Service-eind punten en-regels voor virtuele netwerken gebruiken voor database serversUse virtual network service endpoints and rules for database servers

Regels voor virtuele netwerken zijn één firewall beveiligings functie waarmee wordt bepaald of de database server voor uw afzonderlijke data bases en elastische Pools in azure SQL database of voor uw data bases in SQL Data Warehouse communicatie accepteert die worden verzonden vanuit bepaalde subnetten in virtuele netwerken.Virtual network rules are one firewall security feature that controls whether the database server for your single databases and elastic pool in Azure SQL Database or for your databases in SQL Data Warehouse accepts communications that are sent from particular subnets in virtual networks. In dit artikel wordt uitgelegd waarom de regel functie van het virtuele netwerk soms de beste optie is voor het veilig toestaan van communicatie met uw Azure SQL Database en SQL Data Warehouse.This article explains why the virtual network rule feature is sometimes your best option for securely allowing communication to your Azure SQL Database and SQL Data Warehouse.

Belangrijk

Dit artikel is van toepassing op Azure SQL Server en op zowel SQL Database-als SQL Data Warehouse-data bases die zijn gemaakt op de Azure SQL-Server.This article applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Voor het gemak wordt de term 'SQL Database' gebruikt wanneer er wordt verwezen naar zowel SQL Database als SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse. Dit artikel is niet van toepassing op de implementatie van een beheerd exemplaar in Azure SQL database omdat er geen service-eind punt aan is gekoppeld.This article does not apply to a managed instance deployment in Azure SQL Database because it does not have a service endpoint associated with it.

Als u een regel voor een virtueel netwerk wilt maken, moet er eerst een service-eind punt voor het virtuele netwerk zijn voor de regel waarnaar moet worden verwezen.To create a virtual network rule, there must first be a virtual network service endpoint for the rule to reference.

Een regel voor een virtueel netwerk makenHow to create a virtual network rule

Als u alleen een regel voor een virtueel netwerk maakt, kunt u verdergaan met de stappen en uitleg verderop in dit artikel.If you only create a virtual network rule, you can skip ahead to the steps and explanation later in this article.

Details over regels voor virtuele netwerkenDetails about virtual network rules

In deze sectie worden verschillende details over regels voor het virtuele netwerk beschreven.This section describes several details about virtual network rules.

Slechts één geografische regioOnly one geographic region

Elk Virtual Network Service-eind punt is alleen van toepassing op één Azure-regio.Each Virtual Network service endpoint applies to only one Azure region. Met het eind punt kunnen andere regio's geen communicatie van het subnet accepteren.The endpoint does not enable other regions to accept communication from the subnet.

Een regel voor het virtuele netwerk is beperkt tot de regio waarin het onderliggende eind punt van toepassing is.Any virtual network rule is limited to the region that its underlying endpoint applies to.

Server niveau, niet database niveauServer-level, not database-level

Elke regel voor het virtuele netwerk is van toepassing op uw hele Azure SQL Database Server, niet alleen op een bepaalde data base op de server.Each virtual network rule applies to your whole Azure SQL Database server, not just to one particular database on the server. Met andere woorden, de regel voor het virtuele netwerk geldt op server niveau, niet op database niveau.In other words, virtual network rule applies at the server-level, not at the database-level.

  • IP-regels kunnen daarentegen op beide niveaus van toepassing zijn.In contrast, IP rules can apply at either level.

Beveiligings beheer rollenSecurity administration roles

Er is een schei ding van beveiligings rollen in het beheer van Virtual Network Service-eind punten.There is a separation of security roles in the administration of Virtual Network service endpoints. Actie is vereist voor elk van de volgende rollen:Action is required from each of the following roles:

  • Netwerk beheerder:  Schakel het eind punt in.Network Admin:   Turn on the endpoint.
  • Database beheerder:  Werk de toegangs beheer lijst (ACL) bij om het opgegeven subnet toe te voegen aan de SQL Database-Server.Database Admin:   Update the access control list (ACL) to add the given subnet to the SQL Database server.

Alternatief voor RBAC:RBAC alternative:

De rollen van de netwerk beheerder en de database beheerder hebben meer mogelijkheden dan nodig zijn voor het beheren van regels voor het virtuele netwerk.The roles of Network Admin and Database Admin have more capabilities than are needed to manage virtual network rules. Er is slechts een subset van de mogelijkheden nodig.Only a subset of their capabilities is needed.

