Mengonfigurasi aturan aplikasi Azure Firewall dengan SQL FQDN
Anda sekarang dapat mengonfigurasi aturan aplikasi Azure Firewall dengan SQL FQDN. Hal ini memungkinkan Anda membatasi akses dari jaringan virtual Anda hanya ke instans server SQL yang ditentukan.
Dengan SQL FQDNs, Anda dapat memfilter lalu lintas:
- Dari VNet Anda ke Azure SQL Database atau Azure Synapse Analytics. Misalnya: Hanya mengizinkan akses ke sql-server1.database.windows.net.
- Dari lingkungan lokal ke Azure SQL Managed Instance atau SQL IaaS yang berjalan di VNet Anda.
- Dari spoke-to-spoke hingga Azure SQL Managed Instance atau SQL IaaS yang berjalan di VNet Anda.
Pemfilteran SQL FQDN hanya didukung dalam mode proksi (port 1433). Jika menggunakan SQL dalam mode pengalihan default, Anda dapat memfilter akses menggunakan tag layanan SQL sebagai bagian dari aturan jaringan. Jika Anda menggunakan port non-default untuk lalu lintas SQL IaaS, Anda dapat mengonfigurasi port tersebut dalam aturan aplikasi firewall.
Mengonfigurasi menggunakan Azure CLI
Sebarkan Azure Firewall menggunakan Azure CLI.
Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, pastikan mode konektivitas SQL diatur ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.
Catatan
Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan tag layanan SQL dalam aturan jaringan firewall.
Buat kumpulan aturan baru dengan aturan aplikasi menggunakan SQL FQDN untuk memungkinkan akses ke server SQL:
az extension add -n azure-firewall az network firewall application-rule create \ --resource-group Test-FW-RG \ --firewall-name Test-FW01 \ --collection-name sqlRuleCollection \ --priority 1000 \ --action Allow \ --name sqlRule \ --protocols mssql=1433 \ --source-addresses 10.0.0.0/24 \ --target-fqdns sql-serv1.database.windows.net
Mengonfigurasi menggunakan Azure PowerShell
Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, pastikan mode konektivitas SQL diatur ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.
Catatan
Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan tag layanan SQL dalam aturan jaringan firewall.
Buat kumpulan aturan baru dengan aturan aplikasi menggunakan SQL FQDN untuk memungkinkan akses ke server SQL:
$AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG" $sqlRule = @{ Name = "sqlRule" Protocol = "mssql:1433" TargetFqdn = "sql-serv1.database.windows.net" SourceAddress = "10.0.0.0/24" } $rule = New-AzFirewallApplicationRule @sqlRule $sqlRuleCollection = @{ Name = "sqlRuleCollection" Priority = 1000 Rule = $rule ActionType = "Allow" } $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection $Azfw.ApplicationRuleCollections.Add($ruleCollection) Set-AzFirewall -AzureFirewall $AzFw
Mengonfigurasi menggunakan portal Microsoft Azure
Sebarkan Azure Firewall menggunakan Azure CLI.
Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, pastikan mode konektivitas SQL diatur ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.
Catatan
Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan tag layanan SQL dalam aturan jaringan firewall.
Tambahkan aturan aplikasi dengan protokol, port, dan SQL FQDN yang sesuai, lalu pilih Simpan.
Akses SQL dari komputer virtual di VNet yang memfilter lalu lintas melalui firewall.
Validasi bahwa log Azure Firewall menampilkan lalu lintas diizinkan.
Langkah berikutnya
Untuk mempelajari tentang proksi SQL dan mode pengalihan, lihat Arsitektur konektivitas Azure SQL Database.