你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为 Azure SQL 托管实例配置服务终结点策略(预览版)

  • 项目

适用于:Azure SQL 托管实例

使用虚拟网络 (VNet) Azure 存储服务终结点策略,可以筛选发往 Azure 存储的传出虚拟网络流量,并仅限特定的存储帐户传输数据。

配置终结点策略并将其与 SQL 托管实例关联的功能目前以预览版提供。

主要优点

为 Azure SQL 托管实例配置虚拟网络 Azure 存储服务终结点策略可带来以下优势:

  • 提高发往 Azure 存储的 Azure SQL 托管实例流量的安全性:终结点策略建立一种安全控制机制,可防止错误地或恶意地泄露关键业务数据。 可以仅限符合数据治理要求的存储帐户发送流量。

  • 精细控制可访问的存储帐户:服务终结点策略可以在订阅、资源组和单个存储帐户级别允许向存储帐户发送流量。 管理员可以使用服务终结点策略来强制要求遵守 Azure 中的组织数据安全体系结构。

  • 系统流量仍不受影响:服务终结点策略永远不会阻碍访问正常运行 Azure SQL 托管实例所需的存储。 这包括备份、数据文件、事务日志文件和其他资产的存储。

重要

服务终结点策略仅控制源自 SQL 托管实例子网并终止于 Azure 存储的流量。 这些策略不会影响将数据库导出到本地 BACPAC 文件、Azure 数据工厂集成、通过 Azure 诊断设置或其他不直接以 Azure 存储为目标的数据提取机制收集诊断信息等操作。

限制

为 Azure SQL 托管实例启用服务终结点策略存在以下限制:

  • 在预览版中,将服务终结点策略放在子网上会导致该子网中的实例无法从另一个子网中的实例执行时间点还原 (PITR)。 但服务终结点策略不会阻止其他子网中的实例从该子网还原备份。
  • 在预览期,此功能在支持 SQL 托管实例的所有 Azure 区域中可用,但中国东部 2、中国北部 2、美国中部 EUAP、美国东部 2 EUAP、 US Gov 亚利桑那州、 US Gov 德克萨斯州、 US Gov 弗吉尼亚州和美国中部除外。
  • 该功能仅适用于使用 Azure 资源管理器部署模型部署的虚拟网络。
  • 功能仅在为 Azure 存储启用了服务终结点的子网中可用。
  • 将服务终结点策略分配到某个服务终结点会将该终结点从区域范围升级到全球范围。 换句话说,无论存储帐户位于哪个区域,发往 Azure 存储的所有流量都将通过该服务终结点。
  • 允许存储帐户将自动允许访问其 RA-GRS 辅助存储帐户。

准备存储清单

开始在某个子网上配置服务终结点策略之前,请编写托管实例在该子网中应有权访问的存储帐户列表。

下面列出了可以联系 Azure 存储的工作流:

请记下参与这些或任何其他访问存储的工作流的任何存储帐户的帐户名称、资源组和订阅。

配置策略

需要先创建服务终结点策略,然后将该策略与 SQL 托管实例子网相关联。 根据业务需求修改此部分中的工作流。

备注

  • SQL 托管实例子网要求策略包含 /Services/Azure/ManagedInstance 服务别名(请参阅步骤 5)。
  • 部署到已包含服务终结点策略的子网的托管实例将自动升级为 /Services/Azure/ManagedInstance 服务别名。

创建服务终结点策略

若要创建服务终结点策略,请执行以下步骤:

  1. 登录 Azure 门户

  2. 选择“+ 创建资源”。

  3. 在搜索窗格中输入“服务终结点策略”,选择“服务终结点策略”,然后选择“创建” 。

    Create service endpoint policy

  4. 在“基本信息”页上填写以下值:

    • 订阅:从下拉列表中选择策略的订阅。
    • 资源组:选择托管实例所在的资源组,或选择“新建”并填写新资源组的名称。
    • 名称:为策略提供一个名称,例如 mySEP。
    • 位置:选择托管实例所在的虚拟网络的区域。

    Create service endpoint policy basics

  5. 在“策略定义”中,选择“添加别名”并在“添加别名”窗格中输入以下信息:

    • 服务别名:选择“/Services/Azure/ ManagedInstance”。
    • 选择“添加”以完成添加服务别名。

    Add an alias to a service endpoint policy

  6. 在“策略定义”中,选择“资源”下的“+ 添加”,然后在“添加资源”窗格中输入或选择以下信息:

    • 服务:选择“Microsoft.Storage”。
    • 范围:选择“订阅中的所有帐户”。
    • 订阅:选择包含要允许的存储帐户的订阅。 请参考前面创建的 Azure 存储帐户清单
    • 选择“添加”以完成添加资源。
    • 重复此步骤以添加任何其他订阅。

    Add a resource to a service endpoint policy

  7. 可选:可以在“标记”下配置服务终结点策略的标记。

  8. 选择“查看 + 创建”。 验证信息并选择“创建”。 若要进一步进行编辑,请选择“上一步”。

提示

首先,将策略配置为允许访问整个订阅。 验证配置,确保所有工作流可正常运行。 然后,选择性地将策略重新配置为允许单个存储帐户或允许资源组中的帐户。 为此,请在“范围:”字段中选择“单个帐户”或“资源组中的所有帐户”,并相应地填写其他字段 。

将策略与子网相关联

创建服务终结点策略后,将该策略与 SQL 托管实例子网相关联。

若要关联策略,请执行以下步骤:

  1. 在 Azure 门户的“所有服务”框中,搜索“虚拟网络” 。 选择“虚拟网络”。

  2. 找到并选择托管实例所在的虚拟网络。

  3. 选择“子网”并选择专用于你的托管实例的子网。 在“子网”窗格中输入以下信息:

    • 服务:选择“Microsoft.Storage”。 如果此字段为空,则需要为此子网上的 Azure 存储配置服务终结点。
    • 服务终结点策略:选择要应用于 SQL 托管实例子网的任何服务终结点策略。

    Associate a service endpoint policy with a subnet

  4. 选择“保存”以完成配置虚拟网络。

警告

如果此子网上的策略没有 /Services/Azure/ManagedInstance 别名,可能会出现以下错误: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions 若要解决此问题,请更新子网上的所有策略以包含 /Services/Azure/ManagedInstance 别名。

后续步骤