Samouczek: inspekcja ruchu prywatnego punktu końcowego za pomocą usługi Azure Firewall
Prywatny punkt końcowy platformy Azure to podstawowy blok konstrukcyjny usługi Azure Private Link. Prywatne punkty końcowe umożliwiają zasobom platformy Azure wdrożonym w sieci wirtualnej komunikację prywatną z zasobami łącza prywatnego.
Prywatne punkty końcowe umożliwiają zasobom dostęp do usługi łącza prywatnego wdrożonej w sieci wirtualnej. Dostęp do prywatnego punktu końcowego za pośrednictwem komunikacji równorzędnej sieci wirtualnych i połączeń sieci lokalnych rozszerza łączność.
Może być konieczne sprawdzenie lub zablokowanie ruchu od klientów do usług udostępnianych za pośrednictwem prywatnych punktów końcowych. Wykonaj tę inspekcję przy użyciu usługi Azure Firewall lub wirtualnego urządzenia sieciowego innej firmy.
Aby uzyskać więcej informacji i scenariuszy obejmujących prywatne punkty końcowe i usługę Azure Firewall, zobacz Scenariusze usługi Azure Firewall dotyczące inspekcji ruchu kierowanego do prywatnego punktu końcowego.
Z tego samouczka dowiesz się, jak wykonywać następujące czynności:
- Utwórz sieć wirtualną i hosta bastionu dla testowej maszyny wirtualnej.
- Utwórz sieć wirtualną prywatnego punktu końcowego.
- Utwórz testową maszynę wirtualną.
- Wdrażanie usługi Azure Firewall.
- Utworzenie bazy danych Azure SQL Database.
- Utwórz prywatny punkt końcowy dla usługi Azure SQL.
- Utwórz sieć równorzędną między siecią wirtualną prywatnego punktu końcowego a testową siecią wirtualną maszyny wirtualnej.
- Połącz sieci wirtualne z prywatną strefą DNS.
- Konfigurowanie reguł aplikacji w usłudze Azure Firewall dla usługi Azure SQL.
- Kierowanie ruchu między testową maszyną wirtualną a usługą Azure SQL za pośrednictwem usługi Azure Firewall.
- Przetestuj połączenie z usługą Azure SQL i zweryfikuj je w dziennikach usługi Azure Firewall.
Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
Wymagania wstępne
Konto platformy Azure z aktywną subskrypcją.
Obszar roboczy usługi Log Analytics. Aby uzyskać więcej informacji na temat tworzenia obszaru roboczego usługi Log Analytics, zobacz Tworzenie obszaru roboczego usługi Log Analytics w witrynie Azure Portal.
Zaloguj się do witryny Azure Portal.
Zaloguj się w witrynie Azure Portal.
Tworzenie sieci wirtualnej i hosta usługi Azure Bastion
Poniższa procedura tworzy sieć wirtualną z podsiecią zasobów, podsiecią usługi Azure Bastion i hostem usługi Bastion:
W portalu wyszukaj i wybierz pozycję Sieci wirtualne.
Na stronie Sieci wirtualne wybierz pozycję + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycjęUtwórz nowy.
Wprowadź wartość test-rg jako nazwę.
Wybierz przycisk OK.Szczegóły wystąpienia Nazwisko Wprowadź wartość vnet-1. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). 
Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
W sekcji Azure Bastion wybierz pozycję Włącz usługę Azure Bastion.
Usługa Bastion używa przeglądarki do łączenia się z maszynami wirtualnymi w sieci wirtualnej za pośrednictwem protokołu Secure Shell (SSH) lub protokołu RDP (Remote Desktop Protocol) przy użyciu prywatnych adresów IP. Maszyny wirtualne nie potrzebują publicznych adresów IP, oprogramowania klienckiego ani specjalnej konfiguracji. Aby uzyskać więcej informacji, zobacz Co to jest usługa Azure Bastion?.
