Delen via

Azure Private Link voor Azure SQL Database en Azure Synapse Analytics

van toepassing op:Azure SQL DatabaseAzure Synapse Analytics (alleen toegewezen SQL-pools)

Met Azure Private Link kunt u via een privé-eindpunt verbinding maken met verschillende PaaS-services in Azure. Ga naar de pagina Private Link-documentatie voor een lijst met PaaS-services die ondersteuning bieden voor Private Link-functionaliteit. Een privé-eindpunt is een privé-IP-adres binnen een specifiek VNet en subnet.

Belangrijk

Dit artikel is van toepassing op zowel Azure SQL Database als toegewezen SQL-pool (voorheen SQL DW) in Azure Synapse Analytics. Deze instellingen zijn van toepassing op alle SQL Database- en toegewezen SQL-pooldatabases (voorheen SQL DW) die zijn gekoppeld aan de server. Ter vereenvoudiging verwijst de term 'database' naar zowel databases in Azure SQL Database als Azure Synapse Analytics. Eventuele verwijzingen naar 'server' verwijzen ook naar de logische server die als host fungeert voor Azure SQL Database en een toegewezen SQL-pool (voorheen SQL DW) in Azure Synapse Analytics. Dit artikel niet van toepassing op Azure SQL Managed Instance of toegewezen SQL-pools in Azure Synapse Analytics-werkruimten.

Proces voor maken

Privé-eindpunten kunnen worden gemaakt met behulp van Azure Portal, PowerShell of de Azure CLI:

Goedkeuringsproces

Zodra de netwerkbeheerder het privé-eindpunt (PE) heeft gemaakt, kan de SQL-beheerder de PRIVÉ-eindpuntverbinding (PEC) met SQL Database beheren.

  1. Navigeer naar de serverresource in Azure Portal.

  2. Navigeer naar de goedkeuringspagina van het privé-eindpunt:

    • Selecteer Netwerken in de SQL Server-resource onder Beveiliging. Selecteer het tabblad Persoonlijke toegang.
    • Selecteer in de Synapse-werkruimte, onder Beveiliging in het resourcemenu, privé-eindpuntverbindingen.

  3. Op de pagina ziet u het volgende:

    • Een lijst met alle privé-eindpuntverbindingen (PEC's)
    • Privé-eindpunten (PE) gemaakt

    Schermopname die laat zien hoe u de lijst met privé-eindpuntverbindingen voor de serverresource kunt vinden.

  4. Als er geen privé-eindpunten zijn, maakt u er een met behulp van de knop Een privé-eindpunt maken . Kies anders een afzonderlijke PEC in de lijst door deze te selecteren.

    Schermopname van het selecteren van een privé-eindpuntverbinding in Azure Portal.

  5. De SQL-beheerder kan ervoor kiezen om een PEC goed te keuren of af te wijzen en eventueel een korte tekstreactie toe te voegen.

    Schermopname van het goedkeuren van een PEC in Azure Portal.

  6. Na goedkeuring of afwijzing geeft de lijst de juiste status weer, samen met de antwoordtekst.

    Schermopname van pec in de status Goedgekeurd na goedkeuring door de beheerder.

  7. Selecteer ten slotte de naam van het privé-eindpunt

    Schermopname van PEC-details met de eindpuntnaam.

    Hiermee gaat u naar de overzichtspagina van het privé-eindpunt . Selecteer de koppeling Netwerkinterfaces om de details van de netwerkinterface voor de privé-eindpuntverbinding op te halen.

    Schermopname van de NIC-gegevens voor de privé-eindpuntverbinding.

    Op de pagina Netwerkinterface ziet u het privé-IP-adres voor de privé-eindpuntverbinding.

    Schermopname van het privé-IP-adres voor de privé-eindpuntverbinding.

Belangrijk

Wanneer u een privé-eindpuntverbinding toevoegt, wordt openbare routering naar uw logische server niet standaard geblokkeerd. In het deelvenster Firewall en virtuele netwerken is de instelling Openbare netwerktoegang weigeren niet standaard geselecteerd. Als u openbare netwerktoegang wilt uitschakelen, moet u openbare netwerktoegang weigeren selecteren.

Openbare toegang tot uw logische server uitschakelen

In de logische SQL-server van Azure SQL Database wordt ervan uitgegaan dat u alle openbare toegang tot uw logische server wilt uitschakelen en alleen verbindingen vanuit uw virtuele netwerk wilt toestaan.

