Назад | Перейти на главную страницу

Azure SQL Server - брандмауэры и виртуальные сети - Azure игнорирует мое подключение к виртуальной сети

Я пытаюсь подключиться к экземпляру сервера SQL Azure через виртуальную сеть. Я его настроил и подключается нормально. Затем я добавил vnet в брандмауэры и виртуальные сети. Состояние конечной точки - «Включено», состояние - «Готово». Я добавил Microsoft.sql в качестве конечной точки службы.

Однако, когда я пытаюсь подключиться к серверу через SSMS, он полностью игнорирует все это и вместо этого просит меня разрешить мой личный IP-адрес. Я не хочу добавлять IP-адрес для каждого пользователя, которому нужен доступ, и я не понимаю, почему Azure просто игнорирует мое правило виртуальной сети. Это бесит.

Я уже пробовал все это на виртуальной машине SQL, это было еще большим провалом.

У кого-нибудь есть идеи, пожалуйста?

Конечные точки службы не поддерживают трафик, проходящий через VPN-подключение к конечным точкам сети, см. Вот.

Чтобы разрешить доступ с локального компьютера, у вас есть два варианта.

  1. Используйте раздел «IP-адрес клиента», чтобы добавить IP-адреса вашей локальной точки выхода. Обычно в большинстве корпоративных сетей есть только несколько исходящих IP-адресов, но если у вас их много, это, очевидно, может быть болезненным для обслуживания.
  2. Попробуйте использовать частную ссылку вместо конечных точек службы. Частная ссылка предоставляет частный IP-адрес для вашей базы данных SQL в вашей виртуальной сети, и это поддерживает доступ через соединения VPN и Express Route. Вы можете увидеть, как это работает Вот.

В настоящий момент Azure VPN использует раздельное туннелирование. В результате аутентификация с помощью Azure SQL выполняется через VPN. Но фактическое соединение по-прежнему осуществляется через открытый Интернет.

Вы можете добавить частную конечную точку в виртуальную сеть. К сожалению, это позволит получить доступ к Azure SQL Server только любым виртуальным машинам в виртуальной сети.

Однако с помощью экземпляра, управляемого SQL, подключение к серверу SQl через VPN Azure действительно возможно. Разница в том, что управляемый экземпляр намного дороже. Так что я подозреваю, что это Microsoft пытается продать людям более дорогие предложения.

Понятно, что это не очень поможет вам. Но есть еще кое-что, что мы можем сделать, в зависимости от ваших целей.

Моя текущая установка, позволяющая моей компании работать из дома, заключалась в том, чтобы запустить виртуальную машину OpenVPN в виртуальной сети и позволить всем подключиться к ней. Это дает вам 1 IP-адрес для добавления к брандмауэру. И все клиенты поделятся этим адресом.

Сервер openVPN доступен на торговой площадке Azure (и бесплатный - вы просто оплачиваете стоимость вычислений для виртуальной машины). Вам нужно будет получить лицензии от https://openvpn.net/.

Если вы хотите добавить к брандмауэру только один IP-адрес, этого должно быть достаточно.

Если ваша цель - обеспечить сквозное соединение через VPN, я все еще работаю над этим. Я все еще работаю над тем, чтобы частная конечная точка работала через соединение openVPN.

Надеюсь это поможет

Роберто