U hebt de mogelijkheid om op rollen gebaseerd toegangs beheer (RBAC) in azure te gebruiken om één aangepaste rol te maken die alleen de benodigde subset van mogelijkheden heeft.You have the option of using role-based access control (RBAC) in Azure to create a single custom role that has only the necessary subset of capabilities. De aangepaste rol kan worden gebruikt in plaats van de netwerk beheerder of de database beheerder. De surface area van uw beveiligings risico is lager als u een gebruiker toevoegt aan een aangepaste rol, en de gebruiker toevoegt aan de andere twee belang rijke beheerders rollen.The custom role could be used instead of involving either the Network Admin or the Database Admin. The surface area of your security exposure is lower if you add a user to a custom role, versus adding the user to the other two major administrator roles.

Notitie

In sommige gevallen bevinden de Azure SQL Database en het VNet-subnet zich in verschillende abonnementen.In some cases the Azure SQL Database and the VNet-subnet are in different subscriptions. In deze gevallen moet u ervoor zorgen dat u de volgende configuraties hebt:In these cases you must ensure the following configurations:

  • Beide abonnementen moeten zich in dezelfde Azure Active Directory Tenant bezitten.Both subscriptions must be in the same Azure Active Directory tenant.
  • De gebruiker beschikt over de vereiste machtigingen voor het initiëren van bewerkingen, zoals het inschakelen van service-eind punten en het toevoegen van een VNet-subnet aan de opgegeven server.The user has the required permissions to initiate operations, such as enabling service endpoints and adding a VNet-subnet to the given Server.
  • Voor beide abonnementen moet de micro soft. SQL-provider zijn geregistreerd.Both subscriptions must have the Microsoft.Sql provider registered.

BeperkingenLimitations

Voor Azure SQL Database heeft de functie regels voor virtuele netwerken de volgende beperkingen:For Azure SQL Database, the virtual network rules feature has the following limitations:

  • In de firewall voor uw SQL Database verwijst elke virtuele netwerk regel naar een subnet.In the firewall for your SQL Database, each virtual network rule references a subnet. Al deze subnetten waarnaar wordt verwezen, moeten worden gehost in dezelfde geografische regio die als host fungeert voor de SQL Database.All these referenced subnets must be hosted in the same geographic region that hosts the SQL Database.

  • Elke Azure SQL Database-Server kan Maxi maal 128 ACL-vermeldingen hebben voor elk gegeven virtueel netwerk.Each Azure SQL Database server can have up to 128 ACL entries for any given virtual network.

  • De regels voor virtuele netwerken zijn alleen van toepassing op Azure Resource Manager virtuele netwerken. en niet op klassieke implementatie model netwerken.Virtual network rules apply only to Azure Resource Manager virtual networks; and not to classic deployment model networks.

  • Als u service-eind punten voor virtuele netwerken inschakelt voor Azure SQL Database, worden ook de eind punten ingeschakeld voor de services MySQL en PostgreSQL Azure.Turning ON virtual network service endpoints to Azure SQL Database also enables the endpoints for the MySQL and PostgreSQL Azure services. Met eind punten op probeert echter verbinding te maken vanaf de eind punten naar uw MySQL-of PostgreSQL-instanties.However, with endpoints ON, attempts to connect from the endpoints to your MySQL or PostgreSQL instances may fail.

    • De onderliggende reden is dat MySQL en PostgreSQL waarschijnlijk geen regel voor het virtuele netwerk zijn geconfigureerd.The underlying reason is that MySQL and PostgreSQL likely do not have a virtual network rule configured. U moet een regel voor het virtuele netwerk configureren voor Azure Database for MySQL en PostgreSQL en de verbinding slaagt.You must configure a virtual network rule for Azure Database for MySQL and PostgreSQL and the connection will succeed.
  • IP-adresbereiken op de firewall zijn van toepassing op de volgende netwerk items, maar de regels voor het virtuele netwerk doen dit niet:On the firewall, IP address ranges do apply to the following networking items, but virtual network rules do not:

Overwegingen bij het gebruik van service-eind puntenConsiderations when using Service Endpoints

Wanneer u service-eind punten voor Azure SQL Database gebruikt, raadpleegt u de volgende overwegingen:When using service endpoints for Azure SQL Database, review the following considerations:

  • Uitgaand naar Azure SQL database open bare ip's is vereist: Netwerk beveiligings groepen (Nsg's) moeten worden geopend om IP-adressen te Azure SQL Database om connectiviteit mogelijk te maken.Outbound to Azure SQL Database Public IPs is required: Network Security Groups (NSGs) must be opened to Azure SQL Database IPs to allow connectivity. U kunt dit doen met behulp van NSG- service Tags voor Azure SQL database.You can do this by using NSG Service Tags for Azure SQL Database.