Zorg er eerst voor dat uw privé-eindpuntverbindingen zijn ingeschakeld en geconfigureerd. Als u vervolgens openbare toegang tot uw logische server wilt uitschakelen:

  1. Ga naar de pagina Netwerken van uw logische server.

  2. Schakel het selectievakje Openbare netwerktoegang weigeren in.

    Schermopname van het uitschakelen van openbare netwerktoegang voor de privé-eindpuntverbinding.

Connectiviteit met SQL Database testen vanaf een Virtuele Azure-machine in hetzelfde virtuele netwerk

Voor dit scenario wordt ervan uitgegaan dat u een virtuele Azure-machine (VM) hebt gemaakt waarop een recente versie van Windows wordt uitgevoerd in hetzelfde virtuele netwerk als het privé-eindpunt.

  1. Start een RDP-sessie (Extern bureaublad) en maak verbinding met de virtuele machine.

  2. Vervolgens kunt u enkele eenvoudige connectiviteitscontroles uitvoeren om ervoor te zorgen dat de VM verbinding maakt met SQL Database via het privé-eindpunt met behulp van de volgende hulpprogramma's:

Connectiviteit controleren met Telnet

Telnet Client is een Windows-functie die kan worden gebruikt om de connectiviteit te testen. Afhankelijk van de versie van het Windows-besturingssysteem moet u deze functie mogelijk expliciet inschakelen.

Open een opdrachtpromptvenster nadat u Telnet hebt geïnstalleerd. Voer de Telnet-opdracht uit en geef het IP-adres en het privé-eindpunt van de database op in SQL Database.

telnet 10.9.0.4 1433

Wanneer Telnet verbinding maakt, wordt er een leeg scherm weergegeven in het opdrachtvenster, zoals wordt weergegeven in de volgende afbeelding:

Diagram van het Telnet-venster met een leeg scherm.

Gebruik de PowerShell-opdracht om de connectiviteit te controleren:

Test-NetConnection -computer myserver.database.windows.net -port 1433

Connectiviteit controleren met PsPing

PsPing kan als volgt worden gebruikt om te controleren of het privé-eindpunt luistert naar verbindingen op poort 1433.

Voer PsPing als volgt uit door de FQDN op te geven voor logische SQL-server en poort 1433:

PsPing.exe mysqldbsrvr.database.windows.net:1433

Dit is een voorbeeld van de verwachte uitvoer:

TCP connect to 10.9.0.4:1433:
5 iterations (warmup 1) ping test:
Connecting to 10.9.0.4:1433 (warmup): from 10.6.0.4:49953: 2.83ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49954: 1.26ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49955: 1.98ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49956: 1.43ms
Connecting to 10.9.0.4:1433: from 10.6.0.4:49958: 2.28ms

De uitvoer laat zien dat PsPing het privé-IP-adres kan pingen dat is gekoppeld aan het privé-eindpunt.

Connectiviteit controleren met Nmap

Nmap (Network Mapper) is een gratis en opensource-hulpprogramma dat wordt gebruikt voor netwerkdetectie en beveiligingscontrole. Ga voor meer informatie en de downloadkoppeling naar https://Nmap.org. U kunt dit hulpprogramma gebruiken om ervoor te zorgen dat het privé-eindpunt luistert naar verbindingen op poort 1433.

Voer Nmap als volgt uit door het adresbereik op te geven van het subnet dat als host fungeert voor het privé-eindpunt.

Nmap -n -sP 10.9.0.0/24

Dit is een voorbeeld van de verwachte uitvoer:

Nmap scan report for 10.9.0.4
Host is up (0.00s latency).
Nmap done: 256 IP addresses (1 host up) scanned in 207.00 seconds

Het resultaat toont aan dat één IP-adres is ingesteld; dat overeenkomt met het IP-adres voor het privé-eindpunt.

Connectiviteit controleren met behulp van SQL Server Management Studio (SSMS)

Opmerking

Gebruik de FQDN (Fully Qualified Domain Name) van de server in verbindingsreeksen voor uw clients (<server>.database.windows.net). Aanmeldingspogingen die rechtstreeks naar het IP-adres worden gedaan of met het gebruik van de FQDN van de private link (<server>.privatelink.database.windows.net) zullen mislukken. Dit gedrag is standaard, omdat privé-eindpunt verkeer naar de SQL Gateway in de regio routeert en de juiste FQDN moet worden opgegeven om aanmeldingen te laten slagen.

