Mengonfigurasi kebijakan titik akhir layanan (Pratinjau) untuk Azure SQL Managed Instance

  • Artikel

Berlaku untuk:Azure SQL Managed Instance

Kebijakan titik akhir layanan Virtual Network (VNet) Azure Storage memungkinkan Anda memfilter lalu lintas jaringan virtual keluar ke Azure Storage, membatasi transfer data untuk akun penyimpanan tertentu.

Kemampuan untuk mengonfigurasi kebijakan titik akhir Anda dan mengaitkannya dengan SQL Managed Instance Anda saat ini masih dalam versi pratinjau.

Manfaat utama

Mengonfigurasi kebijakan titik akhir layanan Azure Storage Virtual Network untuk Azure SQL Managed Instance Anda memberikan manfaat berikut:

  • Peningkatan keamanan untuk lalu lintas Azure SQL Managed Instance Anda ke Azure Storage: Kebijakan titik akhir menetapkan kontrol keamanan yang mencegah eksfiltrasi data penting bisnis yang salah atau berbahaya. Lalu lintas hanya dapat dibatasi pada akun penyimpanan yang sesuai dengan persyaratan tata kelola data Anda.

  • Kontrol terperinci di mana akun penyimpanan dapat diakses: Kebijakan titik akhir layanan dapat mengizinkan lalu lintas ke akun penyimpanan di tingkat langganan, grup sumber daya, dan akun penyimpanan individual. Administrator dapat menggunakan kebijakan titik akhir layanan untuk menerapkan kepatuhan untuk arsitektur keamanan data organisasi di Azure.

  • Lalu lintas sistem tetap tidak terpengaruh: Kebijakan titik akhir layanan tidak pernah menghalangi akses ke penyimpanan yang diperlukan agar Azure SQL Managed Instance dapat berfungsi. Ini termasuk penyimpanan cadangan, file data, file log transaksi, dan aset lainnya.

Penting

Kebijakan titik akhir layanan hanya mengontrol lalu lintas yang berasal dari subnet SQL Managed Instance dan berakhir di penyimpanan Azure. Kebijakan tidak memengaruhi, misalnya, mengekspor database ke file BACPAC lokal, integrasi Azure Data Factory, pengumpulan informasi diagnostik melalui Pengaturan Diagnostik Azure, atau mekanisme ekstraksi data lainnya yang tidak secara langsung menargetkan Azure Storage.

Pembatasan

Mengaktifkan kebijakan titik akhir layanan untuk Azure SQL Managed Instance Anda memiliki batasan berikut:

  • Saat dalam pratinjau, menempatkan kebijakan titik akhir layanan pada subnet akan mengganggu kemampuan instans dalam subnet tersebut untuk melakukan pemulihan titik waktu (PITR) dari instans di subnet lain. Namun, kebijakan titik akhir layanan tidak mencegah instans di subnet lain memulihkan cadangan dari subnet tersebut.
  • Sementara masih dalam pratinjau, fitur ini tersedia di semua wilayah Azure yang mendukung SQL Managed Instance, kecuali untuk CN Timur 2,CN Utara 2, US Tengah EUAP, US Timur 2 EUAP, US Gov AZ, US Gov Texas, US Gov Virginia, dan Barat Sentral AS.
  • Fitur ini hanya tersedia untuk jaringan virtual yang disebarkan melalui model penyebaran Azure Resource Manager.
  • Fitur ini hanya tersedia di subnet yang memiliki titik akhir layanan untuk Azure Storage yang diaktifkan.
  • Menetapkan kebijakan titik akhir layanan ke suatu titik akhir layanan meningkatkan titik akhir dari lingkup regional ke global. Dengan kata lain, semua lalu lintas ke Azure Storage akan melalui titik akhir layanan di wilayah mana pun tempat akun penyimpanan berada.
  • Mengizinkan akun penyimpanan akan secara otomatis mengizinkan akses ke sekunder RA-GRS-nya.

Menyiapkan inventaris penyimpanan

Sebelum Anda mulai mengonfigurasi kebijakan titik akhir layanan pada subnet, buat daftar akun penyimpanan yang harus diakses oleh instans terkelola pada subnet tersebut.

Berikut ini adalah daftar alur kerja yang mungkin menghubungi Azure Storage:

Perhatikan nama akun, grup sumber daya, dan langganan untuk akun penyimpanan apa pun yang berpartisipasi dalam alur kerja ini, atau lainnya, yang mengakses penyimpanan.

Mengonfigurasi kebijakan

Anda perlu terlebih dahulu membuat kebijakan titik akhir layanan Anda, kemudian mengaitkan kebijakan tersebut dengan subnet SQL Managed Instance. Ubah alur kerja di bagian ini agar sesuai dengan kebutuhan bisnis Anda.