ExpressRouteExpressRoute

Als u ExpressRoute gebruikt vanuit uw on-premises netwerk voor openbare peering of Microsoft-peering, moet u de NAT IP-adressen opgeven die worden gebruikt.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Voor openbare peering gebruikt elk ExpressRoute-circuit standaard twee NAT IP-adressen. Deze worden toegepast op Azure-serviceverkeer wanneer het verkeer het Microsoft Azure-backbone-netwerk binnenkomt.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Voor Microsoft-peering worden de NAT IP-adressen die worden gebruikt opgegeven door de klant of de serviceprovider.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Voor toegang tot uw serviceresources moet u deze openbare IP-adressen toestaan in de instelling voor IP-firewall voor de resource.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Wanneer u op zoek bent naar de IP-adressen van uw ExpressRoute-circuit, opent u een ondersteuningsticket met ExpressRoute via de Azure Portal.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Meer informatie over NAT voor openbare peering en Microsoft-peering met ExpressRoute.Learn more about NAT for ExpressRoute public and Microsoft peering.

Als u communicatie vanuit uw circuit naar Azure SQL Database wilt toestaan, moet u IP-netwerk regels maken voor de open bare IP-adressen van uw NAT.To allow communication from your circuit to Azure SQL Database, you must create IP network rules for the public IP addresses of your NAT.

Gevolgen van het gebruik van VNet-service-eind punten met Azure StorageImpact of using VNet Service Endpoints with Azure storage

Azure Storage heeft dezelfde functie geïmplementeerd waarmee u de connectiviteit met uw Azure Storage-account kunt beperken.Azure Storage has implemented the same feature that allows you to limit connectivity to your Azure Storage account. Als u ervoor kiest om deze functie te gebruiken met een Azure Storage account dat door Azure SQL Server wordt gebruikt, kunt u problemen ondervinden.If you choose to use this feature with an Azure Storage account that is being used by Azure SQL Server, you can run into issues. Hierna volgt een lijst en bespreking van Azure SQL Database-en Azure SQL Data Warehouse-functies die van invloed zijn op dit onderwerp.Next is a list and discussion of Azure SQL Database and Azure SQL Data Warehouse features that are impacted by this.

Azure SQL Data Warehouse PolyBaseAzure SQL Data Warehouse PolyBase

Poly Base wordt vaak gebruikt voor het laden van gegevens in Azure SQL Data Warehouse van Azure Storage-accounts.PolyBase is commonly used to load data into Azure SQL Data Warehouse from Azure Storage accounts. Als het Azure Storage account waarvan u gegevens wilt laden, alleen toegang heeft tot een set VNet-subnetten, wordt de connectiviteit van poly Base naar het account verbroken.If the Azure Storage account that you are loading data from limits access only to a set of VNet-subnets, connectivity from PolyBase to the Account will break. Volg de onderstaande stappen voor het inschakelen van zowel poly base import-als export scenario's met Azure SQL Data Warehouse verbinding maken met Azure Storage die zijn beveiligd met VNet:For enabling both PolyBase import and export scenarios with Azure SQL Data Warehouse connecting to Azure Storage that's secured to VNet, follow the steps indicated below:

VereistenPrerequisites

Notitie

Dit artikel is bijgewerkt voor het gebruik van de nieuwe Azure PowerShell Az-module.This article has been updated to use the new Azure PowerShell Az module. De AzureRM-module kan nog worden gebruikt en krijgt bugoplossingen tot ten minste december 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Zie voor meer informatie over de nieuwe Az-module en compatibiliteit met AzureRM Introductie van de nieuwe Az-module van Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Raadpleeg Azure PowerShell installeren voor instructies over de installatie van de Az-module.For Az module installation instructions, see Install Azure PowerShell.

