Share via

Azure Private Link untuk Azure SQL Managed Instance

  • Artikel

Berlaku untuk:Azure SQL Managed Instance

Artikel ini memberikan gambaran umum tentang titik akhir privat untuk Azure SQL Managed Instance, serta langkah-langkah untuk mengonfigurasinya. Titik akhir privat membangun konektivitas yang aman dan terisolasi antara layanan dan beberapa jaringan virtual tanpa mengekspos seluruh infrastruktur jaringan layanan Anda.

Gambaran Umum

Private Link adalah teknologi Azure yang membuat Azure SQL Managed Instance tersedia di jaringan virtual pilihan Anda. Administrator jaringan dapat membuat titik akhir privat ke Azure SQL Managed Instance di jaringan virtual mereka, sementara administrator SQL memilih untuk menerima atau menolak titik akhir sebelum menjadi aktif. Titik akhir privat membangun konektivitas yang aman dan terisolasi antara layanan dan beberapa jaringan virtual tanpa mengekspos seluruh infrastruktur jaringan layanan Anda.

Perbedaan titik akhir privat dengan titik akhir VNet-lokal

Titik akhir VNet-lokal default yang disebarkan dengan setiap Azure SQL Managed Instance berulah seolah-olah komputer yang menjalankan layanan secara fisik dilampirkan ke jaringan virtual Anda. Hal ini memungkinkan kontrol lalu lintas yang hampir lengkap melalui tabel rute, grup keamanan jaringan, resolusi DNS, firewall, dan mekanisme serupa. Anda juga dapat menggunakan titik akhir ini untuk melibatkan instans Anda dalam skenario yang memerlukan konektivitas pada port selain 1433, seperti grup failover, transaksi terdistribusi, dan Managed Instance Link. Meskipun titik akhir lokal VNet memberikan fleksibilitas, titik akhir tersebut menambah kompleksitas saat mengonfigurasi skenario tertentu, terutama yang melibatkan beberapa jaringan virtual atau penyewa.

Sebaliknya, menyiapkan titik akhir privat seperti memperpanjang kabel jaringan fisik dari komputer yang menjalankan Azure SQL Managed Instance ke jaringan virtual lain. Jalur konektivitas ini dibuat secara virtual melalui teknologi Azure Private Link. Ini hanya memungkinkan koneksi dalam satu arah: dari titik akhir privat ke Azure SQL Managed Instance; dan hanya membawa lalu lintas pada port 1433 (port lalu lintas TDS standar). Dengan cara ini, Azure SQL Managed Instance Anda tersedia untuk jaringan virtual yang berbeda tanpa harus menyiapkan peering jaringan atau mengaktifkan titik akhir publik instans. Bahkan jika Anda memindahkan instans ke subnet lain, setiap titik akhir privat yang ditetapkan akan terus menunjuk ke subnet tersebut.

Untuk mengetahui diskusi yang lebih detail tentang berbagai jenis titik akhir yang didukung oleh Azure SQL Managed Instance, lihat Ringkasan komunikasi.

Gunakan titik akhir privat

Titik akhir privat ke Azure SQL Managed Instance lebih aman daripada menggunakan titik akhir lokal VNet atau titik akhir publik dan menyederhanakan implementasi skenario konektivitas penting. Skenario ini meliputi:

  • Airlock. Titik akhir privat untuk Azure SQL Managed Instance disebarkan di jaringan virtual dengan server lompat dan gateway ExpressRoute, memberikan keamanan dan isolasi antara sumber daya lokal dan cloud.
  • Topologi hub dan spoke Titik akhir privat dalam jaringan virtual spoke menjalankan lalu lintas dari klien dan aplikasi SQL ke Azure SQL Managed Instances di jaringan virtual hub, membuat isolasi jaringan yang jelas dan pemisahan tanggung jawab.
  • Penerbit-konsumen. Penyewa penerbit (misalnya, ISV) mengelola beberapa instans terkelola SQL di jaringan virtual mereka. Publisher membuat titik akhir privat di jaringan virtual penyewa lain untuk membuat instans tersedia bagi konsumen mereka.
  • Integrasi layanan PaaS dan SaaS Azure. Beberapa layanan PaaS dan SaaS, seperti Azure Data Factory, dapat membuat dan mengelola titik akhir privat ke Azure SQL Managed Instance.

