Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für:
Azure SQL Managed Instance
Azure SQL Managed Instance kann Benutzerkonnektivität über öffentliche Endpunkte bereitstellen. In diesem Artikel wird erläutert, wie Sie diese Konfiguration sicherer machen.
Szenarien
Azure SQL Managed Instance bietet einen lokalen VNet-Endpunkt, um Konnektivität aus dem virtuellen Netzwerk heraus zu ermöglichen. Die Standardoption ist das Bereitstellen maximaler Isolation. Es gibt jedoch Szenarien, in denen Sie eine Verbindung mit einem öffentlichen Endpunkt bereitstellen müssen:
- Die verwaltete SQL-Instanz muss in mehrinstanzenfähige Plattform als Dienstangebote (PaaS) integriert werden.
- Sie benötigen einen höheren Durchsatz des Datenaustauschs, als mit Verwendung eines VPN möglich ist.
- Verbot von PaaS innerhalb der Unternehmensnetzwerke durch Unternehmensrichtlinien
Der öffentliche Endpunkt verwendet immer den Proxyverbindungstyp , unabhängig von der Verbindungstypeinstellung.
Bereitstellen einer sql-verwalteten Instanz für den zugriff auf öffentliche Endpunkte
Obwohl nicht zwingend erforderlich, besteht das allgemeine Bereitstellungsmodell für eine von SQL verwaltete Instanz mit öffentlichem Endpunktzugriff darin, die Instanz in einem dedizierten isolierten virtuellen Netzwerk zu erstellen. In dieser Konfiguration wird das virtuelle Netzwerk nur zur Isolation des virtuellen Clusters verwendet. Es spielt keine Rolle, ob sich der IP-Adressraum der SQL-verwalteten Instanz mit dem IP-Adressraum eines Unternehmensnetzwerks überlappt.
Sichern von Daten während der Übertragung
Der Datenverkehr von SQL Managed Instance wird immer verschlüsselt, wenn der Clienttreiber die Verschlüsselung unterstützt. Daten, die zwischen der von SQL verwalteten Instanz und anderen virtuellen Azure-Computern oder Azure-Diensten gesendet werden, verlassen nie das Rückgrat von Azure. Wenn es eine Verbindung zwischen der verwalteten SQL-Instanz und einem lokalen Netzwerk gibt, empfehlen wir Die Verwendung von Azure ExpressRoute. Mit ExpressRoute vermeiden Sie das Verschieben von Daten über das öffentliche Internet. Bei der lokalen Konnektivität für verwaltete SQL-Instanzen kann nur private Peering verwendet werden.
Sperren eingehender und ausgehender Konnektivität
Das folgende Diagramm zeigt die empfohlenen Sicherheitskonfigurationen:
Eine von SQL verwaltete Instanz verfügt über eine öffentliche Endpunktadresse, die einem Kunden zugeordnet ist. Dieser Endpunkt teilt die IP-Adresse mit dem Verwaltungsendpunkt, verwendet jedoch einen anderen Port. Ähnlich wie bei einem VNet-lokalen Endpunkt kann sich der öffentliche Endpunkt nach bestimmten Verwaltungsvorgängen ändern. Bestimmen Sie immer die öffentliche Endpunktadresse, indem Sie den FQDN-Eintrag des Endpunkts auflösen. Beispiel: Beim Konfigurieren von Firewallregeln auf Anwendungsebene.
Um sicherzustellen, dass Datenverkehr zur sql-verwalteten Instanz aus vertrauenswürdigen Quellen stammt, empfehlen wir, eine Verbindung aus Quellen mit bekannten IP-Adressen herzustellen. Verwenden Sie eine Netzwerksicherheitsgruppe, um den Zugriff auf den öffentlichen SQL-Instanzendpunkt am Port 3342 einzuschränken.
Wenn Clients eine Verbindung von einem lokalen Netzwerk herstellen müssen, stellen Sie sicher, dass die ursprüngliche Adresse in eine Gruppe bekannter IP-Adressen übersetzt wird. Wenn Dies nicht möglich ist (z. B. ein mobiler Mitarbeiter, der ein typisches Szenario ist), empfehlen wir die Verwendung von Point-to-Site-VPN-Verbindungen und einem VNet-lokalen Endpunkt.
Wenn Verbindungen von Azure aus gestartet werden, sollte der Datenverkehr von einer gut bekannten zugewiesenen virtuellen IP-Adresse (z.B. einem virtuellen Computer) kommen. Um die Verwaltung virtueller IP-Adressen (VIP) zu vereinfachen, sollten Sie öffentliche IP-Adresspräfixe verwenden.