Belangrijk

De Power shell-Azure Resource Manager module wordt nog steeds ondersteund door Azure SQL Database, maar alle toekomstige ontwikkeling is voor de module AZ. SQL.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Zie AzureRM. SQLvoor deze cmdlets.For these cmdlets, see AzureRM.Sql. De argumenten voor de opdrachten in de module AZ en in de AzureRm-modules zijn aanzienlijk identiek.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

  1. Installeer Azure PowerShell met behulp van deze hand leiding.Install Azure PowerShell using this guide.
  2. Als u een v1-of Blob-opslag account voor algemeen gebruik hebt, moet u eerst een upgrade uitvoeren naar de v2 voor algemeen gebruik met behulp van deze hand leiding.If you have a general-purpose v1 or blob storage account, you must first upgrade to general-purpose v2 using this guide.
  3. U moet vertrouwde micro soft-Services toegang geven tot dit opslag account ingeschakeld onder Azure Storage account firewalls en instellingen voor virtuele netwerken .You must have Allow trusted Microsoft services to access this storage account turned on under Azure Storage account Firewalls and Virtual networks settings menu. Raadpleeg deze hand leiding voor meer informatie.Refer to this guide for more information.

StappenSteps

  1. Registreer in Power shell uw Azure SQL Server die als host fungeert voor uw Azure SQL Data Warehouse-exemplaar met Azure Active Directory (Aad):In PowerShell, register your Azure SQL Server hosting your Azure SQL Data Warehouse instance with Azure Active Directory (AAD):

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId your-subscriptionId
    Set-AzSqlServer -ResourceGroupName your-database-server-resourceGroup -ServerName your-SQL-servername -AssignIdentity
    
    1. Maak met behulp van deze hand leidingeen v2-opslag account voor algemeen gebruik.Create a general-purpose v2 Storage Account using this guide.

    Notitie

    • Als u een v1-of Blob-opslag account voor algemeen gebruik hebt, moet u eerst een upgrade uitvoeren naar v2 met behulp van deze hand leiding.If you have a general-purpose v1 or blob storage account, you must first upgrade to v2 using this guide.
    • Raadpleeg deze hand leidingvoor bekende problemen met Azure data Lake Storage Gen2.For known issues with Azure Data Lake Storage Gen2, please refer to this guide.
  2. Navigeer naar Access Control (IAM) onder uw opslag account en klik op roltoewijzing toevoegen.Under your storage account, navigate to Access Control (IAM), and click Add role assignment. Wijs de RBAC-rol Storage BLOB data Inzender toe aan uw Azure-SQL Server die als host fungeert voor uw Azure SQL Data Warehouse die u met Azure Active Directory (Aad) hebt geregistreerd, zoals in stap 1.Assign Storage Blob Data Contributor RBAC role to your Azure SQL Server hosting your Azure SQL Data Warehouse which you've registered with Azure Active Directory (AAD) as in step#1.

    Notitie

    Alleen leden met de bevoegdheid eigenaar kunnen deze stap uitvoeren.Only members with Owner privilege can perform this step. Raadpleeg deze hand leidingvoor verschillende ingebouwde rollen voor Azure-resources.For various built-in roles for Azure resources, refer to this guide.

  3. Poly base-verbinding met het Azure Storage-account:Polybase connectivity to the Azure Storage account:

    1. Maak een database hoofd sleutel als u deze nog niet eerder hebt gemaakt:Create a database master key if you haven't created one earlier:

      CREATE MASTER KEY [ENCRYPTION BY PASSWORD = 'somepassword'];
      
    2. Create Data Base scoped Credential met Identity = ' managed service Identity ' :Create database scoped credential with IDENTITY = 'Managed Service Identity':

      CREATE DATABASE SCOPED CREDENTIAL msi_cred WITH IDENTITY = 'Managed Service Identity';
      

      Notitie

      • U hoeft geen geheim op te geven met Azure Storage toegangs sleutel, omdat dit mechanisme gebruikmaakt van beheerde identiteiten onder de voor vallen.There is no need to specify SECRET with Azure Storage access key because this mechanism uses Managed Identity under the covers.
      • De IDENTITEITs naam moet Managed Service Identity voor poly base-connectiviteit zijn om te werken met Azure Storage account dat is beveiligd met VNet.IDENTITY name should be 'Managed Service Identity' for PolyBase connectivity to work with Azure Storage account secured to VNet.
    3. Maak een externe gegevens bron met een abfss://-schema om verbinding te maken met uw voor algemeen gebruik v2-opslag account via Poly Base:Create external data source with abfss:// scheme for connecting to your general-purpose v2 storage account using PolyBase:

