Konfigurace zásad koncových bodů služby (Preview) pro azure SQL spravovanou instanci

PLATÍ PRO: Azure SQL Managed Instance

Zásady koncových bodů služby Azure Storage virtuální sítě (VNet) umožňují filtrovat odchozí přenosy virtuální sítě na Azure Storage a omezit přenosy dat na konkrétní účty úložiště.

Možnost konfigurovat zásady koncových bodů a přidružit je k vaší SQL instance je momentálně ve verzi Preview.

Klíčové výhody

Konfigurace zásad koncových bodů Azure Storage virtuální sítě pro azure SQL managed instance přináší následující výhody:

  • Vylepšenézabezpečení přenosu spravované instance Azure SQL do Azure Storage : Zásady koncových bodů zavedou ovládací prvek zabezpečení, který brání chybnému nebo škodlivému proniknutí důležitých obchodních dat. Provoz se může omezit jenom na účty úložiště, které jsou v souladu s vašimi požadavky na správu dat.

  • Podrobná kontrola přístupuk účtům úložiště: Zásady koncových bodů služby umožňují přenosy na účty úložiště na úrovni předplatného, skupiny prostředků a individuálního účtu úložiště. Správci můžou pomocí zásad koncových bodů služby vynucovat dodržování architektury zabezpečení dat organizace v Azure.

  • Přenosy systému zůstávají nedotčené:Zásady koncových bodů služby nikdy neblokuje přístup k úložišti, které je nutné k tomu, aby Azure SQL spravovaná instance fungovala. Patří sem ukládání záloh, datových souborů, souborů transakčního protokolu a dalších prostředků.

Důležité:

Zásady koncových bodů služby řídí jenom provoz, který pochází z podsítě SQL spravované instance a končí v úložišti Azure. Tyto zásady nemají vliv například na export databáze do souboru BACPAC, integraci Azure Data Factory, shromažďování diagnostických informací přes Azure Diagnostic Nastavení nebo jiné mechanismy extrakce dat, které přímo necílují na Azure Storage.

Omezení

Povolení zásad koncových bodů služby pro vaši instanci Azure SQL Managed Instance má následující omezení:

  • Ve verzi Preview je tato funkce dostupná ve všech oblastech Azure, kde je podporovaná spravovaná instance SQL s výjimkou China East 2, China North 2, Central US EUAP, East US 2 EUAP, US Gov Arizona, US Gov Texas , US GovVirginiaa West Central US.
  • Tato funkce je dostupná jenom pro virtuální sítě nasazené prostřednictvím modelu nasazení Azure Resource Manageru.
  • Tato funkce je dostupná jenom v podsítích, které mají povolené koncové body Azure Storage služby.
  • Povolení koncových bodů služby pro Azure Storage zahrnuje i spárované oblasti, ve kterých nasazujete virtuální síť, abyste podporovali přenosy úložiště Read-Access Geo-Redundant (RA-GRS) Geo-Redundant úložiště (GRS).
  • Přiřazení zásad koncového bodu služby ke koncovému bodu služby upgraduje koncový bod z oblasti na globální obor. Jinými slovy, veškerý přenos Azure Storage přes koncový bod služby bez ohledu na oblast, ve které se účet úložiště nachází.

Příprava inventáře úložiště

Než začnete konfigurovat zásady koncových bodů služby v podsíti, vytvořte seznam účtů úložiště, ke které by měla mít spravovaná instance přístup v této podsíti.

Tady je seznam pracovních postupů, které se mohou obrátit na Azure Storage:

Poznamenejte si název účtu, skupinu prostředků a předplatné pro jakýkoli účet úložiště, který se účastní těchto pracovních postupů nebo jiných pracovních postupů, které mají přístup k úložišti.

Konfigurace zásad

Nejdřív budete muset vytvořit zásadu koncového bodu služby a pak tuto zásadu přidružit k podsíti SQL spravované instance. Upravte pracovní postup v této části tak, aby vyhovoval potřebám vaší firmy.

Poznámka:

  • SQL spravované instance vyžadují, aby zásady obsahovaly alias služby /Services/Azure/ManagedInstance (viz krok 5).
  • Spravované instance nasazené do podsítě, která už obsahuje zásady koncového bodu služby, se automaticky upgradují alias služby /Services/Azure/ManagedInstance.

