Configurer les règles de NSG Azure SQL Managed Instance pour qu’elles fonctionnent avec le registre confidentiel Azure
S’applique à : Azure SQL Managed Instance
Une fois que vous avez activé le registre confidentiel Azure en tant qu’emplacement de résumé sur votre Azure SQL Managed Instance, vous devez configurer manuellement les règles de réseau virtuel de votre instance pour qu’elles communiquent avec le registre confidentiel Azure.
Dans cet article, vous apprendrez comment :
- Configurez votre groupe de sécurité réseau SQL Managed Instance (NSG) et les règles de table de routage pour autoriser le trafic vers le registre confidentiel Azure.
autorisations
En raison de la sensibilité des données dans une instance managée, la configuration pour activer le point de terminaison public d’Azure SQL Managed Instance nécessite un processus en deux étapes. Cette mesure de sécurité est conforme à la séparation des tâches :
- L’administrateur de SQL Managed Instance doit activer le point de terminaison public sur SQL Managed Instance. L’administrateur de SQL Managed Instance se trouve sur la page de présentation de votre ressource SQL Managed Instance.
- Un administrateur réseau doit autoriser le trafic vers SQL Managed Instance à l’aide d’un NSG. Pour en savoir plus, consultez la liste des permissions du groupe de sécurité réseau.
Activer les règles de groupe de sécurité réseau sortantes pour le registre confidentiel Azure
Nous devons récupérer les adresses IP du registre confidentiel Azure, puis les ajouter aux règles NSG sortantes et à la table de routage de votre SQL Managed Instance.
Obtenir des adresses IP de point de terminaison de registre et de point de terminaison de service d’identité
Dans la page de présentation du registre confidentiel Azure du portail Azure, saisissez le nom d’hôte du point de terminaison du registre. Obtenez l’adresse IP de votre instance du registre confidentiel Azure à l’aide de ping
ou d’un outil réseau similaire.
ping -a <ledgername>.confidential-ledger.azure.com
PING <ledgername>.confidential-ledger.azure.com (1.123.123.123) 56(84) bytes of data.
64 bytes from 1.123.123.123 (1.123.123.123): icmp_seq=1 ttl=105 time=78.7 ms
Procédez de la même manière pour l’instance Identity Service Endpoint
du registre confidentiel Azure.
ping identity.confidential-ledger.core.azure.com
PING part-0042.t-0009.t-msedge.net (13.107.246.70) 56(84) bytes of data.
64 bytes from 13.107.246.70 (13.107.246.70): icmp_seq=1 ttl=52 time=14.9 ms
Ajouter des adresses IP aux règles de groupe de sécurité réseau sortantes
Ces deux adresses IP doivent être ajoutées aux règles de groupe de sécurité réseau sortantes de votre SQL Managed Instance.
Dans le portail Azure, accédez au groupe de sécurité réseau de votre SQL Managed Instance. Le groupe de sécurité réseau est une ressource distincte dans le groupe de ressources de votre SQL Managed Instance.
Accédez au menu Règles de sécurité sortantes.
Ajoutez les deux adresses IP obtenues dans la section précédente en tant que nouvelle règle de trafic sortant :
Sélectionnez l’onglet Règles de sécurité sortantes, puis ajoutez une règle dont la priorité est supérieure à celle de la règle deny_all_inbound en utilisant les paramètres suivants :
Paramètre Valeur suggérée Description Source N’importe quelle adresse IP ou balise de service - Pour les services Azure tels que Power BI, sélectionnez la balise de service Azure Cloud
- Pour votre ordinateur ou machine virtuelle Azure, utilisez l’adresse IP NAT.
Plages de ports source * Conservez * (tout), car les ports sources sont généralement alloués de manière dynamique. Elles sont donc imprévisibles. Destination <1.123.123.123>, <13.107.246.70> Ajouter les adresses IP obtenues dans la section précédente pour le registre confidentiel Azure Plages de ports de destination 3342 Définissez la portée du port de destination sur 3342, qui est le point de terminaison TDS public de l’instance gérée service HTTPS SQL Managed Instance communique avec le registre via HTTPS Action Autoriser Autoriser le trafic sortant de l’instance managée vers le registre Priorité 1 500 Assurez-vous que cette règle présente une priorité plus élevée que la règle deny_all_inbound
Ajouter des adresses IP à la table de routage
Les deux adresses IP du registre confidentiel Azure doivent également être ajoutées à la table de routage :
Dans le portail Azure, accédez à la table de routage de votre SQL Managed Instance. La table de routage est une ressource distincte dans le groupe de ressources de votre SQL Managed Instance.
Accédez au menu Itinéraires sous Paramètres.
Ajoutez les deux adresses IP obtenues dans la section précédente en tant que nouvel itinéraire :
Paramètre Valeur suggérée Description Nom de l’itinéraire Utiliser un nom préférentiel Nom que vous souhaitez utiliser pour cet itinéraire Type de destination Adresses IP Utiliser le menu déroulant et sélectionner Adresses IP Plages d’adresses IP/CIDR de destination 1.123.123.123/32 Dans cet exemple, nous utilisons 1.123.123.123/32
. Créer un autre itinéraire pour ajouter le point de terminaison du service d’identité, qui est13.107.246.70/32
dans cet exempleType de tronçon suivant Internet
Vérifier que le routage est bien configuré
Vous pouvez confirmer que votre SQL Managed Instance est désormais en mesure de communiquer avec le registre confidentiel Azure en exécutant une vérification de base de données. La requête doit signaler que Ledger verification succeeded
.