Manfaat menggunakan titik akhir privat melalui titik akhir VNet-lokal atau publik meliputi:

  • Prediksi alamat IP: titik akhir privat ke Azure SQL Managed Instance ditetapkan alamat IP tetap dari rentang alamat subnetnya. Alamat IP ini tetap statis meskipun alamat IP VNet-lokal dan titik akhir publik berubah.
  • Akses jaringan terperinci: titik akhir privat hanya terlihat di dalam jaringan virtualnya.
  • Isolasi jaringan yang kuat: Dalam skenario peering, jaringan virtual yang di-peering membuat konektivitas dua arah, sementara titik akhir privat tidak memiliki arah dan tidak mengekspos sumber daya jaringan di dalam jaringan mereka untuk Azure SQL Managed Instance.
  • Menghindari tumpang tindih alamat: peering beberapa jaringan virtual memerlukan alokasi ruang IP yang cermat dan dapat menimbulkan masalah saat ruang alamat tumpang tindih.
  • Menghemat real estat alamat IP: titik akhir privat hanya menggunakan satu alamat IP dari ruang alamat subnetnya.

Batasan

  • Azure SQL Managed Instance mengharuskan nama host instans yang tepat muncul di string koneksi yang dikirim oleh klien SQL. Menggunakan alamat IP titik akhir privat tidak didukung dan akan gagal. Untuk mengatasinya, konfigurasikan server DNS Anda, atau gunakan zona DNS privat seperti yang dijelaskan dalam Menyiapkan resolusi nama domain untuk titik akhir privat.
  • Pendaftaran otomatis nama DNS belum didukung. Ikuti langkah-langkah dalam Menyiapkan resolusi nama domain untuk titik akhir privat sebagai gantinya.
  • Titik akhir privat ke SQL Managed Instance hanya dapat digunakan untuk tersambung ke port 1433, port TDS standar untuk lalu lintas SQL. Skenario konektivitas yang lebih kompleks yang memerlukan komunikasi pada port lain harus dibuat melalui titik akhir VNet-lokal instans.
  • Titik akhir privat ke Azure SQL Managed Instance memerlukan penyiapan khusus untuk mengonfigurasi resolusi DNS yang diperlukan, seperti yang dijelaskan dalam Menyiapkan resolusi nama domain untuk titik akhir privat.
  • Titik akhir privat selalu beroperasi dengan jenis koneksi proksi.

Membuat titik akhir privat di jaringan virtual

Buat titik akhir privat dengan menggunakan portal Azure, Azure PowerShell, atau Azure CLI:

Setelah membuat titik akhir privat, Anda mungkin juga perlu menyetujui pembuatannya dalam jaringan virtual target; lihat Meninjau dan menyetujui permintaan untuk membuat titik akhir privat.

Untuk membuat titik akhir privat ke SQL Managed Instance berfungsi penuh, ikuti instruksi untuk menyiapkan resolusi nama domain untuk titik akhir privat.

Membuat titik akhir privat di layanan PaaS atau SaaS

Beberapa layanan Azure PaaS dan SaaS dapat menggunakan titik akhir privat untuk mengakses data Anda dari dalam lingkungan mereka. Prosedur untuk menyiapkan titik akhir privat dalam layanan seperti itu (terkadang disebut "titik akhir privat terkelola" atau "titik akhir privat dalam jaringan virtual terkelola") bervariasi di antara layanan. Administrator masih perlu meninjau dan menyetujui permintaan di Azure SQL Managed Instance, seperti yang dijelaskan dalam Meninjau dan menyetujui permintaan untuk membuat titik akhir privat.

Catatan

Azure SQL Managed Instance memerlukan string koneksi dari klien SQL untuk menyandang nama instans sebagai segmen pertama nama domain (misalnya: <instance-name>.<dns-zone>.database.windows.net). Layanan PaaS dan SaaS yang mencoba terhubung ke titik akhir privat Azure SQL Managed Instance melalui alamat IP-nya tidak akan dapat tersambung.

Membuat titik akhir privat lintas penyewa

Titik akhir privat ke Azure SQL Managed Instance juga dapat dibuat di penyewa Azure yang berbeda. Untuk melakukan ini, administrator jaringan virtual tempat titik akhir privat akan muncul harus terlebih dahulu mendapatkan ID sumber daya lengkap Azure SQL Managed Instance tempat mereka akan meminta titik akhir privat. Dengan informasi ini, titik akhir privat baru dapat dibuat di Private Link Center. Seperti sebelumnya, administrator Azure SQL Managed Instance akan menerima permintaan agar mereka dapat meninjau dan menyetujui atau menolak, sesuai Peninjauan dan menyetujui permintaan untuk membuat titik akhir privat.