Uwaga
Ceny godzinowe zaczynają się od momentu wdrożenia usługi Bastion, niezależnie od użycia danych wychodzących. Aby uzyskać więcej informacji, zobacz Cennik i jednostki SKU. Jeśli wdrażasz usługę Bastion w ramach samouczka lub testu, zalecamy usunięcie tego zasobu po zakończeniu korzystania z niego.
W usłudze Azure Bastion wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Nazwa hosta usługi Azure Bastion Wprowadź bastion. Publiczny adres IP usługi Azure Bastion Wybierz pozycję Utwórz publiczny adres IP.
Wprowadź wartość public-ip-bastion w polu Nazwa.
Wybierz przycisk OK.
Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
W polu Przestrzeń adresowa w obszarze Podsieci wybierz domyślną podsieć.
W obszarze Edytuj podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Cel podsieci Pozostaw wartość domyślną domyślnej. Nazwisko Wprowadź podsieć-1. Protokół IPv4 Zakres adresów IPv4 Pozostaw wartość domyślną 10.0.0.0/16. Adres początkowy Pozostaw wartość domyślną 10.0.0.0. Rozmiar Pozostaw wartość domyślną /24 (256 adresów). 
Wybierz pozycję Zapisz.
Wybierz pozycję Przejrzyj i utwórz w dolnej części okna. Po zakończeniu walidacji wybierz pozycję Utwórz.
Tworzenie sieci wirtualnej dla prywatnego punktu końcowego
Poniższa procedura tworzy sieć wirtualną z podsiecią.
W portalu wyszukaj i wybierz pozycję Sieci wirtualne.
Na stronie Sieci wirtualne wybierz pozycję + Utwórz.
Na karcie Podstawy tworzenia sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg Szczegóły wystąpienia Nazwisko Wprowadź ciąg vnet-private-endpoint. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Wybierz przycisk Dalej , aby przejść do karty Zabezpieczenia .
Wybierz przycisk Dalej , aby przejść do karty Adresy IP.
Wybierz pozycję Usuń przestrzeń adresową z ikoną kosza, aby usunąć domyślną przestrzeń adresową.
Wybierz pozycję Dodaj przestrzeń adresową IPv4.
Wprowadź wartość 10.1.0.0 i pozostaw pole ściągania domyślnie /16 (65 536 adresów).
Wybierz pozycję + Dodaj podsieć.
W obszarze Dodawanie podsieci wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły podsieci Szablon podsieci Pozostaw wartość domyślną Domyślna. Nazwisko Wprowadź wartość subnet-private. Adres początkowy Pozostaw wartość domyślną 10.1.0.0. Rozmiar podsieci Pozostaw wartość domyślną /24(256 adresów). Wybierz Dodaj.
Wybierz pozycję Przejrzyj i utwórz w dolnej części ekranu, a po zakończeniu walidacji wybierz pozycję Utwórz.
Tworzenie testowej maszyny wirtualnej
Poniższa procedura tworzy testową maszynę wirtualną o nazwie vm-1 w sieci wirtualnej.
W portalu wyszukaj i wybierz pozycję Maszyny wirtualne.
W obszarze Maszyny wirtualne wybierz pozycję + Utwórz, a następnie maszynę wirtualną platformy Azure.
Na karcie Podstawy tworzenia maszyny wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Virtual machine name Wprowadź wartość vm-1. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Opcje dostępności Wybierz pozycję Brak wymaganej nadmiarowości infrastruktury. Typ zabezpieczeń Pozostaw wartość domyślną standardu. Obraz Wybierz pozycję Ubuntu Server 22.04 LTS — x64 Gen2. Architektura maszyny wirtualnej Pozostaw wartość domyślną x64. Rozmiar Wybierz rozmiar. Konto administratora Typ uwierzytelniania Wybierz pozycję Hasło. Username Wprowadź azureuser. Hasło Wprowadź hasło. Potwierdź hasło Wprowadź ponownie hasło. Reguły portów przychodzących Publiczne porty ruchu przychodzącego Wybierz pozycję Brak. Wybierz kartę Sieć w górnej części strony.
