通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

为Azure SQL 托管实例配置服务终结点策略

applies to:Azure SQL 托管实例

通过在虚拟网络 (VNet) 子网上使用 Azure 存储 服务终结点的 服务终结点策略,您可以筛选流出至 Azure 存储 的虚拟网络流量,并将数据传输限制到特定存储帐户。

主要优点

为Azure SQL 托管实例配置虚拟网络 Azure 存储服务终结点策略具有以下优势:

  • 增强Azure SQL托管实例到Azure存储的流量安全性:终结点策略建立了安全控制,以防止业务关键数据的错误或恶意外泄。 只能将流量限制为符合数据治理要求的存储帐户。

  • 精细控制可访问的存储帐户:服务终结点策略可以在订阅、资源组和单个存储帐户级别允许向存储帐户发送流量。 管理员可以使用服务终结点策略在 Azure 中强制遵守组织的数据安全体系结构。

  • 系统流量不受影响:服务终结点策略永远不会妨碍对Azure SQL 托管实例正常运行所需的存储的访问。 此存储包括备份、数据文件、事务日志文件和其他资产。

服务终结点策略仅控制源自SQL 托管实例子网并在Azure 存储中终止的流量。 它们不会影响其他数据出口方式。 例如,它们不会影响将数据库导出到本地 BACPAC 文件、Azure 数据工厂 集成、数据泄漏到其他云提供程序或其他不直接面向Azure 存储的数据提取机制。 可以使用其他流量控制方式来保护这些路径,例如用户定义的路由、网络安全组和Azure 防火墙。

限制

Azure SQL 托管实例的服务终结点策略具有以下限制:

  • Azure储存服务端点策略在托管实例子网中的所有支持SQL托管实例的Azure区域均可用,除服务端点策略区域可用性中列出的区域外。
  • 只能将此功能用于通过Azure 资源管理器部署模型部署的虚拟网络。
  • 只能在启用了Azure 存储服务终结点的子网中使用此功能。
  • 将服务终结点策略分配到某个服务终结点会将该终结点从区域范围升级到全球范围。 换句话说,发往Azure 存储的所有流量都通过服务终结点,而不考虑存储帐户所在的区域。
  • 启用存储帐户会自动允许访问其 RA-GRS 次级副本(如果存在)。

准备存储清单

在子网上配置服务终结点策略之前,请创建托管实例需要在该子网中访问的存储帐户列表。

以下工作流可能与Azure 存储联系:

记下参与这些或访问存储的任何其他工作流的任何存储帐户的帐户名称、资源组和订阅。

配置策略

首先,创建服务终结点策略,然后将其与SQL 托管实例子网相关联。 根据业务需求修改此部分中的工作流。

备注

  • SQL 托管实例子网要求策略包含 /Services/Azure/ManagedInstance 服务别名(请参阅步骤 5)。

创建服务终结点策略

若要创建服务终结点策略,请执行以下步骤:

  1. 登录到 Azure 门户

  2. 选择+ 创建资源

  3. 在搜索窗格中输入“服务终结点策略”,选择“服务终结点策略”,然后选择“创建” 。

    显示创建服务终结点策略的屏幕截图。

  4. 在“基本信息”页上填写以下值:

    • 订阅:从下拉列表中为您的政策选择订阅。
    • 资源组:选择托管实例所在的资源组,或选择“新建”并填写新资源组的名称。
    • 名称:为策略提供一个名称,例如 mySEP。
    • 位置:选择托管实例所在的虚拟网络的区域。

    显示用于创建服务终结点策略的“基本信息”页的屏幕截图。

  5. 在“策略定义”中,选择“添加别名”并在“添加别名”窗格中输入以下信息 :

    • 服务别名:选择 /Services/Azure/ManagedInstance。
    • 选择“添加”以完成添加服务别名。

    显示向服务终结点策略添加别名的屏幕截图。

  6. 策略定义中,在资源”下选择“+ 添加”,然后在“添加资源”窗格中输入或选择以下信息:

    • 服务:选择 Microsoft.Storage
    • 范围:选择“订阅中的所有帐户”。
    • 订阅:选择包含要允许的存储帐户的订阅。 请参阅之前创建的 Azure 存储帐户库存。
    • 选择“添加”以完成添加资源。
    • 重复此步骤以添加任何其他订阅。

    显示向服务终结点策略添加资源的屏幕截图。

  7. (可选)在 “标记”下的服务终结点策略上配置标记。

  8. 选择“查看 + 创建” 。 验证信息并选择“创建”。 若要进一步进行编辑,请选择“上一步”。

提示

首先,配置策略以允许访问整个订阅服务。 验证配置,确保所有工作流可正常运行。 然后,选择性地将策略重新配置为允许单个存储帐户或允许资源组中的帐户。 为此,请在“范围:”字段中选择“单个帐户”或“资源组中的所有帐户”,并相应地填写其他字段 。

将策略与子网相关联

创建服务终结点策略后,将该策略与SQL 托管实例子网相关联。

若要关联策略,请执行以下步骤:

  1. 在 Azure 门户中的 All services 框中,搜索 virtual networks。 选择“虚拟网络”。

  2. 找到并选择托管实例所在的虚拟网络。

  3. 选择“子网”并选择专用于你的托管实例的子网。 在“子网”窗格中输入以下信息:

    • 服务:选择 Microsoft.Storage。 如果此字段为空,则需要为此子网上的Azure 存储配置服务终结点。
    • 服务终结点策略:选择要应用于SQL 托管实例子网的任何服务终结点策略。

    显示将服务终结点策略与子网关联的屏幕截图。

  4. 选择“保存”以完成配置虚拟网络。

警告

如果此子网上的策略缺少 /Services/Azure/ManagedInstance 别名,您可能会遇到以下错误: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy. Details: Service endpoint policies on subnet are missing definitions 若要解决此错误,请更新子网上的所有策略以包含 /Services/Azure/ManagedInstance 别名。

相关内容

  • Last updated on