Volg de stappen hier om SSMS te gebruiken om verbinding te maken met de SQL Database. Nadat u verbinding hebt gemaakt met de SQL Database met behulp van SSMS, geeft de volgende query client_net_address weer die overeenkomt met het privé-IP-adres van de Azure-VM waarmee u verbinding maakt:

SELECT client_net_address
FROM sys.dm_exec_connections
WHERE session_id = @@SPID;

Gebruik het beleid voor omleiden van verbindingen met privé-eindpunten

We raden klanten aan om de privékoppeling te gebruiken met het omleidingsverbindingsbeleid voor verminderde latentie en verbeterde doorvoer. Clients moeten voldoen aan de volgende vereisten voor verbindingen om deze modus te kunnen gebruiken:

  • Sta binnenkomende communicatie met het VNET dat als host fungeert voor het privé-eindpunt toe aan poortbereik 1433 tot 65535.

  • Sta uitgaande communicatie van het VNET dat als host fungeert voor de client toe naar poortbereik 1433 tot 65535.

  • Gebruik de nieuwste versie van stuurprogramma's waarvoor omleidingsondersteuning is ingebouwd. Ondersteuning voor omleidingen is opgenomen in de stuurprogramma's ODBC, OLE DB, .NET SqlClient Data Provider, Core .NET SqlClient Data Provider en JDBC (versie 9.4 of hoger). Verbindingen die afkomstig zijn van alle andere stuurprogramma's, worden geproxied.

Nadat aan de vereisten is voldaan, moeten klanten expliciet het omleidingsbeleid voor verbindingen kiezen. Als het verbindingsbeleid is ingesteld op Omleiden voordat het privé-eindpunt is ingesteld, moet u mogelijk het verbindingsbeleid in- of uitschakelen nadat u het privé-eindpunt hebt ingesteld.

Als het niet haalbaar is om de firewallinstellingen te wijzigen om uitgaande toegang toe te staan op het poortbereik 1433-65535, is een alternatieve oplossing om het verbindingsbeleid te wijzigen in Proxy.

Bestaande privé-eindpunten die gebruikmaken van het standaardverbindingsbeleid , maken gebruik van het proxyverbindingsbeleid met poort 1433. De reden hiervoor is om te voorkomen dat clientverkeer wordt onderbroken door het bereiken van SQL Database omdat vereiste poortbereiken voor omleiding niet geopend zijn.

Opmerking

Voor toegewezen SQL-pools is het verbindingsbeleid bij het gebruik van privé-eindpunten altijd Proxy. Het wijzigen van de instelling heeft geen invloed op toegewezen SQL-pools wanneer u privé-eindpunten gebruikt.

On-premises connectiviteit via privé-peering

Wanneer klanten verbinding maken met het openbare eindpunt vanaf on-premises machines, moet hun IP-adres worden toegevoegd aan de firewall op IP-niveau met behulp van een firewallregel op serverniveau. Hoewel dit model goed werkt voor het toestaan van toegang tot afzonderlijke computers voor ontwikkel- of testwerkbelastingen, is het moeilijk te beheren in een productieomgeving.

Met Private Link kunnen klanten via ExpressRoute, private peering of VPN-tunneling cross-premises toegang tot het privé-eindpunt inschakelen. Klanten kunnen vervolgens alle toegang via het openbare eindpunt uitschakelen en geen gebruikmaken van de IP-gebaseerde firewall om IP-adressen toe te staan.

Clients kunnen verbinding maken met het privé-eindpunt vanuit hetzelfde virtuele netwerk, gekoppeld virtueel netwerk in dezelfde regio, of via een virtuele netwerk-naar-netwerkverbinding tussen regio's. Daarnaast kunnen clients via on-premises verbinding maken met behulp van ExpressRoute, privé peering of VPN-tunneling. In het volgende vereenvoudigde diagram ziet u de algemene gebruiksvoorbeelden.

Diagram van connectiviteitsoptie.

Daarnaast kunnen services die niet rechtstreeks in het virtuele netwerk worden uitgevoerd, maar ermee zijn geïntegreerd (zoals App Service-web-apps of -functies), ook een privéverbinding met de database tot stand brengen. Zie de web-app met privéconnectiviteit met azure SQL-databasearchitectuurscenario voor meer informatie over deze specifieke use case.

Maak verbinding vanaf een Azure VM in een gekoppeld virtueel netwerk.