Wprowadź lub wybierz następujące informacje na karcie Sieć :
Ustawienie Wartość Interfejs sieciowy Sieć wirtualna Wybierz pozycję vnet-1. Podsieć Wybierz podsieć-1 (10.0.0.0/24). Publiczny adres IP Wybierz pozycję Brak. Sieciowa grupa zabezpieczeń karty sieciowej Wybierz opcję Zaawansowane. Konfigurowanie sieciowej grupy zabezpieczeń Wybierz pozycjęUtwórz nowy.
Wprowadź nazwę nsg-1 .
Pozostaw wartości domyślne pozostałych i wybierz przycisk OK.Pozostaw pozostałe ustawienia domyślne i wybierz pozycję Przejrzyj i utwórz.
Przejrzyj ustawienia i wybierz pozycję Utwórz.
Uwaga
Maszyny wirtualne w sieci wirtualnej z hostem bastionu nie wymagają publicznych adresów IP. Usługa Bastion udostępnia publiczny adres IP, a maszyny wirtualne używają prywatnych adresów IP do komunikacji w sieci. Publiczne adresy IP można usunąć ze wszystkich maszyn wirtualnych w sieciach wirtualnych hostowanych w bastionie. Aby uzyskać więcej informacji, zobacz Usuwanie skojarzenia publicznego adresu IP z maszyny wirtualnej platformy Azure.
Uwaga
Platforma Azure udostępnia domyślny adres IP dostępu wychodzącego dla maszyn wirtualnych, które nie są przypisane do publicznego adresu IP lub znajdują się w puli zaplecza wewnętrznego podstawowego modułu równoważenia obciążenia platformy Azure. Domyślny mechanizm adresów IP dostępu wychodzącego zapewnia wychodzący adres IP, który nie jest konfigurowalny.
Domyślny adres IP dostępu wychodzącego jest wyłączony, gdy wystąpi jedno z następujących zdarzeń:
- Publiczny adres IP jest przypisywany do maszyny wirtualnej.
- Maszyna wirtualna jest umieszczana w puli zaplecza standardowego modułu równoważenia obciążenia z regułami ruchu wychodzącego lub bez tych reguł.
- Zasób usługi Azure NAT Gateway jest przypisywany do podsieci maszyny wirtualnej.
Maszyny wirtualne tworzone przy użyciu zestawów skalowania maszyn wirtualnych w trybie elastycznej aranżacji nie mają domyślnego dostępu wychodzącego.
Aby uzyskać więcej informacji na temat połączeń wychodzących na platformie Azure, zobacz Domyślny dostęp wychodzący na platformie Azure i Używanie źródłowego tłumaczenia adresów sieciowych (SNAT) dla połączeń wychodzących.
wdrażanie usługi Azure Firewall
W polu wyszukiwania w górnej części portalu wprowadź wartość Zapora. Wybierz pozycję Zapory w wynikach wyszukiwania.
W obszarze Zapory wybierz pozycję + Utwórz.
Wprowadź lub wybierz następujące informacje na karcie Podstawy tworzenia zapory:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Nazwisko Wprowadź zaporę. Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Availability zone Wybierz pozycję Brak. Jednostka SKU zapory Wybierz opcję Standardowa. Zarządzanie zaporą Wybierz pozycję Użyj zasad zapory, aby zarządzać tą zaporą. Zasady zapory Wybierz Dodaj nowy.
Wprowadź wartość firewall-policy w polu Nazwa zasad.
Wybierz pozycję Wschodnie stany USA 2 w regionie.
Wybierz przycisk OK.Wybieranie sieci wirtualnej Wybierz pozycjęUtwórz nowy. Nazwa sieci wirtualnej Wprowadź wartość vnet-firewall. Przestrzeń adresowa Wprowadź wartość 10.2.0.0/16. Przestrzeń adresowa podsieci Wprowadź wartość 10.2.1.0/26. Publiczny adres IP Wybierz Dodaj nowy.
Wprowadź wartość public-ip-firewall w polu Nazwa.
Wybierz przycisk OK.Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Przed kontynuowanie poczekaj na ukończenie wdrożenia zapory.
