Sanal ağ ve güvenlik duvarının arkasındaki depolama hesabına denetim yazma

Şunlar için geçerlidir: Azure Synapse Analytics Azure SQL Veritabanı

Azure SQL Veritabanı ve Azure Synapse Analytics için denetim, sanal ağ ve güvenlik duvarının arkasındaki bir Azure Depolama hesabına veritabanı olayları yazmayı destekler.

Bu makalede, bu seçenek için Azure SQL Veritabanı ve Azure depolama hesabını yapılandırmanın iki yolu açıklanmaktadır. Birincisi Azure portalını, ikincisi REST'i kullanır.

Background

Azure Sanal Ağ (VNet), Azure'daki özel ağınız için temel yapı taşıdır. Sanal ağ, Azure Sanal Makineler (VM) gibi birçok azure kaynağının birbiriyle, İnternet'le ve şirket içi ağlarla güvenli bir şekilde iletişim kurmasını sağlar. Sanal ağ, kendi veri merkezinizdeki geleneksel bir ağa benzer, ancak azure altyapısının ölçek, kullanılabilirlik ve yalıtım gibi ek avantajlarını da beraberinde getirir.

Sanal ağ kavramları, En iyi yöntemler ve daha fazlası hakkında daha fazla bilgi edinmek için bkz. Azure Sanal Ağ nedir?

Sanal ağ oluşturma hakkında daha fazla bilgi edinmek için bkz . Hızlı Başlangıç: Azure portalını kullanarak sanal ağ oluşturma.

Önkoşullar

Denetimin bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazabilmek için aşağıdaki önkoşullar gereklidir:

  • Genel amaçlı v2 depolama hesabı. Genel amaçlı v1 veya blob depolama hesabınız varsa, genel amaçlı v2 depolama hesabına yükseltin. Daha fazla bilgi için bkz . Depolama hesabı türleri.
  • BlockBlobStorage ile premium depolama desteklenir
  • Depolama hesabının mantıksal SQL sunucusuyla aynı kiracıda ve aynı konumda olması gerekir (farklı aboneliklerde olmak sorun değildir).
  • Azure Depolama hesabı için gerekir Allow trusted Microsoft services to access this storage account. Bunu Depolama Hesabı Güvenlik Duvarları ve Sanal ağlarda ayarlayın.
  • Seçili depolama hesabı üzerinde izniniz olmalıdır Microsoft.Authorization/roleAssignments/write . Daha fazla bilgi için bkz. Azure yerleşik rolleri.

Not

Depolama hesabına yönelik denetim bir sunucuda / db'de zaten etkinleştirildiğinde ve hedef depolama hesabı bir güvenlik duvarının arkasına taşınırsa depolama hesabına yazma erişimini kaybederiz ve denetim günlükleri buna yazılmayı durdurur. Denetim çalışması yapmak için denetim ayarlarını portaldan yeniden kaydetmemiz gerekir.

Azure portalında yapılandırma

Aboneliğinizle Azure portalına bağlanın. Kaynak grubuna ve sunucuya gidin.

  1. Güvenlik başlığı altında Denetim'e tıklayın. Açık'ı seçin.

  2. Depolama’yı seçin. Günlüklerin kaydedileceği depolama hesabını seçin. Depolama hesabının Önkoşullar bölümünde listelenen gereksinimlere uyması gerekir.

  3. Depolama ayrıntılarını açma

Not

Seçilen Depolama hesabı sanal ağın arkasındaysa aşağıdaki iletiyi görürsünüz:

You have selected a storage account that is behind a firewall or in a virtual network. Using this storage requires to enable 'Allow trusted Microsoft services to access this storage account' on the storage account and creates a server managed identity with 'storage blob data contributor' RBAC.

Bu iletiyi görmüyorsanız depolama hesabı bir sanal ağın arkasında değildir.

  1. Bekletme dönemi için gün sayısını seçin. Daha sonra, Tamam'a tıklayın. Saklama süresinden eski günlükler silinir.

  2. Denetim ayarlarınızda Kaydet'i seçin.

Denetimi, bir sanal ağın veya güvenlik duvarının arkasındaki bir depolama hesabına yazacak şekilde başarıyla yapılandırmışsınız.

REST komutları ile yapılandırma

Azure portalını kullanmaya alternatif olarak, rest komutlarını kullanarak denetimi sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz.

Bu bölümdeki örnek betikler çalıştırmadan önce betiği güncelleştirmenizi gerektirir. Betiklerde aşağıdaki değerleri değiştirin:

Örnek değer Örnek açıklama
<subscriptionId> Azure abonelik kimliği
<resource group> Kaynak grubu
<logical SQL Server> Sunucu adı
<administrator login> Yönetici hesabı
<complex password> Yönetici hesabı için karmaşık parola

SQL Denetimi'nin sanal ağın veya Güvenlik Duvarı'nın arkasındaki depolama hesabına olay yazacak şekilde yapılandırılması için:

  1. Sunucunuzu Microsoft Entra Id (eski adıyla Azure Active Directory) ile kaydedin. PowerShell veya REST API kullanın.

    PowerShell

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId <subscriptionId>
    Set-AzSqlServer -ResourceGroupName <your resource group> -ServerName <azure server name> -AssignIdentity
    

    REST API:

    Örnek isteği

    PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>?api-version=2015-05-01-preview
    

    Request body

    {
    "identity": {
               "type": "SystemAssigned",
               },
    "properties": {
      "fullyQualifiedDomainName": "<azure server name>.database.windows.net",
      "administratorLogin": "<administrator login>",
      "administratorLoginPassword": "<complex password>",
      "version": "12.0",
      "state": "Ready"
      }
    }
    
  2. Önceki adımda Microsoft Entra Id'ye kaydettiğiniz veritabanını barındıran sunucuya Depolama Blob Verileri Katkıda Bulunanı rolünü atayın.

    Ayrıntılı adımlar için bkz. Azure portalı kullanarak Azure rolleri atama.

    Not

    Bu adımı yalnızca Sahip ayrıcalığına sahip üyeler gerçekleştirebilir. Çeşitli Azure yerleşik rolleri için bkz . Azure yerleşik rolleri.

  3. StorageAccountAccessKey belirtmeden sunucunun blob denetim ilkesini yapılandırın:

    Örnek isteği

      PUT https://management.azure.com/subscriptions/<subscription ID>/resourceGroups/<resource group>/providers/Microsoft.Sql/servers/<azure server name>/auditingSettings/default?api-version=2017-03-01-preview
    

    Request body

    {
      "properties": {
       "state": "Enabled",
       "storageEndpoint": "https://<storage account>.blob.core.windows.net"
      }
    }
    

Azure PowerShell’i kullanma

Azure Resource Manager şablonu kullanma

Denetimi, aşağıdaki örnekte gösterildiği gibi Azure Resource Manager şablonunu kullanarak sanal ağ ve güvenlik duvarının arkasındaki bir depolama hesabında veritabanı olayları yazacak şekilde yapılandırabilirsiniz:

Önemli

Depolama hesabını sanal ağ ve güvenlik duvarının arkasında kullanmak için isStorageBehindVnet parametresini true olarak ayarlamanız gerekir

Not

Bağlantılı örnek bir dış genel depodadır ve garanti olmadan 'olduğu gibi' sağlanır ve herhangi bir Microsoft destek programı/hizmeti altında desteklenmez.

Sonraki adımlar