Azure SQL Yönetilen Örneği için Azure Özel Bağlantı

  • Makale

Şunlar için geçerlidir:Azure SQL Yönetilen Örneği

Bu makalede, Azure SQL Yönetilen Örneği için özel uç noktaya genel bir bakış ve yapılandırma adımları sağlanır. Özel uç noktalar, hizmetinizin tüm ağ altyapısını göstermeden bir hizmetle birden çok sanal ağ arasında güvenli, yalıtılmış bağlantı kurar.

Genel bakış

Özel Bağlantı, Azure SQL Yönetilen Örneği seçtiğiniz bir sanal ağda kullanılabilir hale getiren Azure teknolojisidir. Bir ağ yöneticisi sanal ağlarında Azure SQL Yönetilen Örneği için özel bir uç nokta oluşturabilirken, SQL yöneticisi uç noktayı etkin hale gelmeden önce kabul etmeyi veya reddetmeyi seçer. Özel uç noktalar, hizmetinizin tüm ağ altyapısını göstermeden bir hizmetle birden çok sanal ağ arasında güvenli, yalıtılmış bağlantı kurar.

Özel uç noktaların sanal ağ-yerel uç noktalardan farkı

Her Azure SQL Yönetilen Örneği ile dağıtılan varsayılan sanal ağ yerel uç noktası, hizmeti çalıştıran bir bilgisayar sanal ağınıza fiziksel olarak eklenmiş gibi davranır. Rota tabloları, ağ güvenlik grupları, DNS çözümlemesi, güvenlik duvarları ve benzer mekanizmalar aracılığıyla neredeyse eksiksiz trafik denetimine olanak tanır. Bu uç noktayı, örneğinizi yük devretme grupları, dağıtılmış işlemler ve Yönetilen Örnek Bağlantısı gibi 1433 dışındaki bağlantı noktaları üzerinde bağlantı gerektiren senaryolara dahil etmek için de kullanabilirsiniz. Sanal ağ yerel uç noktası esneklik sağlasa da, özellikle birden çok sanal ağ veya kiracı içeren belirli senaryolar için yapılandırırken karmaşıklık ekler.

Bunun aksine, özel uç nokta, fiziksel ağ kablosunu Azure SQL Yönetilen Örneği çalıştıran bir bilgisayardan başka bir sanal ağa uzatmaya benzer. Bu bağlantı yolu sanal olarak Azure Özel Bağlantı teknolojisi aracılığıyla oluşturulur. Özel uç noktadan Azure SQL Yönetilen Örneğine yalnızca tek yönde bağlantılara izin verir ve yalnızca bağlantı noktası 1433'e (standart TDS trafik bağlantı noktası) trafik taşır. Bu şekilde, Azure SQL Yönetilen Örneği ağ eşlemesi ayarlamak veya örneğin genel uç noktasını açmak zorunda kalmadan farklı bir sanal ağ tarafından kullanılabilir hale gelir. Örneği başka bir alt ağa taşısanız bile, oluşturulan özel uç noktalar buna işaret etmeye devam eder.

Azure SQL Yönetilen Örneği tarafından desteklenen farklı uç nokta türleri hakkında daha ayrıntılı bilgi için bkz. İletişime genel bakış.

Özel uç noktalar ne zaman kullanılmalıdır?

Azure SQL Yönetilen Örneği özel uç noktaları, sanal ağ yerel uç noktasını veya genel uç noktayı kullanmaktan daha güvenlidir ve önemli bağlantı senaryolarının uygulanmasını basitleştirir. Bu senaryolar şunlardır:

  • Airlock. Azure SQL Yönetilen Örneği için özel uç noktalar, şirket içi ve bulut kaynakları arasında güvenlik ve yalıtım sağlayan atlama sunucuları ve ExpressRoute ağ geçidine sahip bir sanal ağa dağıtılır.
  • Hub ve bağlı bileşen topolojisi. Uç sanal ağlardaki özel uç noktalar, SQL istemcilerinden ve uygulamalarından merkez sanal ağındaki Azure SQL Yönetilen Örneklere gelen trafiği yürüterek net ağ yalıtımı ve sorumluluk ayrımı sağlar.
  • Yayımcı-tüketici. Publisher kiracısı (örneğin, bir ISV), sanal ağlarındaki birden çok SQL yönetilen örneğini yönetir. Yayımcı, örnekleri tüketicilerinin kullanımına açmak için diğer kiracıların sanal ağlarında özel uç noktalar oluşturur.
  • Azure PaaS ve SaaS hizmetlerinin tümleştirilmesi. Azure Data Factory gibi bazı PaaS ve SaaS hizmetleri, Azure SQL Yönetilen Örneği için özel uç noktalar oluşturabilir ve yönetebilir.