Włączanie dzienników zapory
W tej sekcji włączysz dzienniki zapory i wyślesz je do obszaru roboczego usługi Log Analytics.
Uwaga
Aby włączyć dzienniki zapory, musisz mieć obszar roboczy usługi Log Analytics w subskrypcji. Aby uzyskać więcej informacji, zobacz Wymagania wstępne.
W polu wyszukiwania w górnej części portalu wprowadź wartość Zapora. Wybierz pozycję Zapory w wynikach wyszukiwania.
Wybierz pozycję Zapora.
W obszarze Monitorowanie wybierz pozycję Ustawienia diagnostyczne.
Wybierz pozycję + Dodaj ustawienie diagnostyczne.
W obszarze Ustawienie diagnostyczne wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Nazwa ustawienia diagnostycznego Wprowadź wartość diagnostic-setting-firewall. Dzienniki Kategorie Wybierz pozycję Reguła aplikacji usługi Azure Firewall (starsza wersja Diagnostyka Azure) i Reguła sieci usługi Azure Firewall (starsza wersja Diagnostyka Azure). Szczegóły miejsca docelowego Element docelowy Wybierz pozycję Wyślij do obszaru roboczego usługi Log Analytics. Subskrypcja Wybierz subskrypcję. Obszar roboczy usługi Log Analytics Wybierz obszar roboczy usługi Log Analytics. Wybierz pozycję Zapisz.
Tworzenie bazy danych Azure SQL Database
W polu wyszukiwania w górnej części portalu wprowadź sql. Wybierz pozycję Bazy danych SQL w wynikach wyszukiwania.
W obszarze Bazy danych SQL wybierz pozycję + Utwórz.
Na karcie Podstawy tworzenia bazy danych SQL Wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły bazy danych Nazwa bazy danych Wprowadź sql-db. Serwer Wybierz pozycjęUtwórz nowy.
Wprowadź nazwę serwera w polu Nazwa serwera (nazwy serwerów muszą być unikatowe, zastąp nazwę serwera unikatową wartością).
Wybierz pozycję (STANY USA) Wschodnie stany USA 2 w polu Lokalizacja.
Wybierz pozycję Użyj uwierzytelniania SQL.
Wprowadź hasło i logowanie administratora serwera.
Wybierz przycisk OK.Chcesz użyć elastycznej puli SQL? Wybierz opcję Nie. Środowisko obciążenia Pozostaw wartość domyślną Production (Produkcja). Nadmiarowość magazynu kopii zapasowych Nadmiarowość magazynu kopii zapasowych Wybierz pozycję Magazyn kopii zapasowych lokalnie nadmiarowy. Wybierz pozycję Dalej: Sieć.
Na karcie Sieć w obszarze Tworzenie bazy danych SQL Wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Łączność sieciowa Metoda łączności Wybierz pozycję Prywatny punkt końcowy. Prywatne punkty końcowe Wybierz pozycję +Dodaj prywatny punkt końcowy. Tworzenie prywatnego punktu końcowego Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Lokalizacja Wybierz pozycję East US 2 (Wschodnie stany USA 2). Nazwisko Wprowadź ciąg private-endpoint-sql. Docelowy podźródło Wybierz pozycję SqlServer. Sieć Sieć wirtualna Wybierz pozycję vnet-private-endpoint. Podsieć Wybierz pozycję subnet-private-endpoint. integracja Prywatna strefa DNS Integruj z prywatną strefą DNS Wybierz opcję Tak. Prywatna strefa DNS Pozostaw wartość domyślną privatelink.database.windows.net. Wybierz przycisk OK.
Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
Łączenie sieci wirtualnych za pomocą komunikacji równorzędnej sieci wirtualnych
W tej sekcji połączysz sieci wirtualne za pomocą komunikacji równorzędnej sieci wirtualnych. Sieci vnet-1 i vnet-private-endpoint są połączone z zaporą sieci wirtualnej. Nie ma bezpośredniej łączności między siecią wirtualną-1 a prywatnym punktem końcowym sieci wirtualnej.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Sieci wirtualne. Wybierz pozycję Sieci wirtualne w wynikach wyszukiwania.