Configureer peering van virtuele netwerken om verbinding te maken met de SQL Database vanaf een Virtuele Azure-machine in een gekoppeld virtueel netwerk.

Verbinding maken vanaf een Virtuele Azure-machine in een virtueel netwerk met een virtuele netwerkomgeving

Configureer een virtueel netwerk-naar-virtueel netwerk VPN-gatewayverbinding om connectiviteit te realiseren met een database in SQL Database vanaf een Azure-VM in een andere regio of een ander abonnement.

Verbinding maken vanuit een on-premises omgeving via VPN

Als u verbinding wilt maken vanuit een on-premises omgeving met de database in SQL Database, kiest en implementeert u een van de volgende opties:

Overweeg ook DNS-configuratiescenario's, aangezien de FQDN van de service kan verwijzen naar het openbare IP-adres.

Verbinding maken vanuit Azure Synapse Analytics met Azure Storage met behulp van PolyBase en de COPY-instructie

PolyBase en de COPY-instructie worden vaak gebruikt voor het laden van gegevens in Azure Synapse Analytics vanuit Azure Storage-accounts. Als het Azure Storage-account waarmee u gegevens laadt, alleen de toegang beperkt tot een set subnetten van een virtueel netwerk via privé-eindpunten, service-eindpunten of op IP gebaseerde firewalls, wordt de connectiviteit van PolyBase en de COPY-instructie voor het account verbroken. Voor het inschakelen van zowel import- als exportscenario's met Azure Synapse Analytics die verbinding maken met Azure Storage die is beveiligd met een virtueel netwerk, volgt u de stappen die hier worden beschreven.

Preventie van gegevensexfiltratie

Gegevensexfiltratie in Azure SQL Database is wanneer een gebruiker, zoals een databasebeheerder, gegevens uit het ene systeem kan extraheren en naar een andere locatie of een ander systeem buiten de organisatie kan verplaatsen. De gebruiker verplaatst de gegevens bijvoorbeeld naar een opslagaccount dat eigendom is van een niet-Microsoft-entiteit.

Overweeg een scenario met een gebruiker met SQL Server Management Studio (SSMS) in een virtuele Azure-machine die verbinding maakt met een database in SQL Database. Deze database bevindt zich in het datacenter van de westelijke VS. In het volgende voorbeeld ziet u hoe u de toegang tot SQL Database beperkt met publieke eindpunten met behulp van netwerktoegangscontroles.

  1. Schakel al het verkeer van Azure-services naar SQL Database uit via het openbare eindpunt door Toestaan van Azure-services in te stellen op UIT. Zorg ervoor dat er geen IP-adressen zijn toegestaan in de firewallregels op server- en databaseniveau. Zie Azure SQL Database en Azure Synapse Analytics-netwerktoegangsbeheer voor meer informatie.
  2. Sta alleen verkeer naar de database in SQL Database toe met behulp van het privé-IP-adres van de virtuele machine. Zie de artikelen over firewallregels voor service-eindpunten en virtuele netwerken voor meer informatie.
  3. Beperk op de Virtuele Azure-machine het bereik van de uitgaande verbinding met behulp van netwerkbeveiligingsgroepen (NSG's) en servicetags als volgt.
    • Geef een NSG-regel op om verkeer toe te staan voor Service Tag = SQL.WestUs - alleen verbinding met SQL Database in West US toestaan.
    • Geef een NSG-regel (met een hogere prioriteit) op om verkeer voor servicetag = SQL te weigeren: verbindingen met SQL Database in alle regio's weigeren.

Aan het einde van deze installatie kan de Azure-VM alleen verbinding maken met een database in SQL Database in de regio VS - west. De connectiviteit is echter niet beperkt tot één database in SQL Database. De VIRTUELE machine kan nog steeds verbinding maken met een database in de regio VS - west, inclusief de databases die geen deel uitmaken van het abonnement. Hoewel we het bereik van gegevensexfiltratie in het bovenstaande scenario hebben verkleind tot een specifieke regio, hebben we deze helemaal niet geëlimineerd.

Met Private Link kunnen klanten nu netwerktoegangsbeheer instellen, zoals NSG's om de toegang tot het privé-eindpunt te beperken. Afzonderlijke Azure PaaS-resources worden vervolgens toegewezen aan specifieke privé-eindpunten. Een kwaadwillende insider heeft alleen toegang tot de toegewezen PaaS-resource (bijvoorbeeld een database in SQL Database) en geen andere resource.

Verwante inhoud