      CREATE EXTERNAL DATA SOURCE ext_datasource_with_abfss WITH (TYPE = hadoop, LOCATION = 'abfss://myfile@mystorageaccount.dfs.core.windows.net', CREDENTIAL = msi_cred);
      

      Notitie

      • Als u al externe tabellen hebt gekoppeld aan het algemeen-en Blob Storage-account, moet u deze externe tabellen eerst neerzetten en vervolgens de bijbehorende externe gegevens bron verwijderen.If you already have external tables associated with general-purpose v1 or blob storage account, you should first drop those external tables and then drop corresponding external data source. Maak vervolgens een externe gegevens bron met een abfss://-schema om verbinding te maken met het v2-opslag account voor algemeen gebruik en maak alle externe tabellen opnieuw met behulp van deze nieuwe externe gegevens bron.Then create external data source with abfss:// scheme connecting to general-purpose v2 storage account as above and re-create all the external tables using this new external data source. U kunt de wizard scripts genereren en publiceren gebruiken om voor het gemak create-scripts te genereren voor alle externe tabellen.You could use Generate and Publish Scripts Wizard to generate create-scripts for all the external tables for ease.
      • Raadpleeg deze hand leidingvoor meer informatie over het abfss://-schema.For more information on abfss:// scheme, refer to this guide.
      • Raadpleeg deze hand leidingvoor meer informatie over het maken van een externe gegevens bron.For more information on CREATE EXTERNAL DATA SOURCE, refer to this guide.
    4. Query's uitvoeren als normaal met externe tabellen.Query as normal using external tables.

Azure SQL Database BLOB-controleAzure SQL Database Blob Auditing

Met Blob-controle worden controle logboeken naar uw eigen opslag account gepusht.Blob auditing pushes audit logs to your own storage account. Als dit opslag account gebruikmaakt van de functie voor de VNet-service-eind punten, wordt de verbinding van Azure SQL Database naar het opslag account verbroken.If this storage account uses the VNet Service endpoints feature then connectivity from Azure SQL Database to the storage account will break.

Een VNet-firewall regel toevoegen aan uw server zonder de VNet-service-eind punten in te scha kelenAdding a VNet Firewall rule to your server without turning On VNet Service Endpoints

Lang geleden moesten voordat deze functie werd verbeterd, de VNet-service-eind punten worden ingeschakeld voordat u een live VNet-regel in de firewall zou kunnen implementeren.Long ago, before this feature was enhanced, you were required to turn VNet service endpoints On before you could implement a live VNet rule in the Firewall. De eind punten die betrekking hebben op een bepaald VNet-subnet naar een Azure SQL Database.The endpoints related a given VNet-subnet to an Azure SQL Database. Maar nu vanaf januari 2018, kunt u deze vereiste omzeilen door de IgnoreMissingVNetServiceEndpoint -vlag in te stellen.But now as of January 2018, you can circumvent this requirement by setting the IgnoreMissingVNetServiceEndpoint flag.

Als u alleen een firewall regel instelt, wordt de server niet beveiligd.Merely setting a Firewall rule does not help secure the server. U moet ook VNet-service-eind punten inschakelen om de beveiliging van kracht te laten worden.You must also turn VNet service endpoints On for the security to take effect. Wanneer u service-eind punten inschakelt, wordt de downtime van uw VNet-subnet in stand gezet totdat de overgang van uit naar wordt voltooid.When you turn service endpoints On, your VNet-subnet experiences downtime until it completes the transition from Off to On. Dit geldt met name in de context van grote VNets.This is especially true in the context of large VNets. U kunt de vlag IgnoreMissingVNetServiceEndpoint gebruiken om de downtime te verminderen of te elimineren tijdens de overgang.You can use the IgnoreMissingVNetServiceEndpoint flag to reduce or eliminate the downtime during transition.

U kunt de vlag IgnoreMissingVNetServiceEndpoint instellen met behulp van Power shell.You can set the IgnoreMissingVNetServiceEndpoint flag by using PowerShell. Zie Power shell om een Virtual Network Service-eind punt en-regel voor Azure SQL database te makenvoor meer informatie.For details, see PowerShell to create a Virtual Network service endpoint and rule for Azure SQL Database.

