Zelfstudie: Verbinding maken met een Azure SQL-server met behulp van een azure-privé-eindpunt met behulp van Azure Portal
Een privé-eindpunt in Azure is de fundamentele bouwsteen voor een Private Link in Azure. Hiermee kunnen Azure-resources, zoals virtuele machines (VM's), privé en veilig communiceren met Private Link-resources zoals Azure SQL-server.
In deze zelfstudie leert u het volgende:
- Een virtueel netwerk en een Bastion-host maken
- Hiermee maakt u een virtuele machine.
- Maak een Azure SQL-server en een privé-eindpunt.
- Connectiviteit met het privé-eindpunt van SQL-server testen.
Als u geen Azure-abonnement hebt, maakt u een gratis account voordat u begint.
Vereisten
- Een Azure-abonnement
Aanmelden bij Azure
Meld u aan bij het Azure-portaal.
Een virtueel netwerk en een Azure Bastion-host maken
Met de volgende procedure maakt u een virtueel netwerk met een resourcesubnet, een Azure Bastion-subnet en een Bastion-host:
Zoek en selecteer virtuele netwerken in de portal.
Selecteer + Maken op de pagina Virtuele netwerken.
Voer op het tabblad Basisbeginselen van Virtueel netwerk maken de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Projectdetails Abonnement Selecteer uw abonnement. Resourcegroep Selecteer Nieuw maken.
Voer test-rg in voor de naam.
Selecteer OK.Exemplaardetails Naam Voer vnet-1 in. Regio Selecteer VS - oost 2. 
Selecteer Volgende om door te gaan naar het tabblad Beveiliging.
Selecteer Azure Bastion in de sectie Azure Bastion inschakelen.
Bastion gebruikt uw browser om verbinding te maken met VM's in uw virtuele netwerk via Secure Shell (SSH) of RdP (Remote Desktop Protocol) met behulp van hun privé-IP-adressen. De VM's hebben geen openbare IP-adressen, clientsoftware of speciale configuratie nodig. Zie Wat is Azure Bastion? voor meer informatie.
Notitie
De prijzen per uur beginnen vanaf het moment dat Bastion wordt geïmplementeerd, ongeacht het uitgaande gegevensgebruik. Zie Prijzen en SKU's voor meer informatie. Als u Bastion implementeert als onderdeel van een zelfstudie of test, raden we u aan deze resource te verwijderen nadat u deze hebt gebruikt.
Voer in Azure Bastion de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Azure Bastion-hostnaam Voer bastion in. Openbaar IP-adres van Azure Bastion Selecteer Een openbaar IP-adres maken.
Voer public-ip-bastion in naam in.
Selecteer OK.
Selecteer Volgende om door te gaan naar het tabblad IP-adressen.
Selecteer in het adresruimtevak in Subnetten het standaardsubnet .
Voer in het subnet Bewerken de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Subnetdoel Laat de standaardwaarde standaard staan. Naam Voer subnet-1 in. IPv4 IPv4-adresbereik Laat de standaardwaarde 10.0.0.0/16 staan. Beginadres Laat de standaardwaarde 10.0.0.0 staan. Tekengrootte Laat de standaardwaarde /24 (256 adressen) staan. 
Selecteer Opslaan.
Selecteer Beoordelen en maken onderaan het venster. Wanneer de validatie is geslaagd, selecteert u Maken.
Virtuele testmachine maken
Met de volgende procedure maakt u een virtuele testmachine (VM) met de naam vm-1 in het virtuele netwerk.
Zoek en selecteer virtuele machines in de portal.
Selecteer + Maken in virtuele machines en vervolgens de virtuele Azure-machine.
Voer op het tabblad Basisbeginselen van Een virtuele machine maken de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Projectdetails Abonnement Selecteer uw abonnement. Resourcegroep Selecteer test-rg. Exemplaardetails Virtual machine name Voer vm-1 in. Regio Selecteer VS - oost 2. Beschikbaarheidsopties Selecteer Geen infrastructuurredundantie vereist. Beveiligingstype Laat de standaardwaarde van Standard staan. Afbeelding Selecteer Ubuntu Server 22.04 LTS - x64 Gen2. VM-architectuur Laat de standaardwaarde x64 staan. Tekengrootte Selecteer een grootte. Beheerdersaccount Authentication type Selecteer Wachtwoord. Username Voer azureuser in. Wachtwoord Voer een wachtwoord in. Wachtwoord bevestigen Voer het wachtwoord opnieuw in. Regels voor binnenkomende poort Openbare poorten voor inkomend verkeer Selecteer Geen. Selecteer het tabblad Netwerken boven aan de pagina.