Vytvoření zásady koncového bodu služby

Pokud chcete vytvořit zásadu koncového bodu služby, postupujte takto:

  1. Přihlaste se na portál Azure Portal.

  2. Vyberte + Vytvořit zdroj.

  3. V podokně hledání zadejte zásady koncového bodu služby, vyberte Zásady koncovéhobodu služby a pak vyberte Vytvořit.

    Vytvoření zásad koncových bodů služby

  4. Na stránce Základy vyplňte následující hodnoty:

    • Předplatné: V rozevíracím seznamu vyberte předplatné pro vaše zásady.
    • Skupina prostředků: Vyberte skupinu prostředků, ve které se nachází vaše spravovaná instance, nebo vyberte Vytvořit nový a vyplňte název nové skupiny prostředků.
    • Název: Zadejte název zásad, například mySEP.
    • Umístění: Vyberte oblast virtuální sítě hostující spravovanou instanci.

    Vytvoření základů zásad koncových bodů služby

  5. V části Definice zásadvyberte Přidat alias a v podokně Přidat alias zadejte následující informace:

    • Alias služby: Vyberte /Services/Azure/ManagedInstance.
    • Výběrem možnosti Přidat dokončete přidání aliasu služby.

    Přidání aliasu do zásad koncového bodu služby

  6. V části Definice zásad vyberte + Přidat v části Zdroje a v podokně Přidat zdroj zadejte nebo vyberte následující informace:

    • Služba: Vyberte Microsoft.Storage.
    • Obor: Vyberte Všechny účty v předplatném.
    • Předplatné: Vyberte předplatné obsahující účty úložiště, které chcete povolit. Podívejte se na inventář účtů úložiště Azure vytvořených dříve.
    • Přidání zdroje dokončíte výběrem možnosti Přidat.
    • Pokud chcete přidat další předplatná, opakujte tento krok.

    Přidání prostředku do zásad koncového bodu služby

  7. Volitelné: Značky můžete nakonfigurovat podle zásad koncového bodu služby v části Značky.

  8. Vyberte Revize + Vytvořit. Ověřte informace a vyberte Vytvořit. Pokud chcete provést další úpravy, vyberte Předchozí.

Tip

Nejdřív nakonfigurujte zásady tak, aby povolly přístup k celým předplatným. Ověřte konfiguraci tím, že zajistíte, že všechny pracovní postupy fungují normálně. Potom volitelně můžete změnit konfiguraci zásad tak, aby povolují účty jednotlivých úložišť nebo účty ve skupině prostředků. Pokud to chcete udělat, vyberte v poli Obor: možnost Jeden účet nebo Všechny účty ve skupině zdrojů a odpovídajícím způsobem vyplňte ostatní pole.

Přidružení zásad k podsíti

Po vytvoření zásad koncového bodu služby přidružte zásadu k podsíti SQL spravované instance.

Zásady přidružíte takto:

  1. V poli Všechny služby na webu Azure Portal vyhledejte virtuální sítě. Vyberte Virtuální sítě.

  2. Vyhledejte a vyberte virtuální síť hostující vaši spravovanou instanci.

  3. Vyberte Podsítě a zvolte podsíť vyhrazenou pro vaši spravovanou instanci. V podokně podsítě zadejte následující informace:

    • Služby: Vyberte Microsoft.Storage. Pokud je toto pole prázdné, musíte nakonfigurovat koncový bod služby pro Azure Storage v této podsíti.
    • Zásady koncových bodů služby: Vyberte všechny zásady koncových bodů služby, které chcete použít pro SQL spravované instance.

    Přidružení zásad koncového bodu služby k podsíti

  4. Výběrem možnosti Uložit dokončete konfiguraci virtuální sítě.

Upozornění:

Pokud zásady v této podsíti alias /Services/Azure/ManagedInstance nemají, může se zobrazit následující chybová zpráva: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Chcete-li to vyřešit, aktualizujte všechny zásady v podsíti tak, aby zahrnovaly /Services/Azure/ManagedInstance alias.

Další kroky