Mengonfigurasi aturan aplikasi Azure Firewall dengan SQL FQDN

Anda sekarang dapat mengonfigurasi aturan aplikasi Azure Firewall dengan SQL FQDN. Hal ini memungkinkan Anda membatasi akses dari jaringan virtual Anda hanya ke instans server SQL yang ditentukan.

Dengan SQL FQDNs, Anda dapat memfilter lalu lintas:

• Dari VNet Anda ke Azure SQL Database atau Azure Synapse Analytics. Misalnya: Hanya mengizinkan akses ke sql-server1.database.windows.net.
• Dari lingkungan lokal ke Azure SQL Managed Instance atau SQL IaaS yang berjalan di VNet Anda.
• Dari spoke-to-spoke hingga Azure SQL Managed Instance atau SQL IaaS yang berjalan di VNet Anda.

Pemfilteran SQL FQDN hanya didukung dalam mode proksi (port 1433). Jika menggunakan SQL dalam mode pengalihan default, Anda dapat memfilter akses menggunakan tag layanan SQL sebagai bagian dari aturan jaringan. Jika Anda menggunakan port non-default untuk lalu lintas SQL IaaS, Anda dapat mengonfigurasi port tersebut dalam aturan aplikasi firewall.

Mengonfigurasi menggunakan Azure CLI

1. Sebarkan Azure Firewall menggunakan Azure CLI.

2. Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, pastikan mode konektivitas SQL diatur ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.

   Catatan

   Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan tag layanan SQL dalam aturan jaringan firewall.

3. Buat kumpulan aturan baru dengan aturan aplikasi menggunakan SQL FQDN untuk memungkinkan akses ke server SQL:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \ 
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \ 
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Mengonfigurasi menggunakan Azure PowerShell

1. Sebarkan Azure Firewall menggunakan Azure PowerShell.

2. Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, pastikan mode konektivitas SQL diatur ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.

   Catatan

   Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan tag layanan SQL dalam aturan jaringan firewall.

3. Buat kumpulan aturan baru dengan aturan aplikasi menggunakan SQL FQDN untuk memungkinkan akses ke server SQL:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433" 
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection" 
      Priority   = 1000 
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)    
   Set-AzFirewall -AzureFirewall $AzFw    
   

Mengonfigurasi menggunakan portal Microsoft Azure

1. Sebarkan Azure Firewall menggunakan Azure CLI.

2. Jika Anda memfilter lalu lintas ke Azure SQL Database, Azure Synapse Analytics, atau SQL Managed Instance, pastikan mode konektivitas SQL diatur ke Proksi. Untuk mempelajari cara beralih mode konektivitas SQL, lihat Pengaturan Konektivitas Azure SQL.

   Catatan

   Mode proksi dapat menghasilkan lebih banyak latensi dibandingkan dengan pengalihan. Jika Anda ingin terus menggunakan mode pengalihan, yang merupakan default untuk klien yang terhubung dalam Azure, Anda dapat memfilter akses menggunakan tag layanan SQL dalam aturan jaringan firewall.

3. Tambahkan aturan aplikasi dengan protokol, port, dan SQL FQDN yang sesuai, lalu pilih Simpan.

4. Akses SQL dari komputer virtual di VNet yang memfilter lalu lintas melalui firewall.

5. Validasi bahwa log Azure Firewall menampilkan lalu lintas diizinkan.

Langkah berikutnya

Untuk mempelajari tentang proksi SQL dan mode pengalihan, lihat Arsitektur konektivitas Azure SQL Database.