Özel uç noktaları kullanmanın sanal ağda yerel veya genel uç nokta kullanmaya kıyasla avantajları şunlardır:

  • IP adresi öngörülebilirliği: Azure SQL Yönetilen Örneği için özel uç noktaya alt ağdaki adres aralığından sabit bir IP adresi atanır. Sanal ağda yerel ve genel uç noktaların IP adresleri değişse bile bu IP adresi statik kalır.
  • Ayrıntılı ağ erişimi: Özel uç nokta yalnızca sanal ağı içinde görünür.
  • Güçlü ağ yalıtımı: Eşleme senaryosunda, özel uç noktalar tek yönlü olup ağlarının içindeki ağ kaynaklarını Azure SQL Yönetilen Örneği için kullanıma sunmazken eşlenen sanal ağlar iki yönlü bağlantı kurar.
  • Adres çakışmasını önleme: Birden çok sanal ağı eşlemek IP alanının dikkatli bir şekilde ayrılmasını gerektirir ve adres alanları çakıştığında sorun oluşturabilir.
  • IP adresi emlaklarını koruma: Özel uç nokta alt ağdaki adres alanından yalnızca bir IP adresi kullanır.

Sınırlamalar

  • Azure SQL Yönetilen Örneği, SQL istemcisi tarafından gönderilen bağlantı dizesi tam örnek konak adının gösterilmesini gerektirir. Özel uç noktanın IP adresinin kullanılması desteklenmez ve başarısız olur. Bu sorunu çözmek için DNS sunucunuzu yapılandırın veya Özel uç nokta için etki alanı adı çözümlemesini ayarlama bölümünde açıklandığı gibi özel bir DNS bölgesi kullanın.
  • DNS adlarının otomatik kaydı henüz desteklenmiyor. Bunun yerine özel uç nokta için etki alanı adı çözümlemesini ayarlama başlığındaki adımları izleyin.
  • SQL Yönetilen Örneği için özel uç noktalar yalnızca SQL trafiği için standart TDS bağlantı noktası olan bağlantı noktası 1433'e bağlanmak için kullanılabilir. Diğer bağlantı noktaları üzerinde iletişim gerektiren daha karmaşık bağlantı senaryoları, örneğin sanal ağ yerel uç noktası üzerinden oluşturulmalıdır.
  • Azure SQL Yönetilen Örneği için özel uç noktalar, Özel uç nokta için etki alanı adı çözümlemesini ayarlama bölümünde açıklandığı gibi gerekli DNS çözümlemesini yapılandırmak için özel bir kurulum gerektirir.
  • Özel uç noktalar her zaman ara sunucu bağlantı türüyle çalışır.

Sanal ağda özel uç nokta oluşturma

Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak özel uç nokta oluşturun:

Özel uç nokta oluşturduktan sonra, hedef sanal ağ içinde oluşturulmasını da onaylamanız gerekebilir; Bkz. Özel uç nokta oluşturma isteğini gözden geçirme ve onaylama.

Özel uç noktanın tamamen işlevsel SQL Yönetilen Örneği hale getirmek için yönergeleri izleyerek özel uç nokta için etki alanı adı çözümlemesini ayarlayın.

PaaS veya SaaS hizmetinde özel uç nokta oluşturma

Bazı Azure PaaS ve SaaS hizmetleri, kendi ortamlarından verilerinize erişmek için özel uç noktaları kullanabilir. Böyle bir hizmette özel uç nokta ayarlama yordamı (bazen "yönetilen özel uç nokta" veya "yönetilen sanal ağda özel uç nokta" olarak adlandırılır) hizmetler arasında farklılık gösterir. Yöneticinin özel uç nokta oluşturma isteğini gözden geçirme ve onaylama bölümünde açıklandığı gibi Azure SQL Yönetilen Örneği isteği gözden geçirmesi ve onaylaması gerekir.

Not

Azure SQL Yönetilen Örneği, örneğin adını etki alanı adının ilk kesimi olarak taşıması için SQL istemcisinden bağlantı dizesi gerektirir (örneğin: <instance-name>.<dns-zone>.database.windows.net). IP adresi üzerinden Azure SQL Yönetilen Örneği özel uç noktasına bağlanmaya çalışan PaaS ve SaaS hizmetleri bağlanamaz.

Kiracılar arası özel uç nokta oluşturma

Azure SQL Yönetilen Örneği için özel uç noktalar farklı Azure kiracılarında da oluşturulabilir. Bunu yapmak için, özel uç noktanın görünmesi gereken sanal ağın yöneticisinin önce özel uç nokta istemek üzere oldukları Azure SQL Yönetilen Örneği tam kaynak kimliğini alması gerekir. Bu bilgilerle, Özel Bağlantı Center'da yeni bir özel uç nokta oluşturulabilir. Daha önce olduğu gibi, Azure SQL Yönetilen Örneği yöneticisi özel uç nokta oluşturma isteğini gözden geçirip onaylayıp reddedebilecekleri bir istek alır.