Wybierz pozycję vnet-firewall.
W obszarze Ustawienia wybierz pozycję Komunikacja równorzędna.
W obszarze Komunikacja równorzędna wybierz pozycję + Dodaj.
W obszarze Dodawanie komunikacji równorzędnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Ta sieć wirtualna Nazwa łącza komunikacji równorzędnej Wprowadź wartość vnet-firewall-to-vnet-1. Ruch do zdalnej sieci wirtualnej Wybierz pozycję Zezwalaj (wartość domyślna). Ruch przekazywany z zdalnej sieci wirtualnej Wybierz pozycję Zezwalaj (wartość domyślna). Brama sieci wirtualnej lub serwer route server Wybierz pozycję Brak (wartość domyślna). Zdalna sieć wirtualna Nazwa łącza komunikacji równorzędnej Wprowadź wartość vnet-1-to-vnet-firewall. Model wdrażania sieci wirtualnej Wybierz pozycję Resource Manager. Subskrypcja Wybierz subskrypcję. Sieć wirtualna Wybierz pozycję vnet-1. Ruch do zdalnej sieci wirtualnej Wybierz pozycję Zezwalaj (wartość domyślna). Ruch przekazywany z zdalnej sieci wirtualnej Wybierz pozycję Zezwalaj (wartość domyślna). Brama sieci wirtualnej lub serwer route server Wybierz pozycję Brak (wartość domyślna). Wybierz Dodaj.
W obszarze Komunikacja równorzędna wybierz pozycję + Dodaj.
W obszarze Dodawanie komunikacji równorzędnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Ta sieć wirtualna Nazwa łącza komunikacji równorzędnej Wprowadź ciąg vnet-firewall-to-vnet-private-endpoint. Zezwalaj "vnet-1" na dostęp do "vnet-private-endpoint" Pozostaw wartość domyślną wybranej. Zezwalaj "vnet-1" na odbieranie przekazywanego ruchu z "vnet-private-endpoint" Zaznacz pole wyboru. Zezwalaj bramie w sieci wirtualnej -1 na przekazywanie ruchu do "vnet-private-endpoint" Pozostaw wartość domyślną wyczyszczonego. Włącz opcję "vnet-1", aby użyć bramy zdalnej "vnet-private-endpoint" Pozostaw wartość domyślną wyczyszczonego. Zdalna sieć wirtualna Nazwa łącza komunikacji równorzędnej Wprowadź ciąg vnet-private-endpoint-to-vnet-firewall. Model wdrażania sieci wirtualnej Wybierz pozycję Resource Manager. Subskrypcja Wybierz subskrypcję. Sieć wirtualna Wybierz pozycję vnet-private-endpoint. Zezwalaj "vnet-private-endpoint" na dostęp do sieci wirtualnej "vnet-1" Pozostaw wartość domyślną wybranej. Zezwalaj "vnet-private-endpoint" na odbieranie przekazywanego ruchu z sieci wirtualnej "vnet-1" Zaznacz pole wyboru. Zezwalaj bramie na "vnet-private-endpoint" na przekazywanie ruchu do sieci wirtualnej "vnet-1" Pozostaw wartość domyślną wyczyszczonego. Włącz opcję "vnet-private-endpoint", aby użyć bramy zdalnej "vnet-1" Pozostaw wartość domyślną wyczyszczonego. Wybierz Dodaj.
Sprawdź, czy w obszarze Stan komunikacji równorzędnej jest wyświetlany stan Połączono dla obu sieci równorzędnych.
Łączenie sieci wirtualnych z prywatną strefą DNS
Prywatna strefa DNS utworzona podczas tworzenia prywatnego punktu końcowego w poprzedniej sekcji musi być połączona z sieciami wirtualnymi vnet-1 i vnet-firewall .
W polu wyszukiwania w górnej części portalu wprowadź Prywatna strefa DNS strefę. Wybierz Prywatna strefa DNS strefy w wynikach wyszukiwania.
Wybierz pozycję privatelink.database.windows.net.
