Połącz się z platformą Azure przy użyciu ścieżki prywatnej dla SQL Server obsługiwanego przez Azure Arc

W tym artykule opisano sposób konfigurowania komunikacji dla serwera SQL, który działa w instancji Azure Arc, aby łączył się z platformą Azure bez przechodzenia przez ścieżki internetowe.

Ten projekt wdraża serwery forward proxy w usłudze Azure, aby umożliwić programowi SQL Server komunikację z prywatnymi adresami IP za pośrednictwem sieci VPN typu lokacja-lokacja lub połączenia ExpressRoute. Serwery proxy komunikują się z adresami URL usługi Arc za pośrednictwem sieci szkieletowej platformy Azure.

Ważne

Ta implementacja używa jawnego serwera proxy usługi Azure Firewall — który jest obecnie dostępny w wersji zapoznawczej.

Na poniższym diagramie przedstawiono ten wzorzec.

W przypadku serwera proxy przekazywania wybierz jedną z następujących opcji:

Funkcja jawnego serwera proxy (wersja zapoznawcza) usługi Azure Firewall, która jest usługą zabezpieczeń sieci Typu Platforma jako usługa (PaaS).

lub
Wirtualne urządzenie sieciowe proxy (WUS) innej firmy.

Na diagramie przedstawiono jawny serwer proxy usługi Azure Firewall.

Przypadek użycia

Użyj tej architektury dla programu SQL Server włączonego przez usługę Azure Arc, gdy:

Instancja programu SQL Server jest izolowana i chroniona.
Agent usługi Azure Connected Machine może komunikować się tylko z serwerem proxy z przekierowaniem za pośrednictwem prywatnego adresu IP hostowanego w Twojej sieci wirtualnej na platformie Azure. Adresy URL i publiczne adresy IP, z którymi komunikuje się serwer proxy przesyłania dalej, w celu uzyskania dostępu do adresów URL powiązanych z usługą Arc, znajdują się w sieci szkieletowej firmy Microsoft, a nie przez Internet. W związku z tym ruch nie przechodzi przez publiczny Internet.
Ruch między instancją SQL Server a serwerem proxy przekazywania musi być bezpieczny. Na poprzednim diagramie ExpressRoute przedstawiony jako sposób łączenia między serwerem SQL i serwerem proxy pośredniczącym, ale można to również osiągnąć przy użyciu sieci VPN typu site-to-site.
Ruch przechodzi przez prywatne połączenie równorzędne ExpressRoute, a nie publiczne połączenie równorzędne.
Konfiguracja serwera proxy jest wykonywana w ramach agenta połączonej maszyny arc, a nie na poziomie systemu operacyjnego. Ta konfiguracja może nie mieć wpływu na zasady związane z zabezpieczeniami.
Komunikacja z usługą Arc jest szyfrowana za pośrednictwem portu 443, a zastosowanie usługi ExpressRoute lub sieci VPN typu lokacja-lokacja powoduje dodanie dodatkowej warstwy zabezpieczeń.

Wymaganie wstępne — sieć wirtualna platformy Azure z dwiema podsieciami

Ta architektura wymaga sieci wirtualnej na platformie Azure z dwiema podsieciami. Poniższe kroki służą do przygotowania się do sieci VPN między lokalizacjami zamiast usługi ExpressRoute.

Utwórz sieć wirtualną i podsieć dla bramy sieci VPN platformy Azure.
Utwórz oddzielną podsieć dla usługi Azure Firewall.

W późniejszym kroku usługa Azure Firewall jest wdrażana jako serwer proxy przekazujący.

Tworzenie sieci VPN między programem SQL Server i platformą Azure

Utwórz sieć VPN typu lokacja-lokacja z lokalizacji programu SQL Server na platformę Azure.

Wykonaj kroki opisane w artykule Samouczek: tworzenie bramy sieci VPN i zarządzanie nią przy użyciu witryny Azure Portal w celu utworzenia bramy sieci VPN.
Utwórz bramę sieci lokalnej przed utworzeniem VPN Site-to-Site. Wykonaj kroki opisane w artykule Samouczek: tworzenie połączenia sieci VPN typu lokacja-lokacja w witrynie Azure Portal.

Tworzenie zapory i konfigurowanie serwera proxy

Utwórz usługę Azure Firewall wraz z usługą Firewall Manager.
Skonfiguruj ustawienie proxy jawnego (wersja zapoznawcza) w usłudze Azure Firewall, aby działało jako serwer proxy przekazujący.
Utwórz regułę zezwalaną na adres IP programu SQL Server (10.2.1.4).

Agent Azure Connected Machine używa tej reguły do uzyskiwania dostępu wychodzącego przez zaporę.

Łączenie serwera SQL przy użyciu usługi Azure Arc

Na portalu Azure wygeneruj skrypt wdrożeniowy. Jak wyjaśniono tutaj, połącz program SQL Server z usługą Azure Arc.

Uruchom skrypt, aby zainstalować agenta usługi Azure Connected Machine z poprawnymi konfiguracjami. Ustawienia serwera proxy można skonfigurować podczas generowania skryptu.

W tym artykule, po zainstalowaniu rozszerzenia agenta Arc Connected Machine, zaktualizujemy ustawienia serwera proxy dla ścieżki prywatnej.

Konfigurowanie agenta połączonej maszyny platformy Azure

Aby skonfigurować agenta Azure Connected Machine, użyj azcmagent CLI:

Ustawianie adresu URL serwera proxy

azcmagent config set proxy.url "http://<ip address>:8443"

Weryfikowanie adresu URL serwera proxy
```
azcmagent config get proxy.url
```
Konsola zwraca bieżący adres URL serwera proxy.
Sprawdź, czy agent jest połączony.
```
azcmagent show | find | "Agent Status"
```
Konsola zwraca stan agenta. Jeśli agent jest skonfigurowany, konsola zwróci następujące informacje:
```
Agent Status: Connected
```

Pomiń adresy URL

Może być konieczne skonfigurowanie agenta, aby pominąć niektóre adresy URL i zamiast tego zezwolić na bezpośredni dostęp, bez użycia serwera proxy. Obejście adresu URL serwera proxy, jeśli musisz obsługiwać prywatne punkty końcowe. Aby uzyskać więcej informacji, zobacz Pomijanie serwera proxy dla prywatnych punktów końcowych.

Skonfiguruj zaporę dla analizy danych z dzienników

Zaporę można również skonfigurować tak, aby wysyłała dzienniki do usługi Azure Log Analytics. Aby uzyskać szczegółowe informacje, zobacz Monitorowanie usługi Azure Firewall.

Uprzątnij zasoby

Jeśli nie zamierzasz nadal korzystać z tej aplikacji, usuń te zasoby.

Aby usunąć zasoby z witryny Azure Portal:

Wprowadź nazwę grupy zasobów w polu wyszukiwania, wybierz ją z wyników wyszukiwania.
Wybierz pozycję Usuń grupę zasobów.
Potwierdź nazwę grupy zasobów w polu Wpisz nazwę grupy zasobów, a następnie wybierz pozycję Usuń.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-07-03