Configurar políticas de ponto de extremidade de serviço (Visualização) para a Instância Gerenciada SQL do Azure

Aplica-se a:Instância Gerenciada SQL do Azure

Rede Virtual (VNet) As políticas de ponto de extremidade do serviço de Armazenamento do Azure permitem filtrar o tráfego de rede virtual de saída para o Armazenamento do Azure, restringindo as transferências de dados para contas de armazenamento específicas.

A capacidade de configurar as suas políticas de ponto final e associá-las ao SQL Managed Instance está atualmente em pré-visualização.

Principais vantagens

Configurar políticas de ponto de extremidade do serviço de Armazenamento do Azure de rede virtual para sua Instância Gerenciada SQL do Azure fornece os seguintes benefícios:

  • Segurança melhorada para o tráfego da Instância Gerida SQL do Azure para o Armazenamento do Azure: as políticas de ponto de extremidade estabelecem um controlo de segurança que impede a exfiltração incorreta ou maliciosa de dados críticos para os negócios. O tráfego pode ser limitado apenas às contas de armazenamento que estão em conformidade com seus requisitos de governança de dados.

  • Controle granular sobre quais contas de armazenamento podem ser acessadas: as políticas de ponto de extremidade de serviço podem permitir o tráfego para contas de armazenamento em um nível de assinatura, grupo de recursos e conta de armazenamento individual. Os administradores podem usar políticas de ponto de extremidade de serviço para impor a adesão à arquitetura de segurança de dados da organização no Azure.

  • O tráfego do sistema permanece inalterado: as políticas de ponto de extremidade de serviço nunca obstruem o acesso ao armazenamento necessário para que a Instância Gerenciada SQL do Azure funcione. Isso inclui o armazenamento de backups, arquivos de dados, arquivos de log de transações e outros ativos.

Importante

As políticas de ponto de extremidade de serviço controlam apenas o tráfego originado da sub-rede da Instância Gerenciada SQL e terminado no armazenamento do Azure. As políticas não afetam, por exemplo, a exportação do banco de dados para um arquivo BACPAC local, a integração do Azure Data Factory, a coleta de informações de diagnóstico por meio das Configurações de Diagnóstico do Azure ou outros mecanismos de extração de dados que não visam diretamente o Armazenamento do Azure.

Limitações

Habilitar políticas de ponto de extremidade de serviço para sua Instância Gerenciada SQL do Azure tem as seguintes limitações:

  • Durante a visualização, colocar uma política de ponto de extremidade de serviço em uma sub-rede interferirá na capacidade das instâncias dessa sub-rede de executar restaurações point-in-time (PITR) de uma instância em outra sub-rede. No entanto, uma política de ponto de extremidade de serviço não impede que instâncias em outras sub-redes restaurem backups dessa sub-rede.
  • Enquanto estiver na visualização, esse recurso está disponível em todas as regiões do Azure onde a Instância Gerenciada SQL é suportada, exceto para China East 2, China North 2, Central US EUAP, East US 2 EUAP, US Gov Arizona, US Gov Texas, US Gov Virginia e West Central US.
  • A funcionalidade só está disponível para redes virtuais implementadas através do modelo de implementação Azure Resource Manager.
  • O recurso está disponível somente em sub-redes que têm pontos de extremidade de serviço para o Armazenamento do Azure habilitados.
  • A atribuição de uma política de ponto de extremidade de serviço a um ponto de extremidade de serviço atualiza o ponto de extremidade de escopo regional para global. Em outras palavras, todo o tráfego para o Armazenamento do Azure passará pelo ponto de extremidade do serviço, independentemente da região em que a conta de armazenamento reside.
  • Permitir uma conta de armazenamento permitirá automaticamente o acesso ao seu RA-GRS secundário.

Preparar inventário de armazenamento

Antes de começar a configurar políticas de ponto de extremidade de serviço em uma sub-rede, componha uma lista de contas de armazenamento às quais a instância gerenciada deve ter acesso nessa sub-rede.

A seguir está uma lista de fluxos de trabalho que podem entrar em contato com o Armazenamento do Azure:

Observe o nome da conta, o grupo de recursos e a assinatura de qualquer conta de armazenamento que participe desses ou de qualquer outro fluxo de trabalho que acesse o armazenamento.

