SQL FQDN’lerle Azure Güvenlik Duvarı uygulama kurallarını yapılandırma

Artık SQL FQDN'leri ile Azure Güvenlik Duvarı uygulama kurallarını yapılandırabilirsiniz. Bu, sanal ağlarınızdan erişimi yalnızca belirtilen SQL server örnekleriyle sınırlamanıza olanak tanır.

SQL FQDN'leri ile şu trafiği filtreleyebilirsiniz:

• Sanal ağlarınızdan bir Azure SQL Veritabanı veya Azure Synapse Analytics'e. Örneğin: Yalnızca sql-server1.database.windows.net erişime izin verin.
• Şirket içi ortamdan Azure SQL Yönetilen Örneklerine veya sanal ağlarınızda çalışan SQL IaaS örneklerine giden.
• Uçtan uca Azure SQL Yönetilen Örneklerine veya sanal ağlarınızda çalışan SQL IaaS örneklerine giden.

SQL FQDN filtrelemesi yalnızca proxy modunda desteklenir (bağlantı noktası 1433). SQL'i varsayılan yeniden yönlendirme modunda kullanıyorsanız, ağ kurallarının bir parçası olarak SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz. SQL IaaS trafiği için varsayılanın dışında bağlantı noktaları kullanıyorsanız bu bağlantı noktalarını güvenlik duvarı uygulama kurallarından yapılandırabilirsiniz.

Azure CLI kullanarak yapılandırma

1. Azure CLI kullanarak bir Azure Güvenlik Duvarı dağıtma.

2. trafiği Azure SQL Veritabanı, Azure Synapse Analytics veya SQL Yönetilen Örneği filtrelerseniz SQL bağlantı modunun Proxy olarak ayarlandığından emin olun. SQL bağlantı modunu değiştirmeyi öğrenmek için bkz . Azure SQL Bağlantı Ayarları.

   Not

   SQL proxy modu, yeniden yönlendirmeye kıyasla daha fazla gecikme süresine neden olabilir. Azure'a bağlanan istemciler için varsayılan olan yeniden yönlendirme modunu kullanmaya devam etmek istiyorsanız, güvenlik duvarı ağ kurallarında SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz.

3. SQL sunucusuna erişime izin vermek için SQL FQDN kullanarak uygulama kuralıyla yeni bir kural koleksiyonu oluşturun:

    az extension add -n azure-firewall
   
    az network firewall application-rule create \ 
        --resource-group Test-FW-RG \
        --firewall-name Test-FW01 \ 
        --collection-name sqlRuleCollection \
        --priority 1000 \
        --action Allow \
        --name sqlRule \
        --protocols mssql=1433 \
        --source-addresses 10.0.0.0/24 \
        --target-fqdns sql-serv1.database.windows.net
   

Azure PowerShell kullanarak yapılandırma

1. Azure PowerShell kullanarak bir Azure Güvenlik Duvarı dağıtma.

2. trafiği Azure SQL Veritabanı, Azure Synapse Analytics veya SQL Yönetilen Örneği filtrelerseniz SQL bağlantı modunun Proxy olarak ayarlandığından emin olun. SQL bağlantı modunu değiştirmeyi öğrenmek için bkz . Azure SQL Bağlantı Ayarları.

   Not

   SQL proxy modu, yeniden yönlendirmeye kıyasla daha fazla gecikme süresine neden olabilir. Azure'a bağlanan istemciler için varsayılan olan yeniden yönlendirme modunu kullanmaya devam etmek istiyorsanız, güvenlik duvarı ağ kurallarında SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz.

3. SQL sunucusuna erişime izin vermek için SQL FQDN kullanarak uygulama kuralıyla yeni bir kural koleksiyonu oluşturun:

   $AzFw = Get-AzFirewall -Name "Test-FW01" -ResourceGroupName "Test-FW-RG"
   
   $sqlRule = @{
      Name          = "sqlRule"
      Protocol      = "mssql:1433" 
      TargetFqdn    = "sql-serv1.database.windows.net"
      SourceAddress = "10.0.0.0/24"
   }
   
   $rule = New-AzFirewallApplicationRule @sqlRule
   
   $sqlRuleCollection = @{
      Name       = "sqlRuleCollection" 
      Priority   = 1000 
      Rule       = $rule
      ActionType = "Allow"
   }
   
   $ruleCollection = New-AzFirewallApplicationRuleCollection @sqlRuleCollection
   
   $Azfw.ApplicationRuleCollections.Add($ruleCollection)    
   Set-AzFirewall -AzureFirewall $AzFw    
   

Azure portalını kullanarak yapılandırma

1. Azure CLI kullanarak bir Azure Güvenlik Duvarı dağıtma.

2. trafiği Azure SQL Veritabanı, Azure Synapse Analytics veya SQL Yönetilen Örneği filtrelerseniz SQL bağlantı modunun Proxy olarak ayarlandığından emin olun. SQL bağlantı modunu değiştirmeyi öğrenmek için bkz . Azure SQL Bağlantı Ayarları.

   Not

   SQL proxy modu, yeniden yönlendirmeye kıyasla daha fazla gecikme süresine neden olabilir. Azure'a bağlanan istemciler için varsayılan olan yeniden yönlendirme modunu kullanmaya devam etmek istiyorsanız, güvenlik duvarı ağ kurallarında SQL hizmet etiketini kullanarak erişimi filtreleyebilirsiniz.

3. Uygun protokol, bağlantı noktası ve SQL FQDN ile uygulama kuralını ekleyin ve kaydet'i seçin.

4. Güvenlik duvarı üzerinden trafiği filtreleyen bir sanal ağ içindeki sanal makineden SQL'e erişin.

5. Azure Güvenlik Duvarı günlüklerinin trafiğe izin verildiğini gösterdiğini doğrulayın.

Sonraki adımlar

SQL proxy ve yeniden yönlendirme modları hakkında bilgi edinmek için bkz. Azure SQL Veritabanı bağlantı mimarisi.