Conectar-se ao Azure com um caminho privado para SQL Server habilitado pelo Azure Arc

Este artigo descreve como configurar a comunicação para um SQL Server habilitado pela instância do Azure Arc para que ele se conecte ao Azure sem passar por caminhos de Internet.

Esse design implanta servidores proxy avançados no Azure para permitir que o SQL Server se comunique por meio de uma VPN site a site ou ExpressRouteConnection com endereços IP privados. Os proxies se comunicam com URLs do Arc pela rede principal do Azure.

O diagrama a seguir representa esse padrão.

Para o proxy de encaminhamento, escolha um dos dois:

• Recurso de proxy explícito do Firewall do Azure (versão preliminar), que é um serviço de segurança de rede PaaS ( Plataforma como Serviço).

  Ou

• Um proxy de terceiros NVA (Network Virtual Appliance).

  O diagrama mostra o proxy explícito do Firewall do Azure.

Caso de uso

Use essa arquitetura para o SQL Server habilitado pelo Azure Arc quando:

• A instância do SQL Server é isolada e protegida.

• O Azure Connected Machine Agent só pode se comunicar com um proxy avançado por meio de um IP privado hospedado em sua Rede Virtual no Azure. As URLs e os IPs públicos com os quais o proxy de encaminhamento se comunica, para acessar URLs relacionadas ao Arc, estão dentro do backbone da Microsoft, não pela Internet. Portanto, o tráfego não passa pela Internet pública.

• O tráfego entre a instância do SQL Server e o proxy de encaminhamento deve ser seguro. No diagrama anterior, o ExpressRoute é descrito para a conectividade entre o servidor SQL e o proxy de encaminhamento, mas também pode ser obtido usando uma VPN site a site.

• O tráfego atravessa o emparelhamento privado do ExpressRoute em vez do emparelhamento público.

• A configuração de proxy é executada no agente do Arc Connected Machine e não no nível do sistema operacional. Essa configuração pode não afetar suas políticas relacionadas à segurança.

• A comunicação Arc é criptografada sobre a porta 443, e empregar o ExpressRoute ou VPN de site a site adiciona uma camada adicional de segurança.

Pré-requisitos – uma rede virtual do Azure com duas sub-redes

Essa arquitetura requer uma rede virtual no Azure com duas sub-redes. As etapas a seguir preparam para VPN site a site em vez de ExpressRoute.

1. Crie uma rede virtual e uma sub-rede para o gateway de VPN do Azure.
2. Crie uma sub-rede separada para o Firewall do Azure.

Uma etapa posterior implanta o Azure Firewall como um proxy de encaminhamento.

Criar uma VPN entre o SQL Server e o Azure

Crie uma VPN site a site do local do SQL Server para o Azure.

1. Siga as etapas no Tutorial: Criar e gerenciar um gateway de VPN usando o portal do Azure para criar o Gateway de VPN.

2. Crie um Gateway de Rede Local antes de criar uma VPN Site-to-Site. Siga as etapas no Tutorial: Criar uma conexão VPN site a site no portal do Azure.

Criar firewall e configurar o proxy

1. Crie um Firewall do Azure junto com o Gerenciador de Firewall.
2. Configure a definição de proxy explícito (versão preliminar) do Firewall do Azure para atuar como proxy de encaminhamento.
3. Crie uma regra para permitir o IP do SQL Server (10.2.1.4).

O Azure Connected Machine Agent usa essa regra para acessar o https de saída pelo firewall.

Conectar o SQL Server usando o Azure Arc

No portal do Azure, gere um script de integração. Conforme explicado aqui, conecte o SQL Server ao Azure Arc.

Execute o script para instalar o agente do Azure Connected Machine com as configurações corretas. Você pode definir as configurações de proxy ao gerar seu script.

Neste artigo, atualizamos as configurações de proxy de caminho privado depois de instalarmos a extensão do agente do Arc Connected Machine.

Configurar o agente do Azure Connected Machine

Para configurar o agente Azure Connected Machine, use azcmagent CLI:

1. Definir o URL do proxy

   azcmagent config set proxy.url "http://<ip address>:8443"
   

2. Verificar a URL do proxy

   azcmagent config get proxy.url
   

   O console retorna a URL do proxy atual.

3. Verifique se o agente está conectado.

   azcmagent show | find | "Agent Status"
   

   O console retorna o status do agente. Se o agente estiver configurado, o console retornará:

   Agent Status: Connected
   

Ignorar URLs

Talvez seja necessário configurar o agente para ignorar determinadas URLs de passar pelo proxy e, em vez disso, permitir acesso direto. Ignore URL de proxy se você precisar oferecer suporte a pontos de extremidade privados. Para obter informações, consulte Ignorar o proxy para pontos de extremidade privados.

Configurar o firewall para análise de logs

Você também pode configurar o firewall para enviar seus logs para o Azure Log Analytics. Para obter detalhes, examine Monitorar o Firewall do Azure.

Limpar os recursos

Se você não quiser continuar a usar este aplicativo, exclua esses recursos.

Para excluir os recursos do portal do Azure:

1. Insira o nome do grupo de recursos na caixa de pesquisa, selecione-o nos resultados da pesquisa.
2. Selecione Excluir grupo de recursos.
3. Confirme o nome do grupo de recursos em Digitar o nome do grupo de recursos e selecione Excluir.

Conteúdo relacionado

• Bypass de proxy para endpoints privados
• Proxy Explícito do Firewall do Azure (versão preliminar)
• Monitoramento do Firewall do Azure
• Tutorial: Criar e gerenciar um gateway de VPN usando o portal do Azure
• Tutorial: criar uma conexão VPN site a site no portal do Azure