Voer de volgende gegevens in of selecteer deze op het tabblad Netwerken :
Instelling Weergegeven als Netwerkinterface Virtueel netwerk Selecteer vnet-1. Subnet Selecteer subnet-1 (10.0.0.0/24). Openbare IP Selecteer Geen. NIC-netwerkbeveiligingsgroep Selecteer Geavanceerd. Netwerkbeveiligingsgroep configureren Selecteer Nieuw maken.
Voer nsg-1 in als naam.
Laat de rest op de standaardwaarden staan en selecteer OK.Laat de rest van de instellingen op de standaardwaarden staan en selecteer Beoordelen en maken.
Controleer de instellingen en selecteer Maken.
Notitie
Virtuele machines in een virtueel netwerk met een bastionhost hebben geen openbare IP-adressen nodig. Bastion biedt het openbare IP-adres en de VM's gebruiken privé-IP's om binnen het netwerk te communiceren. U kunt de openbare IP-adressen verwijderen van virtuele machines in gehoste virtuele bastionnetwerken. Zie Een openbaar IP-adres loskoppelen van een Virtuele Azure-machine voor meer informatie.
Notitie
Azure biedt een standaard ip-adres voor uitgaande toegang voor VM's waaraan geen openbaar IP-adres is toegewezen of zich in de back-endpool van een interne Azure-load balancer bevinden. Het standaard ip-mechanisme voor uitgaande toegang biedt een uitgaand IP-adres dat niet kan worden geconfigureerd.
Het standaard IP-adres voor uitgaande toegang is uitgeschakeld wanneer een van de volgende gebeurtenissen plaatsvindt:
- Er wordt een openbaar IP-adres toegewezen aan de VIRTUELE machine.
- De VIRTUELE machine wordt in de back-endpool van een standaard load balancer geplaatst, met of zonder uitgaande regels.
- Er wordt een Azure NAT Gateway-resource toegewezen aan het subnet van de VIRTUELE machine.
Virtuele machines die u maakt met behulp van virtuele-machineschaalsets in de flexibele indelingsmodus, hebben geen standaardtoegang voor uitgaand verkeer.
Zie Voor meer informatie over uitgaande verbindingen in Azure standaard uitgaande toegang in Azure en SNAT (Source Network Address Translation) gebruiken voor uitgaande verbindingen.
Een Azure SQL-server en een privé-eindpunt maken
In deze sectie maakt u een SQL-server in Azure.
Voer SQL in het zoekvak boven aan de portal in. Selecteer SQL-databases in de zoekresultaten.
Selecteer + Maken in SQL-databases.
Voer op het tabblad Basisbeginselen van SQL Database maken de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Projectdetails Abonnement Selecteer uw abonnement. Resourcegroep Selecteer test-rg. Databasedetails Databasenaam Voer sql-db in. Server Selecteer Nieuw maken.
Voer sql-server-1 in servernaam in (servernamen moeten uniek zijn, vervang sql-server-1 door een unieke waarde).
Selecteer (VS) VS - oost 2 in Locatie.
Selecteer SQL-verificatie gebruiken.
Voer een aanmeldings- en wachtwoord voor de serverbeheerder in.
Selecteer OK.Wilt u een elastische SQL-pool gebruiken? Selecteer Nee. Workloadomgeving Laat de standaardwaarde productie staan. Opslagredundantie voor back-ups Opslagredundantie voor back-ups Selecteer lokaal redundante back-upopslag. Selecteer Volgende: Netwerken.
Voer op het tabblad Netwerken van SQL Database maken de volgende gegevens in of selecteer deze:
Instelling Weergegeven als Netwerkverbinding Verbindingsmethode Selecteer Privé-eindpunt. Privé-eindpunten Selecteer +Privé-eindpunt toevoegen. Privé-eindpunt maken Abonnement Selecteer uw abonnement. Resourcegroep Selecteer test-rg. Locatie Selecteer VS - oost 2. Naam Voer privé-eindpunt-sql in. Subresource van doel Selecteer SqlServer. Netwerken Virtueel netwerk Selecteer vnet-1. Subnet Selecteer subnet-1. Privé-DNS-integratie Integreren met privé-DNS-zone Selecteer Ja. Privé-DNS-zone Laat de standaardwaarde van privatelink.database.windows.net staan. Selecteer OK.
