Conectar-se ao Azure com um caminho privado para o SQL Server habilitado pelo Azure Arc

Este artigo descreve como configurar a comunicação para um SQL Server habilitado pela instância do Azure Arc para que ele se conecte ao Azure sem passar por caminhos da Internet.

Este design implanta proxies diretos no Azure para permitir que o SQL Server se comunique por meio de uma VPN site a site ou de uma conexão ExpressRoute com endereços IP privados. Os proxies se comunicam com URLs do Arc pela rede de backbone do Azure.

O diagrama a seguir representa esse padrão.

Para o proxy de encaminhamento, escolha uma das seguintes opções:

• Recurso de proxy explícito (versão prévia) do Firewall do Azure, um serviço de segurança de rede PaaS (Plataforma como um Serviço).

  Ou

• Um proxy de terceiros Network Virtual Appliance (NVA).

  O diagrama mostra o proxy explícito do Firewall do Azure.

Caso de uso

Use esta arquitetura para o SQL Server habilitado pelo Azure Arc quando:

• A instância do SQL Server é isolada e protegida.

• O agente de Máquina Conectada do Azure apenas pode comunicar-se com um proxy direto através de um IP privado hospedado na sua Rede Virtual Azure. As URLs e IPs públicos com os quais o proxy de encaminhamento se comunica, para acessar URLs relacionadas ao Arc, estão dentro do backbone da Microsoft, não pela Internet. Portanto, o tráfego não passa pela internet pública.

• O tráfego entre a instância do SQL Server e o proxy de encaminhamento deve ser seguro. No diagrama anterior, o ExpressRoute é mostrado como uma opção para conectividade entre o servidor SQL e o proxy de encaminhamento, mas também pode ser alcançada usando uma VPN site-to-site.

• O tráfego atravessa o emparelhamento privado da Rota Expressa, em vez do emparelhamento público.

• A configuração do proxy é realizada dentro do agente Arc Connected Machine e não no nível do sistema operacional. Essa configuração pode não afetar suas políticas relacionadas à segurança.

• A comunicação Arc é criptografada pela porta 443, e empregar ExpressRoute ou VPN site a site adiciona uma camada adicional de segurança.

Pré-requisito - Uma rede virtual do Azure com duas sub-redes

Esta arquitetura requer uma rede virtual no Azure com duas sub-redes. As etapas a seguir preparam a VPN site a site em vez da Rota Expressa.

1. Crie uma rede virtual e uma sub-rede para o gateway de VPN do Azure.
2. Crie uma sub-rede separada para o Firewall do Azure.

Uma etapa posterior implanta o Firewall do Azure como um proxy de encaminhamento.

Criar uma VPN entre o SQL Server e o Azure

Crie uma VPN de site a site do seu local SQL Server para o Azure.

1. Siga as etapas em Tutorial: Criar e gerenciar um gateway VPN usando o portal do Azure para criar o Gateway de VPN.

2. Crie um Gateway de Rede Local antes de criar uma VPN de Site para Site. Siga as etapas em Tutorial: Criar uma conexão VPN site a site no portal do Azure.

Criar firewall e configurar o proxy

1. Crie um Firewall do Azure junto com o Gerenciador de Firewall.
2. Configure o proxy explícito do Firewall do Azure (visualização) para atuar como proxy de encaminhamento.
3. Crie uma regra para permitir o IP do SQL Server (10.2.1.4).

O agente do Azure Connected Machine usa essa regra para acessar tráfico de saída por meio do firewall.

Conectar o SQL Server usando o Azure Arc

No portal do Azure, gere um script de integração. Conforme explicado aqui, conecte seu SQL Server ao Azure Arc.

Execute o script para instalar o agente do Azure Connected Machine com as configurações corretas. Você pode definir as configurações de proxy ao gerar seu script.

Neste artigo, atualizamos as configurações de proxy de caminho privado depois de instalarmos a extensão do agente Arc Connected Machine.

Configurar o agente do Azure Connected Machine

Para configurar o agente de Máquina Conectada do Azure, use azcmagent CLI:

1. Definir o URL do proxy

   azcmagent config set proxy.url "http://<ip address>:8443"
   

2. Verificar URL do proxy

   azcmagent config get proxy.url
   

   O console retorna a URL de proxy atual.

3. Verifique se o agente está conectado.

   azcmagent show | find | "Agent Status"
   

   O console retorna o status do agente. Se o agente estiver configurado, o console retornará:

   Agent Status: Connected
   

Ignorar URLs

Talvez seja necessário configurar o agente para ignorar que determinadas URLs passem pelo proxy e, em vez disso, permitir acesso direto. Fazer bypass da URL de proxy se precisar suportar endpoints privados. Para obter mais informações, consulte Desvio de Proxy para Pontos de Extremidade Privados.

Configurar firewall para análise de log

Você também pode configurar o firewall para enviar seus logs para o Azure Log Analytics. Para obter detalhes, consulte Monitor Azure Firewall.

Limpeza de recursos

Se você não vai continuar a usar este aplicativo, exclua esses recursos.

Para excluir os recursos do portal do Azure:

1. Digite o nome do seu grupo de recursos na caixa de pesquisa, selecione-o nos resultados da pesquisa.
2. Selecione Eliminar grupo de recursos.
3. Confirme o nome do grupo de recursos em Digite o nome do grupo de recursos e selecione Excluir.

Conteúdo relacionado

• Exclusão de proxy para pontos de extremidade privados
• Proxy explícito do Firewall do Azure (visualização)
• Monitorar o Firewall do Azure
• Tutorial: Criar e gerenciar um gateway VPN usando o portal do Azure
• Tutorial: Criar uma conexão VPN site a site no portal do Azure