Azure SQL 网络防火墙和专用终结点

Question

我的项目需要将数据从 Azure 存储传输到 Azure SQL 数据库。我们正在使用 Azure 数据工厂 (ADF) V2 来执行这项流水线工作。

为了安全访问 Azure SQL DB，我首先配置了以下属性。

1. 拒绝公网访问：否
2. 连接策略：默认
3. 允许 Azure 服务和资源访问此服务器：否

通过上述设置，防火墙规则已配置为将一些公共 IP 和虚拟网络子网列入白名单。

当我在虚拟机（子网的一部分已列入白名单）中使用像 SSMS 这样的数据库客户端时，此设置可以正常工作。但是，当我尝试从 ADF 创建链接服务时，它不起作用。由于安全风险，我不想打开此功能“允许 Azure 服务和资源访问此服务器”以允许 ADF 连接到数据库。相反，我创建了一个从 ADF 到 SQL 数据库的专用端点并批准了它，但仍然保持“拒绝公共网络访问”--> 否。

通过上述设置，我遇到了一个问题。即已经成功连接到数据库服务器的虚拟机在为 ADF 启用专用端点后现在没有连接到数据库服务器。

问题：

我可以检查一下这个设置有什么问题吗？根据 MS 文档，

当“拒绝公共网络访问”设置为否（默认）时，客户可以使用公共端点（使用基于 IP 的防火墙规则或使用基于虚拟网络的防火墙规则）或专用端点（通过使用 Azure 专用链接），如网络访问概述中所述。

https://docs.microsoft.com/en-us/azure/azure-sql/database/connectivity-settings

我已经为 ADF 和 VNet 防火墙配置了专用终结点，以便通过 DB 客户端从 VM 访问公共终结点。但是，一次只有一个有效。为了使 VM 客户端连接到数据库，我必须删除 ADF 的专用端点，而要使 ADF 工作，我必须启用专用端点，它会禁用来自 VM 的数据库连接。

Answer 1

为 SQL 启用私有端点后，公共网络访问将停止工作。因此，这就是您无法从 VM 连接的原因。请考虑使用私有端点从您的虚拟机进行连接。

现在，将（ADF 和 VM）子网都添加到 SQL Server >> 防火墙和网络 >> 在添加现有虚拟网络下

在与 VM 具有相同子网的 Azure 数据工厂中创建专用终结点。

因此，可以将 Azure SQL DB 添加为 Azure 数据工厂中的链接服务：

这是我的MyVNET，我在其中创建了Subnet(VM) 和ADFSubnet，它们已添加到SQL DB 现有虚拟网络中，通过它可以连接到ADF 或与VM 连接。

因此，如果您在同一托管虚拟网络中为各自的服务创建 2 个专用端点，您将能够连接。