Meninjau dan menyetujui permintaan untuk membuat titik akhir privat

Setelah permintaan untuk membuat titik akhir privat dibuat, administrator SQL dapat mengelola koneksi titik akhir privat ke Azure SQL Managed Instance. Langkah pertama untuk mengelola koneksi titik akhir privat baru adalah meninjau dan menyetujui titik akhir privat. Langkah ini otomatis jika pengguna atau layanan yang membuat titik akhir privat memiliki izin Azure RBAC yang memadai pada sumber daya Azure SQL Managed Instance. Jika pengguna tidak memiliki izin yang memadai, maka peninjauan dan persetujuan titik akhir privat harus dilakukan secara manual.

Untuk menyetujui titik akhir privat, ikuti langkah-langkah berikut:

  1. Buka Azure SQL Managed Instance Anda di portal Azure.

  2. Di bawah Keamanan, pilih Koneksi titik akhir privat.

    Screenshot of the Azure portal, private endpoint connections page showing two pending connections.

  3. Tinjau koneksi yang memiliki status Tertunda dan centang kotak untuk memilih satu atau beberapa koneksi titik akhir privat untuk disetujui atau ditolak.

    Screenshot of the Azure portal, one private endpoint connection selected for approval.

  4. Pilih Setujui atau Tolak, lalu pilih Ya pada kotak dialog yang memverifikasi tindakan Anda.

    Screenshot of dialog prompting for a response message to accompany the approval of a connection.

  5. Setelah Anda menyetujui atau menolak koneksi, daftar titik akhir privat Koneksi ion mencerminkan status koneksi titik akhir privat saat ini, serta pesan Permintaan/Respons.

    Screenshot of the Azure portal, private endpoint connections page showing one pending and one approved connection.

Menyiapkan resolusi nama domain untuk titik akhir privat

Setelah membuat titik akhir privat ke Azure SQL Managed Instance, Anda harus mengonfigurasi resolusi nama domain, karena, jika tidak, upaya masuk akan gagal. Metode di bawah ini berfungsi untuk jaringan virtual yang menggunakan resolusi Azure DNS. Jika jaringan virtual Anda dikonfigurasi untuk menggunakan server DNS kustom, sesuaikan langkah-langkah berdasarkan kebutuhan.

Untuk menyiapkan resolusi nama domain untuk titik akhir privat ke instans yang nama domain titik akhir VNet-lokalnya adalah <instance-name>.<dns-zone>.database.windows.net, ikuti salah satu dari dua prosedur di bawah ini tergantung pada apakah instans dan titik akhir privatnya berada di jaringan virtual yang sama atau di jaringan virtual yang berbeda.

Penting

Jangan mengubah bagaimana nama domain titik akhir lokal VNet Azure SQL Managed Instance diselesaikan dalam jaringan virtualnya sendiri. Melakukannya mengganggu kemampuan instans untuk melakukan operasi manajemen.

Ikuti langkah-langkah ini jika titik akhir privat dan Azure SQL Managed Instance berada di jaringan virtual yang berbeda.

Setelah Anda menyelesaikan langkah-langkah ini, klien SQL yang terhubung dari <instance-name>.<dns-zone>.database.windows.net dalam jaringan virtual titik akhir akan dirutekan secara transparan melalui titik akhir privat.

  1. Dapatkan alamat IP titik akhir privat baik dengan mengunjungi Pusat Private Link atau dengan menjalankan langkah-langkah berikut:

    1. Buka Azure SQL Managed Instance Anda di portal Azure.

    2. Di bawah Keamanan, pilih Koneksi titik akhir privat.

    3. Temukan koneksi titik akhir privat dalam tabel dan pilih Nama titik akhir privat untuk koneksi yang Anda pilih.

      Screenshot of the Azure portal, private endpoint connections pane the private endpoint name highlighted.

    4. Pada halaman *Gambaran Umum , pilih antarmuka jaringan.

      Screenshot of the Azure portal, private endpoint connection overview with a highlight on network interface.

    5. Pada halaman Gambaran Umum , periksa Esensial untuk mengidentifikasi dan menyalin alamat IP Privat.

      Screenshot of the Azure portal, private endpoint connection's network interface with a highlight on its private IP address.

  2. Membuat zona Azure DNS privat dengan nama privatelink.<dns-zone>.database.windows.net.

  3. Menautkan zona DNS privat ke jaringan virtual titik akhir.

  4. Di zona DNS, buat kumpulan catatan baru dengan nilai berikut ini:

    • Nama: <instance-name>
    • Jenis: A
    • Alamat IP: Alamat IP titik akhir privat yang diperoleh di set sebelumnya.

Langkah berikutnya