Szolgáltatásvégpont-szabályzatok (előzetes verzió) konfigurálása felügyelt Azure SQL-példányhoz

A következőre vonatkozik: Felügyelt Azure SQL-példány

A virtuális hálózat (VNet) Azure Storage-szolgáltatásvégpont-szabályzatai lehetővé teszik a kimenő virtuális hálózati forgalom szűrését az Azure Storage-ba, korlátozva az adatátvitelt adott tárfiókokra.

A végpontszabályzatok konfigurálásának és a felügyelt SQL-példánnyal való társításuknak a képessége jelenleg előzetes verzióban érhető el.

Fő előnyök

A felügyelt Azure SQL-példány virtuális hálózati Azure Storage-szolgáltatásvégpont-szabályzatainak konfigurálása a következő előnyöket nyújtja:

• Az Azure SQL Managed Instance Azure Storage-ba irányuló forgalmának fokozott biztonsága: A végpontszabályzatok olyan biztonsági vezérlőt hoznak létre, amely megakadályozza az üzleti szempontból kritikus fontosságú adatok hibás vagy rosszindulatú kiszivárgását. A forgalom csak azokra a tárfiókokra korlátozható, amelyek megfelelnek az adatszabályozási követelményeknek.

• Részletes szabályozás a tárfiókok eléréséről: A szolgáltatásvégpont-szabályzatok lehetővé teszik a tárfiókok felé irányuló adatforgalmat előfizetés, erőforráscsoport és egyéni tárfiók szintjén. A rendszergazdák szolgáltatásvégpont-szabályzatokkal kényszeríthetik a szervezet adatbiztonsági architektúrájának betartását az Azure-ban.

• A rendszerforgalom továbbra sem változik: A szolgáltatásvégpont-szabályzatok soha nem akadályozzák a felügyelt Azure SQL-példány működéséhez szükséges tárolóhoz való hozzáférést. Ez magában foglalja a biztonsági mentések, adatfájlok, tranzakciónapló-fájlok és egyéb eszközök tárolását.

Fontos

A szolgáltatásvégpont-szabályzatok csak a felügyelt SQL-példány alhálózatából származó és az Azure Storage-ban leálló forgalmat szabályozzák. A szabályzatok nem érintik például az adatbázis helyszíni BACPAC-fájlba való exportálását, az Azure Data Factory integrációját, a diagnosztikai információk Azure Diagnosztikai beállításokon keresztüli gyűjtését vagy az Azure Storage-t közvetlenül nem célzó adatkinyerési mechanizmusokat.

Korlátozások

A felügyelt Azure SQL-példány szolgáltatásvégpont-szabályzatainak engedélyezése a következő korlátozásokkal rendelkezik:

• Az előzetes verzióban a szolgáltatásvégpont-szabályzat alhálózaton való elhelyezése megzavarja az alhálózat példányainak azon képességét, hogy időponthoz kötött visszaállításokat (PITR) hajtsanak végre egy másik alhálózat egy példányából. A szolgáltatásvégpont-házirendek azonban nem akadályozzák meg, hogy más alhálózatok példányai visszaállítsák az alhálózat biztonsági másolatait.
• Az előzetes verzióban ez a funkció minden olyan Azure-régióban elérhető, ahol a felügyelt SQL-példány támogatott, kivéve a China East 2, China North 2, Central US EUAP, East US 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia és az USA nyugati középső régiója kivételével.
• A szolgáltatás csak az Azure Resource Manager-alapú üzemi modellel üzembe helyezett virtuális hálózatokon érhető el.
• A funkció csak olyan alhálózatokon érhető el, amelyeken engedélyezve vannak az Azure Storage szolgáltatásvégpontjai .
• Ha szolgáltatásvégpont-szabályzatot rendel egy szolgáltatásvégponthoz, az frissíti a végpontot regionálisról globális hatókörre. Más szóval az Azure Storage felé történő összes forgalom a szolgáltatásvégponton halad végig, függetlenül attól, hogy melyik régióban található a tárfiók.
• A tárfiók engedélyezése automatikusan engedélyezi a másodlagos RA-GRS-hez való hozzáférést.

Tárolóleltár előkészítése

Mielőtt elkezdené konfigurálni a szolgáltatásvégpont-szabályzatokat egy alhálózaton, írjon egy listát azokról a tárfiókokról, amelyekhez a felügyelt példánynak hozzáféréssel kell rendelkeznie az alhálózatban.

Az alábbiakban felsoroljuk az Azure Storage-hoz esetlegesen kapcsolódó munkafolyamatokat:

• Naplózás az Azure Storage-ba.
• Csak másolati biztonsági mentés végrehajtása az Azure Storage-ba.
• Adatbázis visszaállítása az Azure Storage-ból.
• Adatok importálása BULK INSERT vagy OPENROWSET(BULK ...)használatával.
• Bővített események naplózása eseményfájl-tárolóba az Azure Storage-ban.
• Azure DMS offline migrálása felügyelt Azure SQL-példányra.
• Log Replay Service migrálása felügyelt Azure SQL-példányba.
• Táblák szinkronizálása tranzakciós replikációval.

Jegyezze fel a fiók nevét, erőforráscsoportját és előfizetését minden olyan tárfiókhoz, amely részt vesz ezekben vagy bármely más, a tárterülethez hozzáférő munkafolyamatban.

Szabályzatok konfigurálása

Először létre kell hoznia a szolgáltatásvégpont-szabályzatot, majd társítania kell a szabályzatot a felügyelt SQL-példány alhálózatával. Módosítsa az ebben a szakaszban található munkafolyamatot az üzleti igényeinek megfelelően.

