Подключение к Azure по частному пути для SQL Server с поддержкой Azure Arc

В этой статье описывается, как настроить связь для SQL Server, включенного на экземпляре Azure Arc, чтобы он подключался к Azure без использования интернет-путей.

Эта конструкция развертывает перенаправленные прокси-серверы в Azure, чтобы позволить SQL Server обмениваться данными через VPN типа "сеть — сеть" или ExpressRouteConnection с частными IP-адресами. Прокси-серверы взаимодействуют с URL-адресами Arc по магистральной сети Azure.

На следующей схеме представлен этот шаблон.

Для прямого прокси-сервера выберите один из следующих вариантов:

• Функция явного прокси Azure Firewall (предварительная версия) — это сервис сетевой безопасности в формате "Платформа как услуга" (PaaS).

  или

• Стороннее виртуальное сетевое устройство прокси-сервера (NVA).

  На схеме показан явный прокси-сервер брандмауэра Azure.

Сценарий использования

Используйте эту архитектуру для SQL Server, под управлением Azure Arc, если:

• Экземпляр SQL Server изолирован и защищен.

• Агент Azure Connected Machine может общаться только с прокси-сервером пересылки через частный IP-адрес, размещенный в вашей виртуальной сети в Azure. URL-адреса и общедоступные IP-адреса, с которыми взаимодействует прокси-сервер перенаправления для доступа к URL-адресам, связанным с Arc, находятся в магистрали Microsoft, а не через интернет. Поэтому трафик не проходит через общедоступный Интернет.

• Трафик между экземпляром SQL Server и прокси-сервером пересылки должен быть безопасным. На предыдущей схеме ExpressRoute отображается для подключения между сервером SQL и форвард-прокси, но это также можно организовать с помощью VPN типа "сеть — сеть".

• Трафик проходит через частный пиринг ExpressRoute, а не публичный пиринг.

• Конфигурация прокси-сервера выполняется в агенте подключенного компьютера Arc, а не на уровне ОС. Эта конфигурация может не повлиять на политики, связанные с безопасностью.

• Обмен данными Arc шифруется через порт 443, и при использовании ExpressRoute или VPN типа "сеть — сеть" добавляется дополнительный уровень безопасности.

Предварительные требования. Виртуальная сеть Azure с двумя подсетями

Для этой архитектуры требуется виртуальная сеть в Azure с двумя подсетями. Ниже приведены шаги по подготовке VPN типа "сеть — сеть" вместо ExpressRoute.

1. Создайте виртуальную сеть и подсеть для VPN-шлюза Azure.
2. Создайте отдельную подсеть для брандмауэра Azure.

На следующем этапе развертывается брандмауэр Azure в качестве прямого прокси-сервера.

Создание VPN между SQL Server и Azure

Создайте межсетевой VPN для подключения вашего SQL Server к Azure.

1. Выполните действия, описанные в Руководстве: Создание и управление VPN-шлюзом с помощью портала Azure, для создания VPN-шлюза.

2. Создайте шлюз локальной сети перед созданием VPN типа «сайт-сайт». Выполните действия, описанные в руководстве по созданию VPN-подключения типа "сеть — сеть" на портале Azure.

Создание брандмауэра и настройка прокси-сервера

1. Создайте брандмауэр Azure вместе с диспетчером брандмауэра.
2. Настройте параметр Azure Firewall Explicit proxy (предварительная версия) для использования в роли прокси пересылки.
3. Создайте правило, чтобы разрешить IP-адрес SQL Server (10.2.1.4).

Агент подключенного компьютера Azure использует это правило для доступа к https исходящему трафику через брандмауэр.

Подключение SQL Server с помощью Azure Arc

На портале Azure создайте скрипт подключения. Как описано здесь, подключите SQL Server к Azure Arc.

Запустите скрипт, чтобы установить агент подключенного компьютера Azure с правильными конфигурациями. Параметры прокси-сервера можно настроить при создании скрипта.

В этой статье мы обновим параметры прокси-сервера частного пути после установки расширения агента Arc Connected Machine.

Настройка агента подключенного компьютера Azure

Чтобы настроить агент подключенного компьютера Azure, используйте azcmagent CLI:

1. Установка URL-адреса прокси-сервера

   azcmagent config set proxy.url "http://<ip address>:8443"
   

2. Проверка URL-адреса прокси-сервера

   azcmagent config get proxy.url
   

   Консоль возвращает текущий URL-адрес прокси-сервера.

3. Убедитесь, что агент подключен.

   azcmagent show | find | "Agent Status"
   

   Консоль возвращает состояние агента. Если агент настроен, консоль возвращает следующее:

   Agent Status: Connected
   

Обход URL-адресов

Возможно, вам потребуется настроить агент для обхода определенных URL-адресов от прохождения прокси-сервера и вместо этого разрешить прямой доступ. Обход URL-адреса прокси-сервера, если необходимо поддерживать частные конечные точки. Дополнительные сведения см. об обходе прокси для частных endpointов.

Настройка брандмауэра для log analytics

Вы также можете настроить брандмауэр для отправки журналов в Azure Log Analytics. Дополнительные сведения см. в разделе "Мониторинг брандмауэра Azure".

Очистите ресурсы

Если вы не собираетесь продолжать использовать это приложение, удалите эти ресурсы.

Чтобы удалить ресурсы на портале Azure, выполните следующие действия.

1. Введите имя группы ресурсов в поле поиска, выберите его из результатов поиска.
2. Выберите команду Удалить группу ресурсов.
3. Подтвердите имя группы ресурсов в Введите имя группы ресурсов и выберите "Удалить".

Обновить версию расширения

Дополнительные сведения об обновлении расширения Azure для SQL Server см. в разделе "Обновление".

Чтобы получить текущую версию расширения, см. заметки о релизе — SQL Server, включенный в Azure Arc.

Связанный контент

• Обход прокси-сервера для частных конечных точек
• Брандмауэр Azure явный прокси-сервер (предварительная версия)
• Мониторить Azure Firewall
• Руководство. Создание VPN-шлюза и управление ими с помощью портала Azure
• Руководство. Создание VPN-подключения типа "сеть — сеть" в портал Azure