Настройка правил для приложений брандмауэра Azure с полными доменными именами SQL

Вы можете настроить правила для приложений брандмауэра Azure, используя полные доменные имена SQL. Эта конфигурация ограничивает доступ из виртуальных сетей только к указанным экземплярам SQL Server.

Используя полные доменные имена SQL, можно фильтровать трафик:

• Из виртуальных сетей в базу данных SQL Azure или Azure Synapse Analytics. Например: разрешить доступ только к sql-server1.database.windows.NET.
• Из локальной среды в управляемые экземпляры SQL Azure или IaaS SQL, работающие в виртуальных сетях.
• От взаимодействия между периферийными сетями к управляемым экземплярам Azure SQL или SQL IaaS, работающим в ваших виртуальных сетях.

Фильтрация полных доменных имен SQL поддерживается только в прокси-режиме (порт 1433). Если вы используете SQL в режиме перенаправления по умолчанию, вы можете фильтровать доступ с помощью тега службы SQL в рамках правил сети. Если для трафика IaaS SQL используются порты не по умолчанию, можно настроить эти порты в правилах приложений брандмауэра.

Настройка с помощью Azure CLI

1. Развертывание брандмауэра Azure с использованием интерфейса командной строки Azure.

2. Если вы фильтруете трафик в базу данных SQL Azure, Azure Synapse Analytics или Управляемый экземпляр SQL, установите режим подключения SQL к прокси-серверу. Сведения об изменении режима подключения SQL см. в разделе Настройки подключения SQL Azure.

   Примечание.

   В прокси-режиме SQL может наблюдаться увеличенная задержка по сравнению с режимом перенаправления. Если вы хотите продолжить использовать режим перенаправления, который используется по умолчанию для клиентов, подключающихся в Azure, можно фильтровать доступ с помощью тега службы SQL в правилах сети брандмауэра.

3. Создайте новую коллекцию правил с правилом приложения, использующим полное доменное имя (FQDN) SQL, чтобы разрешить доступ к SQL-серверу.

    az extension add -n azure-firewall
   
    az network firewall application-rule create \
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Настройка с помощью Azure PowerShell

1. Разверните Брандмауэр Azure с помощью Azure PowerShell.

2. Если вы фильтруете трафик в базу данных SQL Azure, Azure Synapse Analytics или Управляемый экземпляр SQL, установите режим подключения SQL к прокси-серверу. Сведения об изменении режима подключения SQL см. в разделе Настройки подключения SQL Azure.

   Примечание.

   В прокси-режиме SQL может наблюдаться увеличенная задержка по сравнению с режимом перенаправления. Если вы хотите продолжить использовать режим перенаправления, который используется по умолчанию для клиентов, подключающихся в Azure, можно фильтровать доступ с помощью тега службы SQL в правилах сети брандмауэра.

3. Создайте новую коллекцию правил с правилом для приложений, использующим FQDN SQL, чтобы разрешить доступ к SQL-серверу.

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433"
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection"
      Priority   = 1000
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)
   Set-AzFirewall -AzureFirewall $AzFw
   

Настройка с помощью портала Azure

1. Разверните брандмауэр Azure с помощью портала Azure.

2. Если вы фильтруете трафик в базу данных SQL Azure, Azure Synapse Analytics или Управляемый экземпляр SQL, установите режим подключения SQL к прокси-серверу. Сведения об изменении режима подключения SQL см. в разделе Настройки подключения SQL Azure.

   Примечание.

   В прокси-режиме SQL может наблюдаться увеличенная задержка по сравнению с режимом перенаправления. Если вы хотите продолжить использовать режим перенаправления, который используется по умолчанию для клиентов, подключающихся в Azure, можно фильтровать доступ с помощью тега службы SQL в правилах сети брандмауэра.

3. Добавьте правило приложения с соответствующим протоколом, портом и полным доменным именем SQL, а затем нажмите кнопку "Сохранить".

4. Доступ к SQL из виртуальной машины в виртуальной сети, которая фильтрует трафик через брандмауэр.

5. Убедитесь, что в журналах брандмауэра Azure указано, что трафик разрешен.

Следующие шаги

Сведения о прокси-сервере SQL и режимах перенаправления см. в статье Архитектура подключений к Базе данных SQL Azure.