Selecteer Controleren + maken.
Selecteer Maken.
Belangrijk
Wanneer u een privé-eindpuntverbinding toevoegt, wordt openbare routering naar uw Azure SQL-server niet standaard geblokkeerd. De instelling Openbare netwerktoegang weigeren op de blade Firewall en virtuele netwerken is standaard uitgeschakeld. Als u openbare netwerktoegang wilt uitschakelen, controleert u of dit is ingeschakeld.
Openbare toegang tot logische Azure SQL-server uitschakelen
Voor dit scenario wordt ervan uitgegaan dat u alle openbare toegang tot uw Azure SQL-server wilt uitschakelen en alleen verbindingen vanuit uw virtuele netwerk wilt toestaan.
Voer in het zoekvak boven aan de portal SQL-server in. Selecteer SQL-servers in de zoekresultaten.
Selecteer sql-server-1.
Selecteer op de pagina Netwerken het tabblad Openbare toegang en selecteer vervolgens Uitschakelen voor openbare netwerktoegang.
Selecteer Opslaan.
Privé-eindpuntconnectiviteit testen
In deze sectie gebruikt u de virtuele machine die u in de vorige stappen hebt gemaakt om verbinding te maken met de SQL-server in het privé-eindpunt.
Voer in het zoekvak boven aan de portal virtuele machine in. Selecteer Virtuele machines in de zoekresultaten.
Selecteer vm-1.
Selecteer Bastion in Operations.
Voer de gebruikersnaam en het wachtwoord voor de virtuele machine in.
Selecteer Verbinding maken.
Als u de naamomzetting van het privé-eindpunt wilt controleren, voert u de volgende opdracht in het terminalvenster in:
nslookup server-name.database.windows.netU ontvangt een bericht dat lijkt op het volgende voorbeeld. Het geretourneerde IP-adres is het privé-IP-adres van het privé-eindpunt.
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4Installeer de SQL Server-opdrachtregelprogramma's vanuit Sql Server-opdrachtregelprogramma's sqlcmd en bcp op Linux installeren. Ga door met de volgende stappen nadat de installatie is voltooid.
Gebruik de volgende opdrachten om verbinding te maken met de SQL-server die u in de vorige stappen hebt gemaakt.
Vervang <de serverbeheerder> door de gebruikersnaam van de beheerder die u hebt ingevoerd tijdens het maken van de SQL-server.
Vervang <het beheerderswachtwoord door het beheerderswachtwoord> dat u hebt ingevoerd tijdens het maken van de SQL-server.
Vervang sql-server-1 door de naam van uw SQL-server.
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'Er wordt een SQL-opdrachtprompt weergegeven bij geslaagde aanmelding. Voer exit in om het hulpprogramma sqlcmd af te sluiten.
Wanneer u klaar bent met het gebruik van de resources die u hebt gemaakt, kunt u de resourcegroep en alle bijbehorende resources verwijderen.
Zoek en selecteer Resourcegroepen in de Azure-portal.
Selecteer op de pagina Resourcegroepen de resourcegroep test-rg .
Selecteer op de pagina test-rg de optie Resourcegroep verwijderen.
Voer test-rg in Voer de naam van de resourcegroep in om het verwijderen te bevestigen en selecteer vervolgens Verwijderen.
Volgende stappen
In deze zelfstudie hebt u geleerd hoe u het volgende kunt maken:
Een virtueel netwerk en Bastion-host.
Een virtuele machine.
Een Azure SQL-server met een privé-eindpunt.
U hebt de virtuele machine gebruikt om de connectiviteit privé en veilig te testen op de SQL-server in het privé-eindpunt.
Als volgende stap bent u mogelijk ook geïnteresseerd in de web-app met een privéverbinding met het architectuurscenario van Azure SQL Database , dat een webtoepassing buiten het virtuele netwerk verbindt met het privé-eindpunt van een database.