Fouten 40914 en 40615Errors 40914 and 40615

Verbindings fout 40914 is gekoppeld aan regels voor virtuele netwerken, zoals opgegeven in het deel venster Firewall in de Azure Portal.Connection error 40914 relates to virtual network rules, as specified on the Firewall pane in the Azure portal. Fout 40615 is vergelijkbaar, maar heeft betrekking op IP-adres regels op de firewall.Error 40615 is similar, except it relates to IP address rules on the Firewall.

Fout 40914Error 40914

Bericht tekst: Kan de server [Server naam] die door de aanmelding is aangevraagd, niet openen.Message text: Cannot open server '[server-name]' requested by the login. De client is niet gemachtigd om toegang te krijgen tot de server.Client is not allowed to access the server.

Fout beschrijving: De-client bevindt zich in een subnet met virtuele netwerk server-eind punten.Error description: The client is in a subnet that has virtual network server endpoints. De Azure SQL Database-Server heeft echter geen regel voor het virtuele netwerk waarmee het subnet het recht geeft om te communiceren met de SQL Database.But the Azure SQL Database server has no virtual network rule that grants to the subnet the right to communicate with the SQL Database.

Fout oplossing: Gebruik in het deel venster Firewall van de Azure Portal het besturings element regels voor virtuele netwerken om een regel voor het virtuele netwerk voor het subnet toe te voegen.Error resolution: On the Firewall pane of the Azure portal, use the virtual network rules control to add a virtual network rule for the subnet.

Fout 40615Error 40615

Bericht tekst: Kan de server{0}niet openen, die door de aanmelding is aangevraagd.Message text: Cannot open server '{0}' requested by the login. De client met het IP{1}-adres is niet gemachtigd om toegang te krijgen tot de server.Client with IP address '{1}' is not allowed to access the server.

Fout beschrijving: De client probeert verbinding te maken vanaf een IP-adres dat niet is gemachtigd om verbinding te maken met de Azure SQL Database Server.Error description: The client is trying to connect from an IP address that is not authorized to connect to the Azure SQL Database server. Op de firewall van de server is geen regel voor IP-adressen ingesteld die een client toestemming geeft om vanaf het opgegeven IP-adres te communiceren met de SQL-database.The server firewall has no IP address rule that allows a client to communicate from the given IP address to the SQL Database.

Fout oplossing: Voer het IP-adres van de client in als een IP-regel.Error resolution: Enter the client's IP address as an IP rule. Doe dit met behulp van het deel venster Firewall in de Azure Portal.Do this by using the Firewall pane in the Azure portal.

Hierwordt een lijst met verschillende SQL database fout berichten beschreven.A list of several SQL Database error messages is documented here.

De portal kan een regel voor een virtueel netwerk makenPortal can create a virtual network rule

In deze sectie ziet u hoe u de Azure Portal kunt gebruiken om een regel voor een virtueel netwerk te maken in uw Azure SQL database.This section illustrates how you can use the Azure portal to create a virtual network rule in your Azure SQL Database. De regel vertelt uw SQL Database om communicatie te accepteren van een bepaald subnet dat is gelabeld als een Virtual Network Service-eind punt.The rule tells your SQL Database to accept communication from a particular subnet that has been tagged as being a Virtual Network service endpoint.

Notitie

Als u van plan bent een service-eind punt toe te voegen aan de VNet-firewall regels van uw Azure SQL Database-Server, moet u eerst controleren of service-eind punten zijn ingeschakeld voor het subnet.If you intend to add a service endpoint to the VNet firewall rules of your Azure SQL Database server, first ensure that service endpoints are turned On for the subnet.

Als service-eind punten niet zijn ingeschakeld voor het subnet, vraagt de portal u om deze in te scha kelen.If service endpoints are not turned on for the subnet, the portal asks you to enable them. Klik op de knop inschakelen op dezelfde Blade waarop u de regel toevoegt.Click the Enable button on the same blade on which you add the rule.

Power shell-alternatiefPowerShell alternative

Een Power shell-script kan ook regels voor het virtuele netwerk maken.A PowerShell script can also create virtual network rules. De essentiële cmdlet New-AzSqlServerVirtualNetworkRule.The crucial cmdlet New-AzSqlServerVirtualNetworkRule. Zie Power shell om een Virtual Network Service-eind punt en regel voor Azure SQL database te maken.If interested, see PowerShell to create a Virtual Network service endpoint and rule for Azure SQL Database.