Configure políticas

Primeiro, você precisará criar sua política de ponto de extremidade de serviço e, em seguida, associá-la à sub-rede da Instância Gerenciada SQL. Modifique o fluxo de trabalho nesta seção para atender às suas necessidades de negócios.

Nota

  • As sub-redes da Instância Gerenciada SQL exigem políticas que contenham o alias de serviço /Services/Azure/ManagedInstance (consulte a etapa 5).
  • As instâncias gerenciadas implantadas em uma sub-rede que já contém políticas de ponto de extremidade de serviço serão atualizadas automaticamente o alias de serviço /Services/Azure/ManagedInstance.

Criar uma política de ponto de extremidade de serviço

Para criar uma política de ponto de extremidade de serviço, siga estas etapas:

  1. Inicie sessão no portal do Azure.

  2. Selecione + Criar um recurso.

  3. No painel de pesquisa, insira a política de ponto de extremidade de serviço, selecione Política de ponto de extremidade de serviço e, em seguida, selecione Criar.

    Create service endpoint policy

  4. Preencha os seguintes valores na página Noções básicas :

    • Assinatura: selecione a assinatura da sua política na lista suspensa.
    • Grupo de recursos: selecione o grupo de recursos onde sua instância gerenciada está localizada ou selecione Criar novo e preencha o nome de um novo grupo de recursos.
    • Nome: forneça um nome para sua política, como mySEP.
    • Local: selecione a região da rede virtual que hospeda a instância gerenciada.

    Create service endpoint policy basics

  5. Em Definições de política, selecione Adicionar um alias e insira as seguintes informações no painel Adicionar um alias:

    • Alias de serviço: Selecione /Services/Azure/ManagedInstance.
    • Selecione Adicionar para concluir a adição do alias de serviço.

    Add an alias to a service endpoint policy

  6. Em Definições de política, selecione + Adicionar em Recursos e insira ou selecione as seguintes informações no painel Adicionar um recurso:

    • Serviço: Selecione Microsoft.Storage.
    • Escopo: selecione Todas as contas na assinatura.
    • Assinatura: selecione uma assinatura que contenha a(s) conta(s) de armazenamento a ser permitida. Consulte o seu inventário de contas de armazenamento do Azure criadas anteriormente.
    • Selecione Adicionar para concluir a adição do recurso.
    • Repita este passo para adicionar subscrições adicionais.

    Add a resource to a service endpoint policy

  7. Opcional: você pode configurar tags na política de ponto de extremidade do serviço em Tags.

  8. Selecione Rever + Criar. Valide as informações e selecione Criar. Para fazer mais edições, selecione Anterior.

Gorjeta

Primeiro, configure políticas para permitir o acesso a assinaturas inteiras. Valide a configuração garantindo que todos os fluxos de trabalho funcionem normalmente. Em seguida, opcionalmente, reconfigure as políticas para permitir contas de armazenamento individuais ou contas em um grupo de recursos. Para fazer isso, selecione Conta única ou Todas as contas no grupo de recursos no campo Escopo: e preencha os outros campos de acordo.

Associar política à sub-rede

Depois que a política de ponto de extremidade de serviço for criada, associe-a à sub-rede da Instância Gerenciada SQL.

Para associar sua política, siga estas etapas:

  1. Na caixa Todos os serviços no portal do Azure, procure redes virtuais. Selecione Redes virtuais.

  2. Localize e selecione a rede virtual que hospeda sua instância gerenciada.

  3. Selecione Sub-redes e escolha a sub-rede dedicada à sua instância gerenciada. Insira as seguintes informações no painel de sub-rede:

    • Serviços: Selecione Microsoft.Storage. Se esse campo estiver vazio, você precisará configurar o ponto de extremidade de serviço para o Armazenamento do Azure nesta sub-rede.
    • Políticas de ponto de extremidade de serviço: selecione as políticas de ponto de extremidade de serviço que você deseja aplicar à sub-rede da Instância Gerenciada SQL.

    Associate a service endpoint policy with a subnet

  4. Selecione Salvar para concluir a configuração da rede virtual.

Aviso

Se as políticas nesta sub-rede não tiverem o alias, poderá ver o /Services/Azure/ManagedInstance seguinte erro: Failed to save subnet 'subnet'. Error: 'Found conflicts with NetworkIntentPolicy.Details: Service endpoint policies on subnet are missing definitions Para resolver isso, atualize todas as políticas na sub-rede para incluir o /Services/Azure/ManagedInstance alias.

Próximos passos