Catatan

  • Subnet SQL Managed Instance memerlukan kebijakan untuk memuat alias layanan /Services/Azure/ManagedInstance (Lihat langkah 5).
  • Instans terkelola yang disebarkan ke subnet yang sudah berisi kebijakan titik akhir layanan akan secara otomatis meningkatkan alias layanan /Services/Azure/ManagedInstance.

Membuat kebijakan titik akhir layanan

Untuk membuat kebijakan titik akhir layanan, ikuti langkah-langkah berikut:

  1. Masuk ke portal Microsoft Azure.

  2. Pilih + Buat sumber daya.

  3. Di panel pencarian, masukkan kebijakan titik akhir layanan, pilih Kebijakan titik akhir layanan, lalu pilih Buat.

    Create service endpoint policy

  4. Masukkan nilai berikut pada halaman Dasar:

    • Langganan: Pilih langganan untuk kebijakan Anda dari menu drop-down.
    • Grup sumber daya: Pilih grup sumber daya tempat instans terkelola Anda berada, atau pilih Buat baru dan isi nama untuk grup sumber daya baru.
    • Nama: Berikan nama untuk kebijakan Anda, seperti mySEP.
    • Lokasi: Pilih wilayah jaringan virtual menghosting instans terkelola.

    Create service endpoint policy basics

  5. Dalam Definisi kebijakan, pilih Tambahkan alias dan masukkan informasi berikut pada panel Tambahkan alias:

    • Alias Layanan: Pilih /Services/Azure/ManagedInstance.
    • Pilih Tambahkan untuk menyelesaikan penambahan alias layanan.

    Add an alias to a service endpoint policy

  6. Dalam Definisi kebijakan, pilih + Tambahkan pada Sumber Daya dan masukkan atau pilih informasi berikut di panel Tambahkan sumber daya:

    • Layanan: Pilih Microsoft.Storage.
    • Lingkup: Pilih Semua akun dalam langganan.
    • Langganan: Pilih langganan yang berisi akun penyimpanan yang akan diizinkan. Lihat inventaris akun penyimpanan Azure yang dibuat sebelumnya.
    • Pilih Tambahkan untuk menyelesaikan penambahan sumber daya.
    • Ulangi langkah ini untuk menambahkan langganan lainnya.

    Add a resource to a service endpoint policy

  7. Opsional: Anda dapat mengonfigurasi tag pada kebijakan titik akhir layanan pada Tag.

  8. Pilih Tinjau + Buat. Validasikan informasi dan pilih Buat. Untuk mengedit lebih lanjut, pilih Sebelumnya.

Tip

Pertama, konfigurasikan kebijakan untuk memungkinkan akses ke seluruh langganan. Validasikan konfigurasi dengan memastikan semua alur kerja beroperasi secara normal. Kemudian, secara opsional, konfigurasi ulang kebijakan untuk mengizinkan akun penyimpanan individual, atau akun dalam grup sumber daya. Untuk melakukannya, pilih Akun tunggal atau Semua akun dalam grup sumber daya di bidang Lingkup:, dan isi bidang lainnya sesuai yang sesuai.

Mengaitkan kebijakan dengan subnet

Setelah kebijakan titik akhir layanan Anda dibuat, kaitkan kebijakan dengan subnet SQL Managed Instance Anda.

Untuk mengaitkan kebijakan Anda, ikuti langkah-langkah berikut:

  1. Di kotak Semua layanan di portal Azure, cari jaringan virtual. Pilih Jaringan virtual.

  2. Temukan dan pilih jaringan virtual yang menghosting instans terkelola Anda.

  3. Pilih Subnet dan pilih subnet yang khusus untuk instans terkelola Anda. Masukkan informasi berikut di panel subnet:

    • Layanan: Pilih Microsoft.Storage. Jika bidang ini kosong, Anda perlu mengonfigurasi titik akhir layanan untuk Azure Storage pada subnet ini.
    • Kebijakan titik akhir layanan: Pilih kebijakan titik akhir layanan apa pun yang ingin Anda terapkan ke subnet SQL Managed Instance.

    Associate a service endpoint policy with a subnet

  4. Pilih Simpan untuk menyelesaikan konfigurasi jaringan virtual.

Peringatan

Jika kebijakan pada subnet ini tidak memiliki /Services/Azure/ManagedInstance alias, Anda mungkin melihat kesalahan berikut: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Untuk mengatasi hal ini, perbarui semua kebijakan di subnet untuk menyertakan alias /Services/Azure/ManagedInstance.

Langkah berikutnya