Özel uç nokta oluşturma isteğini gözden geçirme ve onaylama

Özel uç nokta oluşturma isteği yapıldıktan sonra, SQL yöneticisi Azure SQL Yönetilen Örneği özel uç nokta bağlantısını yönetebilir. Yeni bir özel uç nokta bağlantısını yönetmenin ilk adımı, özel uç noktayı gözden geçirmek ve onaylamaktır. Özel uç noktayı oluşturan kullanıcı veya hizmetin Azure SQL Yönetilen Örneği kaynağında yeterli Azure RBAC izinleri varsa bu adım otomatik olarak gerçekleşir. Kullanıcının yeterli izinleri yoksa, özel uç noktanın gözden geçirmesi ve onayı el ile yapılmalıdır.

Özel uç noktayı onaylamak için şu adımları izleyin:

  1. Azure portalında Azure SQL Yönetilen Örneği gidin.

  2. Güvenlik'in altında Özel uç nokta bağlantıları'nı seçin.

    Screenshot of the Azure portal, private endpoint connections page showing two pending connections.

  3. Bekleme durumunda olan bağlantıları gözden geçirin ve onaylayacak veya reddedecek bir veya daha fazla özel uç nokta bağlantısı seçmek için kutuyu işaretleyin.

    Screenshot of the Azure portal, one private endpoint connection selected for approval.

  4. Onayla veya Reddet'i seçin ve ardından eyleminizi doğrulayan iletişim kutusunda Evet'i seçin.

    Screenshot of dialog prompting for a response message to accompany the approval of a connection.

  5. Bir bağlantıyı onayladıktan veya reddettikten sonra, Özel Uç Nokta Bağlan listesi hem geçerli özel uç nokta bağlantılarının durumunu hem de İstek/Yanıt iletisini yansıtır.

    Screenshot of the Azure portal, private endpoint connections page showing one pending and one approved connection.

Özel uç nokta için etki alanı adı çözümlemesini ayarlama

Azure SQL Yönetilen Örneği için özel bir uç nokta oluşturduktan sonra, etki alanı adı çözümlemesini yapılandırmanız gerekir, aksi takdirde oturum açma girişimleri başarısız olur. Aşağıdaki yöntem, Azure DNS çözümlemesi kullanan sanal ağlarda çalışır. Sanal ağınız özel bir DNS sunucusu kullanacak şekilde yapılandırılmışsa, adımları buna göre ayarlayın.

Sanal ağ yerel uç noktasının etki alanı adı olan bir örneğe özel uç nokta için etki alanı adı <instance-name>.<dns-zone>.database.windows.netçözümlemesi ayarlamak için, örneğin ve özel uç noktasının aynı sanal ağda mı yoksa farklı sanal ağlarda mı olduğuna bağlı olarak aşağıdaki iki yordamdan birini izleyin.

Önemli

Azure SQL Yönetilen Örneği sanal ağ yerel uç nokta etki alanı adının kendi sanal ağı içinde çözümlenme şeklini değiştirmeyin. Bunun yapılması, örneğin yönetim işlemlerini gerçekleştirme becerisini kesintiye uğratır.

Özel uç nokta ve Azure SQL Yönetilen Örneği farklı sanal ağlardaysa bu adımları izleyin.

Bu adımları tamamladıktan sonra uç noktanın sanal ağının içinden'e <instance-name>.<dns-zone>.database.windows.net bağlanan SQL istemcileri, özel uç nokta üzerinden saydam bir şekilde yönlendirilir.

  1. Özel Bağlantı Merkezi'ni ziyaret ederek veya aşağıdaki adımları uygulayarak özel uç noktanın IP adresini alın:

    1. Azure portalında Azure SQL Yönetilen Örneği gidin.

    2. Güvenlik'in altında Özel uç nokta bağlantıları'nı seçin.

    3. Tabloda özel uç nokta bağlantısını bulun ve seçtiğiniz bağlantı için Özel uç nokta adını seçin.

      Screenshot of the Azure portal, private endpoint connections pane the private endpoint name highlighted.

    4. *Genel Bakış sayfasında ağ arabirimini seçin.

      Screenshot of the Azure portal, private endpoint connection overview with a highlight on network interface.

    5. Genel Bakış sayfasında, Özel IP adresini tanımlamak ve kopyalamak için Temel Bileşenler'idenetleyin.

      Screenshot of the Azure portal, private endpoint connection's network interface with a highlight on its private IP address.

  2. privatelink.<dns-zone>.database.windows.netadlı özel bir Azure DNS bölgesi oluşturun.

  3. Özel DNS bölgesini uç nokta sanal ağına bağlayın.

  4. DNS bölgesinde, aşağıdaki değerlerle yeni bir kayıt kümesi oluşturun:

    • Ad: <instance-name>
    • Tür A
    • IP adresi: Önceki kümede alınan özel uç noktanın IP adresi.

Sonraki adımlar