W obszarze Ustawienia wybierz pozycję Łącza sieci wirtualnej.
Wybierz + Dodaj.
W obszarze Dodaj link do sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Łącze sieci wirtualnej Nazwa łącza sieci wirtualnej Wprowadź link-to-vnet-1. Subskrypcja Wybierz subskrypcję. Sieć wirtualna Wybierz pozycję vnet-1 (test-rg). Konfigurowanie Pozostaw wartość domyślną niezaznaczonej dla opcji Włącz automatyczną rejestrację. Wybierz przycisk OK.
Wybierz + Dodaj.
W obszarze Dodaj link do sieci wirtualnej wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Łącze sieci wirtualnej Nazwa łącza sieci wirtualnej Wprowadź link-to-vnet-firewall. Subskrypcja Wybierz subskrypcję. Sieć wirtualna Wybierz pozycję vnet-firewall (test-rg). Konfigurowanie Pozostaw wartość domyślną niezaznaczonej dla opcji Włącz automatyczną rejestrację. Wybierz przycisk OK.
Tworzenie trasy między sieciami vnet-1 i vnet-private-endpoint
Połączenie sieciowe między siecią vnet-1 i vnet-private-endpoint nie istnieje. Musisz utworzyć trasę, aby zezwolić na przepływ ruchu między sieciami wirtualnymi za pośrednictwem usługi Azure Firewall.
Trasa wysyła ruch z sieci wirtualnej vnet-1 do przestrzeni adresowej sieci wirtualnej vnet-private-endpoint za pośrednictwem usługi Azure Firewall.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabele tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz + Utwórz.
Na karcie Podstawy w tabeli Tworzenie trasy wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Szczegóły projektu Subskrypcja Wybierz subskrypcję. Grupa zasobów Wybierz pozycję test-rg. Szczegóły wystąpienia Region (Region) Wybierz pozycję East US 2 (Wschodnie stany USA 2). Nazwisko Wprowadź wartość vnet-1-to-vnet-firewall. Propagacja tras bramy Pozostaw wartość domyślną Tak. Wybierz pozycję Przejrzyj i utwórz.
Wybierz pozycję Utwórz.
W polu wyszukiwania w górnej części portalu wprowadź ciąg Tabele tras. Wybierz pozycję Tabele tras w wynikach wyszukiwania.
Wybierz pozycję vnet-1-to-vnet-firewall.
W obszarze Ustawienia wybierz pozycję Trasy.
Wybierz + Dodaj.
W obszarze Dodaj trasę wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Nazwa trasy Wprowadź wartość subnet-1-to-subnet-private-endpoint. Typ docelowy Wybierz pozycję Adresy IP. Docelowe adresy IP/zakresy CIDR Wprowadź adres 10.1.0.0/16. Typ następnego przeskoku Wybierz pozycję Urządzenie wirtualne. Adres następnego przeskoku Wprowadź wartość 10.2.1.4. Wybierz Dodaj.
W obszarze Ustawienia wybierz pozycję Podsieci.
Wybierz pozycję + Skojarz.
W obszarze Skojarz podsieć wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Sieć wirtualna Wybierz pozycję vnet-1(test-rg). Podsieć Wybierz podsieć-1. Wybierz przycisk OK.
Konfigurowanie reguły aplikacji w usłudze Azure Firewall
Utwórz regułę aplikacji, aby zezwolić na komunikację z sieci wirtualnej vnet-1 do prywatnego punktu końcowego server-name.database.windows.net serwera Azure SQL Server. Zastąp ciąg nazwa-serwera nazwą serwera Azure SQL.
W polu wyszukiwania w górnej części portalu wprowadź wartość Zapora. Wybierz pozycję Zasady zapory w wynikach wyszukiwania.
W obszarze Zasady zapory wybierz pozycję firewall-policy.
W obszarze Ustawienia wybierz pozycję Reguły aplikacji.
Wybierz pozycję + Dodaj kolekcję reguł.
