Поделиться через

Настройка правил NSG Управляемый экземпляр SQL Azure для работы с конфиденциальным реестром Azure

  • Статья

Область применения: Управляемый экземпляр SQL Azure

После включения конфиденциального реестра Azure в качестве расположения дайджеста в Управляемый экземпляр SQL Azure необходимо вручную настроить правила виртуальной сети Управляемый экземпляр SQL Azure для взаимодействия с конфиденциальным реестром Azure.

Вы узнаете, как выполнять следующие задачи:

  • Настройте Управляемый экземпляр SQL группу безопасности сети (NSG) и правила таблицы маршрутизации, чтобы разрешить трафик в конфиденциальный реестр Azure.

Разрешения

Из-за конфиденциальности данных в управляемом экземпляре конфигурация для включения Управляемый экземпляр SQL Azure общедоступной конечной точки требует двухфакторного процесса. Эта мера безопасности придерживается принципа разделения обязанностей (SoD):

  • Администратору Управляемый экземпляр SQL необходимо включить общедоступную конечную точку в Управляемый экземпляр SQL. Администратор Управляемый экземпляр SQL можно найти на странице обзора ресурса Управляемый экземпляр SQL.
  • Администратор сети должен разрешить трафик Управляемый экземпляр SQL с помощью группы безопасности сети. Дополнительные сведения см. в разделе "Разрешения группы безопасности сети".

Включение правил NSG исходящего трафика для конфиденциального реестра Azure

Нам потребуется записать IP-адреса конфиденциального реестра Azure и добавить их в правила NSG исходящего трафика и таблицу маршрутов Управляемый экземпляр SQL.

Получение IP-адресов конечной точки реестра и конечной точки службы удостоверений

На подготовленной странице обзора конфиденциального реестра Azure в портал Azure зафиксируйте имя узла конечной точки реестра. Получите IP-адрес экземпляра конфиденциального реестра Azure с помощью ping или аналогичного сетевого средства.

ping -a <ledgername>.confidential-ledger.azure.com

PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms

Аналогичным образом выполните процедуру для экземпляра Identity Service Endpointконфиденциального реестра Azure.

ping identity.confidential-ledger.core.azure.com

PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms

Добавление IP-адресов в правила исходящей группы безопасности сети

Эти два IP-адреса следует добавить в правила NSG исходящего трафика Управляемый экземпляр SQL.

  1. В портал Azure перейдите в группу безопасности сети Управляемый экземпляр SQL. Группа безопасности сети — это отдельный ресурс в группе ресурсов Управляемый экземпляр SQL.

  2. Перейдите в меню правил безопасности для исходящего трафика.

  3. Добавьте два IP-адреса, полученные в предыдущем разделе, в качестве нового правила для исходящего трафика:

    Перейдите на вкладку " Правила безопасности для исходящего трафика" и добавьте правило, которое имеет более высокий приоритет, чем правило deny_all_inbound со следующими параметрами:

    Параметр Предлагаемое значение Description
    Источник Любой IP-адрес или тег службы
    • Для служб Azure, например Power BI, выберите тег облачной службы Azure.
    • Для компьютера или виртуальной машины Azure используйте IP-адрес NAT.
    Диапазоны исходных портов * Оставьте это как * (любой) как исходные порты обычно динамически выделяются и таким образом непредсказуемы
    Назначение <1.123.123.123>, <13.107.246.70> Добавьте IP-адреса, полученные в предыдущем разделе для конфиденциального реестра Azure
    Диапазоны портов назначения 3342 Укажите для порта назначения значение 3342, которое является общедоступной конечной точкой TDS управляемого экземпляра.
    Служба HTTPS Управляемый экземпляр SQL будет взаимодействовать с реестром по протоколу HTTPS
    Действие Allow Разрешить исходящий трафик из управляемого экземпляра в реестр
    Приоритет 1500 Убедитесь, что это правило имеет более высокий приоритет, чем правило deny_all_inbound.

    Снимок экрана: правила исходящего трафика NSG, позволяющие SQL взаимодействовать с реестром.

Добавление IP-адресов в таблицу маршрутов

Два IP-адреса конфиденциального реестра Azure также должны быть добавлены в таблицу Route:

  1. В портал Azure перейдите в таблицу маршрутов Управляемый экземпляр SQL. Таблица маршрутизации — это отдельный ресурс в группе ресурсов Управляемый экземпляр SQL.

  2. Перейдите в меню "Маршруты" в разделе "Параметры".

  3. Добавьте два IP-адреса, полученные в предыдущем разделе, в качестве новых маршрутов:

    Параметр Предлагаемое значение Description
    Имя маршрута Использование предпочтительного имени Имя, которое вы хотите использовать для этого маршрута
    Конечный тип IP-адреса Используйте раскрывающееся меню и выберите IP-адреса
    Диапазоны IP-адресов назначения или CIDR 1.123.123.123/32 В этом примере мы используем 1.123.123.123/32. Создайте другой маршрут для добавления конечной точки службы удостоверений, которая находится 13.107.246.70/32 в этом примере
    Тип следующего прыжка Интернет

    Снимок экрана: добавление маршрута для виртуальной сети в реестр.

Убедитесь, что маршрутизация настроена правильно

Вы можете подтвердить, что Управляемый экземпляр SQL теперь может взаимодействовать с конфиденциальным реестром Azure, выполнив проверку базы данных. Запрос должен сообщить об этом Ledger verification succeeded.

Связанный контент