsoft SQL Server\[MSSQL13.MSSQLSERVER]\MSSQLServer\SuperSocketNetLib\Certificate.

      [MSSQL13.MSSQLSERVER] يختلف الجزء بناء على الإصدار واسم المثيل.

    • قم بتعيين قيمة مفتاح الشهادة إلى بصمة الإبهام (بدون مسافات) لشهادة TLS/SSL التي قمت باستيرادها إلى الجهاز الظاهري.

      هناك عدة طرق للحصول على بصمة الإبهام ، بعضها أفضل من غيرها. إذا قمت بنسخه من الأداة الإضافية "الشهادات" في MMC، فمن المحتمل أن تلتقط حرفا بادئا غير مرئي كما هو موضح في مقالة الدعم هذه، مما يؤدي إلى حدوث خطأ عند محاولة الاتصال. توجد عدة حلول بديلة لتصحيح هذه المشكلة. الأسهل هو المسافة الخلفية ثم إعادة كتابة الحرف الأول من بصمة الإبهام لإزالة الحرف البادئ في حقل قيمة المفتاح في regedit. بدلا من ذلك، يمكنك استخدام أداة مختلفة لنسخ بصمة الإبهام.

  3. منح الأذونات لحساب الخدمة.

    تأكد من منح حساب خدمة SQL Server الإذن المناسب على المفتاح الخاص لشهادة TLS/SSL. إذا تجاهلت هذه الخطوة ، فلن يبدأ SQL Server. يمكنك استخدام الأداة الإضافية الشهادات أو CertUtils لهذه المهمة.

  4. أعد تشغيل خدمة خادم SQL.

تكوين اتصال SQL Server في الجهاز الظاهري

بعد إعداد الاتصال المشفر المطلوب بواسطة Azure Cognitive Search، هناك خطوات تكوين إضافية جوهرية SQL Server على أجهزة Azure الظاهرية. إذا لم تكن قد قمت بذلك بالفعل ، فإن الخطوة التالية هي إنهاء التكوين باستخدام أي من هذه المقالات:

على وجه الخصوص ، راجع القسم الموجود في كل مقالة ل "الاتصال عبر الإنترنت".

تكوين مجموعة أمان الشبكة (NSG)

ليس من غير المعتاد تكوين NSG ونقطة نهاية Azure المقابلة أو قائمة التحكم في الوصول (ACL) لجعل Azure VM متاحا للأطراف الأخرى. من المحتمل أنك قمت بذلك من قبل للسماح لمنطق التطبيق الخاص بك بالاتصال بجهاز Azure VM الخاص بك SQL. لا يختلف الأمر عن اتصال Azure Cognitive Search بجهاز Azure الظاهري SQL الخاص بك.

توفر الروابط أدناه إرشادات حول تكوين NSG لعمليات نشر الأجهزة الظاهرية. استخدم هذه الإرشادات لتنسيق الوصول إلى نقطة نهاية Azure Cognitive Search استنادا إلى عنوان IP الخاص بها.

ملاحظة

للحصول على معلومات أساسية، راجع ما هي مجموعة أمان الشبكة؟

يمكن أن تشكل معالجة IP بعض التحديات التي يمكن التغلب عليها بسهولة إذا كنت على دراية بالمشكلة والحلول المحتملة. تقدم الأقسام المتبقية توصيات لمعالجة المشكلات المتعلقة بعناوين IP في قائمة التحكم في الوصول.

نوصي بشدة بتقييد الوصول إلى عنوان IP لخدمة البحث ونطاق عنوان IP لعلامةAzureCognitiveSearch الخدمة في قائمة التحكم بالوصول بدلا من جعل SQL أجهزة Azure الظاهرية مفتوحة لجميع طلبات الاتصال.

يمكنك معرفة عنوان IP عن طريق اختبار FQDN (على سبيل المثال، <your-search-service-name>.search.windows.net) لخدمة البحث الخاصة بك. على الرغم من أنه من الممكن تغيير عنوان IP لخدمة البحث ، فمن غير المرجح أن يتغير. يميل عنوان IP إلى أن يكون ثابتا طوال عمر الخدمة.

يمكنك معرفة نطاق عنوان IP لعلامةAzureCognitiveSearch الخدمة إما باستخدام ملفات JSON القابلة للتنزيل أو عبر واجهة برمجة تطبيقات اكتشاف علامة الخدمة. يتم تحديث نطاق عنوان IP أسبوعيا.

تضمين عناوين IP لمدخل البحث المعرفي Azure

إذا كنت تستخدم مدخل Azure لإنشاء مفهرس، فيجب عليك منح البوابة الإلكترونية حق الوصول الوارد إلى جهازك الظاهري SQL Azure. تتطلب القاعدة الواردة في جدار الحماية توفير عنوان IP الخاص بالبوابة الإلكترونية.

للحصول على عنوان IP للبوابة الإلكترونية ، ping stamp2.ext.search.windows.net، وهو مجال مدير حركة المرور. ستنتهي مهلة الطلب، ولكن عنوان IP سيكون مرئيا في رسالة الحالة. على سبيل المثال، في الرسالة "Pinging azsyrie.northcentralus.cloudapp.azure.com [52.252.175.48]"، عنوان IP هو "52.252.175.48".

ملاحظة

تتصل المجموعات في مناطق مختلفة بمديري حركة مرور مختلفين. بغض النظر عن اسم المجال، فإن عنوان IP الذي يتم إرجاعه من ping هو العنوان الصحيح الذي يجب استخدامه عند تعريف قاعدة جدار حماية وارد لمدخل Azure في منطقتك.

الخطوات التالية

مع خروج التكوين عن الطريق، يمكنك الآن تحديد SQL Server على Azure VM كمصدر بيانات لمفهرس البحث المعرفي في Azure. لمزيد من المعلومات، راجع ربط قاعدة بيانات Azure SQL بالبحث المعرفي في Azure باستخدام المفهرسات.