Megjegyzés:

• A felügyelt SQL-példány alhálózatai megkövetelik, hogy a szabályzatok tartalmazzák a /Services/Azure/ManagedInstance szolgáltatás aliasát (lásd az 5. lépést).
• A szolgáltatásvégpont-szabályzatokat már tartalmazó alhálózaton üzembe helyezett felügyelt példányok automatikusan frissítik a /Services/Azure/ManagedInstance szolgáltatás aliasát.

Szolgáltatásvégpont-szabályzat létrehozása

Szolgáltatásvégpont-szabályzat létrehozásához kövesse az alábbi lépéseket:

1. Jelentkezzen be az Azure Portalra.

2. Válassza a + Erőforrás létrehozása lehetőséget.

3. A keresési panelen adja meg a szolgáltatásvégpont-szabályzatot, válassza a Szolgáltatásvégpont-szabályzat lehetőséget, majd válassza a Létrehozás lehetőséget.

   

4. Töltse ki a következő értékeket az Alapismeretek lapon:

   • Előfizetés: Válassza ki a szabályzat előfizetését a legördülő listából.
   • Erőforráscsoport: Válassza ki azt az erőforráscsoportot, amelyben a felügyelt példány található, vagy válassza az Új létrehozása lehetőséget, és adja meg egy új erőforráscsoport nevét.
   • Név: Adjon nevet a szabályzatnak, például a mySEP-nek.
   • Hely: Válassza ki a felügyelt példányt üzemeltető virtuális hálózat régióját.

   

5. A Szabályzatdefiníciókban válassza az Alias hozzáadása lehetőséget, és adja meg az alábbi adatokat az Alias hozzáadása panelen:

   • Szolgáltatás aliasa: Válassza a /Services/Azure/ManagedInstance lehetőséget.
   • Válassza a Hozzáadás lehetőséget a szolgáltatás aliasának hozzáadásának befejezéséhez.

   

6. A Szabályzatdefiníciókban válassza a + Hozzáadás lehetőséget az Erőforrások területen, és adja meg vagy válassza ki az alábbi információkat az Erőforrás hozzáadása panelen:

   • Szolgáltatás: Válassza a Microsoft.Storage lehetőséget.
   • Hatókör: Válassza ki az előfizetés összes fiókját.
   • Előfizetés: Válasszon ki egy olyan előfizetést, amely tartalmazza az engedélyezni kívánt tárfiók(ok)t. Tekintse meg a korábban létrehozott Azure Storage-fiókok leltárát.
   • Az erőforrás hozzáadásának befejezéséhez válassza a Hozzáadás lehetőséget.
   • Ismételje meg ezt a lépést további előfizetések hozzáadásához.

   

7. Nem kötelező: a szolgáltatásvégpont-házirend címkéket konfigurálhat a Címkék területen.

8. Válassza a Véleményezés + Létrehozás lehetőséget. Ellenőrizze az adatokat, és válassza a Létrehozás lehetőséget. Ha további módosításokat szeretne végezni, válassza az Előző lehetőséget.

Tipp

Először konfigurálja a szabályzatokat a teljes előfizetéshez való hozzáférés engedélyezéséhez. Ellenőrizze a konfigurációt úgy, hogy minden munkafolyamat megfelelően működjön. Ezután szükség esetén újrakonfigurálhatja a szabályzatokat, hogy lehetővé tegyék az egyes tárfiókokat vagy -fiókokat egy erőforráscsoportban. Ehhez válassza ki a Hatókör: mező egyetlen vagy minden fiókját az erőforráscsoportban, és ennek megfelelően töltse ki a többi mezőt.

Szabályzat társítása alhálózattal

A szolgáltatásvégpont-szabályzat létrehozása után társítsa a szabályzatot a felügyelt SQL-példány alhálózatához.

A szabályzat társításához kövesse az alábbi lépéseket:

1. Az Azure Portal Minden szolgáltatás mezőjében keressen rá a virtuális hálózatokra. Válassza ki a virtuális hálózatokat.

2. Keresse meg és válassza ki a felügyelt példányt üzemeltető virtuális hálózatot.

3. Válassza ki az Alhálózatokat , és válassza ki a felügyelt példánynak dedikált alhálózatot. Adja meg a következő adatokat az alhálózat panelen:

   • Szolgáltatások: Válassza a Microsoft.Storage lehetőséget. Ha ez a mező üres, konfigurálnia kell az Azure Storage szolgáltatásvégpontát ezen az alhálózaton.
   • Szolgáltatásvégpont-szabályzatok: Válassza ki a felügyelt SQL-példány alhálózatára alkalmazni kívánt szolgáltatásvégpont-szabályzatokat.

   

4. Válassza a Mentés lehetőséget a virtuális hálózat konfigurálásának befejezéséhez.

Figyelmeztetés

Ha az alhálózat házirendjei nem rendelkeznek az /Services/Azure/ManagedInstance aliasával, a következő hibaüzenet jelenhet meg: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions A probléma megoldásához frissítse az alhálózat összes szabályzatát, hogy tartalmazza az aliast /Services/Azure/ManagedInstance .

További lépések

• További információ az Azure Storage-fiókok biztonságossá tételéről.
• A felügyelt SQL-példány biztonsági képességeinek ismertetése.
• Ismerje meg a felügyelt SQL-példány kapcsolati architektúráját .