W obszarze Dodawanie kolekcji reguł wprowadź lub wybierz następujące informacje:
Ustawienie Wartość Nazwisko Wprowadź wartość rule-collection-sql. Typ kolekcji reguł Pozostaw wybór opcji Aplikacja. Priorytet Wprowadź wartość 100. Akcja zbierania reguł Zaznacz Zezwól. Grupa kolekcji reguł Pozostaw wartość domyślną DefaultApplicationRuleCollectionGroup. Reguły Reguła 1 Nazwisko Wprowadź sqlPrivateEndpoint. Source type Wybierz pozycję Adres IP. Źródło Wprowadź wartość 10.0.0.0/16 Protokół Wprowadź mssql:1433 Typ docelowy Wybierz pozycję FQDN. Element docelowy Wprowadź server-name.database.windows.net. Wybierz Dodaj.
Testowanie połączenia z usługą Azure SQL z maszyny wirtualnej
W polu wyszukiwania w górnej części portalu wprowadź ciąg Maszyna wirtualna. Wybierz pozycję Maszyny wirtualne w wynikach wyszukiwania.
Wybierz pozycję vm-1.
W obszarze Operacje wybierz pozycję Bastion.
Wprowadź nazwę użytkownika i hasło dla maszyny wirtualnej.
Wybierz pozycję Połącz.
Aby sprawdzić rozpoznawanie nazw prywatnego punktu końcowego, wprowadź następujące polecenie w oknie terminalu:
nslookup server-name.database.windows.netZostanie wyświetlony komunikat podobny do poniższego przykładu. Zwrócony adres IP to prywatny adres IP prywatnego punktu końcowego.
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net. Name:sql-server-8675.privatelink.database.windows.net Address: 10.1.0.4Zainstaluj narzędzia wiersza polecenia programu SQL Server z obszaru Instalowanie narzędzi wiersza polecenia programu SQL Server sqlcmd i bcp w systemie Linux. Przejdź do następnych kroków po zakończeniu instalacji.
Użyj następujących poleceń, aby nawiązać połączenie z serwerem SQL utworzonym w poprzednich krokach.
Zastąp wartość <server-admin> nazwą użytkownika administratora wprowadzoną podczas tworzenia serwera SQL.
Zastąp <wartość admin-password hasłem> administratora wprowadzonym podczas tworzenia programu SQL Server.
Zastąp ciąg nazwa-serwera nazwą serwera SQL.
sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'Po pomyślnym zalogowaniu zostanie wyświetlony wiersz polecenia SQL. Wprowadź polecenie exit , aby zamknąć narzędzie sqlcmd .
Weryfikowanie ruchu w dziennikach usługi Azure Firewall
W polu wyszukiwania w górnej części portalu wprowadź wartość Log Analytics. Wybierz pozycję Log Analytics w wynikach wyszukiwania.
Wybierz obszar roboczy usługi Log Analytics. W tym przykładzie obszar roboczy nosi nazwę log-analytics-workspace.
W obszarze Ustawienia ogólne wybierz pozycję Dzienniki.
W przykładowym zapytaniu w polu wyszukiwania wprowadź regułę aplikacji. W zwróconych wynikach w obszarze Sieć wybierz przycisk Uruchom dla danych dziennika reguł aplikacji.
W danych wyjściowych zapytania dziennika sprawdź, czy server-name.database.windows.net jest wyświetlana w obszarze nazwy FQDN , a punkt SQLPrivateEndpoint znajduje się na liście w obszarze Reguła.
Po zakończeniu korzystania z utworzonych zasobów możesz usunąć grupę zasobów i wszystkie jej zasoby.
W witrynie Azure Portal wyszukaj i wybierz pozycję Grupy zasobów.
Na stronie Grupy zasobów wybierz grupę zasobów test-rg.
Na stronie test-rg wybierz pozycję Usuń grupę zasobów.
Wprowadź ciąg test-rg w polu Wprowadź nazwę grupy zasobów, aby potwierdzić usunięcie, a następnie wybierz pozycję Usuń.
Następne kroki
Przejdź do następnego artykułu, aby dowiedzieć się, jak używać prywatnego punktu końcowego z usługą Azure Private Resolver: