教程:通过 Azure 门户使用 Azure 专用终结点连接到 Azure SQL 服务器
Azure 专用终结点是 Azure 中专用链接的构建基块。 它使 Azure 资源(例如虚拟机 (VM))能够以私密且安全的方式来与 Azure SQL 服务器等专用链接资源通信。
本教程介绍如何执行下列操作:
- 创建虚拟网络和 Bastion 主机。
- 创建虚拟机。
- 创建 Azure SQL 服务器和专用终结点。
- 测试到 SQL 服务器专用终结点的连接。
如果没有 Azure 订阅,请在开始前创建一个试用版订阅。
先决条件
- Azure 订阅
登录 Azure
登录 Azure 门户。
创建虚拟网络和 Azure Bastion 主机
以下过程创建包含资源子网、Azure Bastion 子网和 Bastion 主机的虚拟网络:
在门户中,搜索并选择“虚拟网络”。
在“虚拟网络”页面上,选择“+ 创建”。
在创建虚拟网络的基本信息选项卡上输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“新建”。
输入 test-rg 作为名称。
选择“确定”。实例详细信息 名称 输入“vnet-1”。 区域 选择“(亚太)中国东部 2”。 选择“下一步”,转到“安全性”选项卡。
在“Azure Bastion”部分,选择“启用 Bastion”。
Bastion 使用浏览器通过安全外壳 (SSH) 或远程桌面协议 (RDP),通过使用其专用 IP 地址连接虚拟网络中的虚拟机。 虚拟机不需要公共 IP 地址、客户端软件或特殊配置。 有关详细信息,请参阅什么是 Azure Bastion?。
在“Azure Bastion”中,输入或选择以下信息:
设置 值 Azure Bastion 主机名 输入“堡垒”。 Azure Bastion 公共 IP 地址 选择“创建公共 IP 地址”。
在“名称”中输入 public-ip-bastion。
选择“确定”。选择下一步,转到IP 地址选项卡。
在“子网”的地址空间框中,选择“默认”子网。
在编辑子网中,输入或选择以下信息:
设置 值 子网详细信息 子网模板 保留默认值“默认”。 名称 输入“subnet-1”。 开始地址 保留默认值“10.0.0.0”。 子网大小 保留默认值“/24 (256 个地址)”。 选择 添加 。
在窗口底部选择“查看 + 创建”。 验证通过后,选择“创建”。
创建测试虚拟机
以下过程会在虚拟网络中创建一个名为 vm-1 的测试虚拟机 (VM)。
在门户中,搜索并选择“虚拟机”。
在“虚拟机”中,选择“+ 创建”。
在“创建虚拟机”的“基本信息”选项卡上,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“test-rg”。 实例详细信息 虚拟机名称 输入“vm-1”。 区域 选择“(亚太)中国东部 2”。 可用性选项 选择“无需基础结构冗余”。 安全类型 保留默认值标准。 映像 选择“Ubuntu Server 22.04 LTS - Gen2”。 大小 选择一个大小。 管理员帐户 身份验证类型 选择密码。 用户名 输入“azureuser”。 Password 输入密码。 确认密码 重新输入密码。 入站端口规则 公共入站端口 选择“无”。 选择页面顶部的“网络”选项卡。
在“网络”选项卡中,输入或选择以下信息:
设置 值 网络接口 虚拟网络 选择“vnet-1”。 子网 选择“subnet-1 (10.0.0.0/24)”。 公共 IP 选择无。 NIC 网络安全组 选择“高级”。 配置网络安全组 选择“新建”。
在“名称”中输入“nsg-1”。
将其余字段保留默认设置,然后选择“确定”。将其余设置保留为默认值,然后选择“查看 + 创建”。
检查设置,然后选择“创建”。
注意
虚拟网络中具有堡垒主机的虚拟机不需要公共 IP 地址。 Bastion 提供公共 IP,虚拟机使用专用 IP 在网络中进行通信。 可以从堡垒托管的虚拟网络的任何虚拟机中删除公共 IP。 有关详细信息,请参阅 将公共 IP 地址与 Azure VM 取消关联。
注意
Azure 会为未分配公共 IP 地址的 VM 或位于内部基本 Azure 负载均衡器的后端池中的 VM 提供默认出站访问 IP。 默认出站访问 IP 机制会提供不可配置的出站 IP 地址。
发生以下事件之一时,将禁用默认出站访问 IP:
- 将公共 IP 地址分配给 VM。
- 虚拟机被放置在标准负载平衡器的后端池中,有无出站规则均可。
- 向 VM 的子网分配了 Azure NAT 网关资源。
在灵活业务流程模式下通过使用虚拟机规模集创建的 VM 没有默认的出站访问权限。
有关 Azure 中的出站连接的详细信息,请参阅 Azure 中的默认出站访问权限和使用用于出站连接的源网络地址转换 (SNAT)。
创建 Azure SQL 服务器和专用终结点
本部分将在 Azure 中创建一个 SQL 服务器。
在门户顶部的搜索框中,输入“SQL”。 在搜索结果中选择“SQL 数据库”。
在SQL 数据库中,选择“+ 创建”。
在“创建 SQL 数据库”的“基本信息”选项卡中,输入或选择以下信息:
设置 值 项目详细信息 订阅 选择订阅。 资源组 选择“test-rg”。 数据库详细信息 数据库名称 输入“sql-db”。 服务器 选择“新建”。
在“服务器名称”中输入 sql-server-1(服务器名称必须唯一,请将 sql-server-1 替换为唯一值)。
在“位置”中,选择“(亚太)中国东部 2”。
选择“使用 SQL 身份验证”。
输入服务器管理员登录名和密码。
选择“确定”。是否要使用 SQL 弹性池? 请选择“否”。 备份存储冗余 备份存储冗余 选择“本地冗余备份存储”。 在完成时选择“下一步: 网络”。
在“创建 SQL 数据库”的“网络”选项卡中,输入或选择以下信息:
设置 值 网络连接 连接方法 选择“专用终结点”。 选择“查看 + 创建” 。
选择“创建”。
成功创建 SQL 数据库后,可执行以下步骤为 SQL 数据库创建专用终结点:
在 Azure 门户顶部的搜索框中,输入“专用终结点”并在服务列表中选择“专用终结点”。
在“专用链接中心 | 专用终结点”页中选择“+ 创建”。
在“创建专用终结点”中,输入或选择以下信息:
设置 值 订阅 选择订阅。 资源组 选择“test-rg”。 名称 输入“private-endpoint”。 区域 选择“(亚太)中国东部 2”。 选择“下一步: 资源”,然后在“资源”选项卡中输入或选择此信息。
设置 值 连接方法 选择“连接到我的目录中的 Azure 资源”。 订阅 选择订阅。 资源类型 选择“Microsoft.Sql/servers”。 资源 选择在前面步骤中创建的 SQL 数据库。 目标子资源 选择“sqlServer”。 选择“下一步: 虚拟网络”,然后在“虚拟网络”选项卡中输入或选择此信息。
设置 值 虚拟网络 选择“vnet-1”。 子网 选择 subnet-1。 专用 DNS 集成 与专用 DNS 区域集成 请选择是。 专用 DNS 区域 保留默认值“privatelink.database.chinacloudapi.cn”。 选择创建。
重要
添加专用终结点连接时,默认情况下不会阻止到 Azure SQL 服务器的公共路由。 默认情况下,“防火墙和虚拟网络”边栏选项卡下的“拒绝公用网络访问”设置处于未选中状态。 若要禁用公用网络访问,请确保选中此项。
禁用对 Azure SQL 逻辑服务器的公共访问
此场景假设要禁用对 Azure SQL 服务器的所有公共访问,并且仅允许来自虚拟网络的连接。
在门户顶部的搜索框中,输入“SQL 服务器”。 在搜索结果中选择“SQL 服务器”。
选择 sql-server-1。
在“网络”页上,选择“公共访问”选项卡,然后在“公用网络访问”中选择“禁用”。
选择“保存”。
测试到专用终结点的连接
本部分将使用你在前面步骤中创建的虚拟机通过专用终结点连接到 SQL 服务器。
在门户顶部的搜索框中,输入“虚拟机”。 在搜索结果中,选择“虚拟机”。
选择 vm-1。
在“操作”中,选择“Bastion”。
输入虚拟机的用户名和密码。
选择“连接” 。
若要验证专用终结点的名称解析,请在终端窗口中输入以下命令:
nslookup server-name.database.chinacloudapi.cn
将收到类似于以下示例的消息。 返回的 IP 地址是专用终结点的专用 IP 地址。
Server: 127.0.0.53 Address: 127.0.0.53#53 Non-authoritative answer: sql-server-8675.database.chinacloudapi.cncanonical name = sql-server-8675.privatelink.database.chinacloudapi.cn. Name:sql-server-8675.privatelink.database.chinacloudapi.cn Address: 10.1.0.4
通过在 Linux 上安装 SQL Server 命令行工具 sqlcmd 和 bcp 安装 SQL Server 命令行工具。 安装完成后,继续执行后续步骤。
使用以下命令连接到在前面步骤中创建的 SQL Server。
将 ServerAdmin<> 替换为在 SQL Server 创建期间输入的管理员用户名。
将 admin-password<> 替换为在 SQL Server 创建期间输入的管理员密码。
将 sql-server-1 替换为 SQL Server 的名称。
sqlcmd -S server-name.database.chinacloudapi.cn -U '<server-admin>' -P '<admin-password>'
成功登录后,会显示 SQL 命令提示符。 输入 exit 可退出 sqlcmd 工具 。
清理资源
使用创建的资源之后,可以删除资源组及其所有资源:
在 Azure 门户中,搜索并选择“资源组”。
在“资源组”页上,选择“test-rg”资源组。
在“test-rg”页上,选择“删除资源组”。
在“输入资源组名称以确认删除”中输入“test-rg”,然后选择“删除”。
后续步骤
在本教程中,你已了解如何创建:
虚拟网络和堡垒主机。
虚拟机。
具有专用终结点的 Azure SQL 服务器。
你使用虚拟机通过专用终结点以私密且安全的方式测试了到 SQL 服务器的连接。
对于下一步,你可能还会对“与 Azure SQL 数据库建立专用连接的 Web 应用”体系结构场景感兴趣,该场景将虚拟网络以外的 Web 应用程序连接到数据库的专用终结点。