REST API alternatiefREST API alternative

Intern, de Power shell-cmdlets voor SQL VNet-acties roepen REST-Api's.Internally, the PowerShell cmdlets for SQL VNet actions call REST APIs. U kunt de REST-Api's rechtstreeks aanroepen.You can call the REST APIs directly.

VereistenPrerequisites

U moet al een subnet hebben dat is gelabeld met de specifieke naam van het Virtual Network service-eindpunt type dat relevant is voor Azure SQL database.You must already have a subnet that is tagged with the particular Virtual Network service endpoint type name relevant to Azure SQL Database.

Azure Portal stappenAzure portal steps

  1. Meld u aan bij Azure Portal.Sign in to the Azure portal.

  2. Navigeer vervolgens door de portal naar SQL servers > firewall/Virtual Networks.Then navigate the portal to SQL servers > Firewall / Virtual Networks.

  3. Stel het besturings element toegang tot Azure-Services toestaan in op uit.Set the Allow access to Azure services control to OFF.

    Belangrijk

    Als u het besturings element hebt ingesteld op aan, accepteert uw Azure SQL Database-Server communicatie vanaf elk subnet binnen de grens van Azure, d.w.z. afkomstig van een van de IP-adressen die worden herkend als die binnen bereiken die zijn gedefinieerd voor Azure data centers.If you leave the control set to ON, your Azure SQL Database server accepts communication from any subnet inside the Azure boundary i.e. originating from one of the IP addresses that is recognized as those within ranges defined for Azure data centers. Het is mogelijk dat het besturings element dat is ingesteld op aan, overmatig toegankelijk is vanuit het beveiligings oogpunt van de weer gave.Leaving the control set to ON might be excessive access from a security point of view. Met de functie Microsoft Azure Virtual Network Service-eind punt, in combi natie met de regel functie voor virtuele netwerken van SQL Database, kan uw beveiligings surface area worden verminderd.The Microsoft Azure Virtual Network service endpoint feature, in coordination with the virtual network rule feature of SQL Database, together can reduce your security surface area.

  4. Klik in de sectie virtuele netwerken op het besturings element + bestaande toevoegen .Click the + Add existing control, in the Virtual networks section.

    Klik op bestaande toevoegen (subnet-eind punt, als een SQL-regel).

  5. In het nieuwe deel venster maken/bijwerken vult u de besturings elementen in met de namen van uw Azure-resources.In the new Create/Update pane, fill in the controls with the names of your Azure resources.

    Tip

    U moet het juiste adres voorvoegsel voor uw subnet toevoegen.You must include the correct Address prefix for your subnet. U kunt de waarde vinden in de portal.You can find the value in the portal. Ga naar alle resources > alle typen > virtuele netwerken.Navigate All resources > All types > Virtual networks. Met het filter worden uw virtuele netwerken weer gegeven.The filter displays your virtual networks. Klik op uw virtuele netwerk en klik vervolgens op subnetten.Click your virtual network, and then click Subnets. De kolom adres bereik bevat het adres voorvoegsel dat u nodig hebt.The ADDRESS RANGE column has the Address prefix you need.

    Vul velden in voor nieuwe regel.

  6. Klik op de knop OK onder aan het deel venster.Click the OK button near the bottom of the pane.

  7. Zie de resulterende regel voor het virtuele netwerk in het deel venster Firewall.See the resulting virtual network rule on the firewall pane.

    Zie de nieuwe regel in het deel venster Firewall.

Notitie

De volgende statussen of provincies zijn van toepassing op de regels:The following statuses or states apply to the rules:

  • Voortzetten Geeft aan dat de bewerking die u hebt gestart, is geslaagd.Ready: Indicates that the operation that you initiated has Succeeded.
  • Is mislukt Geeft aan dat de bewerking die u hebt gestart, is mislukt.Failed: Indicates that the operation that you initiated has Failed.
  • Vervallen Is alleen van toepassing op de Verwijder bewerking en geeft aan dat de regel is verwijderd en niet langer van toepassing is.Deleted: Only applies to the Delete operation, and indicates that the rule has been deleted and no longer applies.
  • InProgress Geeft aan dat de bewerking wordt uitgevoerd.InProgress: Indicates that the operation is in progress. De oude regel is van toepassing terwijl de bewerking zich in deze status bevindt.The old rule applies while the operation is in this state.

De regel functie voor virtuele netwerken voor Azure SQL Database is eind september 2017 beschikbaar.The virtual network rule feature for Azure SQL Database became available in late September 2017.

Volgende stappenNext steps