Azure VPNゲートウェイ経由でAzure SQL Serverに接続するにはどうすればよいですか?
テストデータベースを作成したエラスティックプールを使用してAzure SQL Serverをセットアップしました。
Azure仮想ネットワークとポイントツーサイトVPNもセットアップしました。仮想ネットワークには2つのサブネットがあります。1つはGatewaySubnet用、もう1つはWindows仮想マシンを配置したサブネットです。
VMへのリモートデスクトップアクセスを正常に構成し、VPNに接続しているときにサーバーの内部IPを使用してのみリモートデスクトップに接続できることを確認しました(RDPアクセスも許可していません)外部IP経由-しかし、それは私の質問には関係ありません)。
SQL Serverへのアクセスを可能な限り制限および制御したいと思います。 「Azureサービスへのアクセスを許可する」を「オフ」に設定しました。また、SQL Serverのファイアウォール設定に仮想ネットワークの両方のサブネットを追加し、「Microsoft.Sql」エンドポイントを有効にしました。
仮想マシンにインストールされているSQL Server Management StudioのコピーからSQL Serverに接続できることを確認しました。
ただし、VPN経由で接続している場合でも、デスクトップマシンからSQL Server Management Studioを使用して接続できません。ファイアウォールに直接クライアントIPを追加せずにこれを実行できるようにしたいのですが。サーバーにアクセスする必要がある多くのリモート開発者(すべて動的IPを使用)がいるため、これらのファイアウォールルールを管理するオーバーヘッドは必要ありません。私はむしろ彼らにVPNクライアントを与えたいだけです。
前もって感謝します...
この問題(2018年3月3日)に関するAzureサポートからの返答を受け取りましたが、私が達成しようとしていることは現在不可能であることが確認されました。
これは、VPNゲートウェイを使用するよりも回避策です。
VMでNATを使用してVPNサーバーをセットアップし、VM Azure SQLでIPアドレスを許可すると、開発者はVPNに接続しますVM上のサーバー。
NATは、Azure SQLをだましてクライアントがVMであると見なします。
マイクロソフトは、そのための新機能を9月にリリースしました。
ドキュメントをご覧ください。
https://docs.Microsoft.com/en-us/Azure/sql-database/sql-database-vnet-service-endpoint-rule-overview
Azure SQLはゲートウェイを使用して、クライアントが接続するクラスターを特定します。 https://docs.Microsoft.com/en-us/Azure/sql-database/sql-database-connectivity-architecture 。
ゲートウェイには固定IPアドレスがあるため、VPNインターフェイスに特定のSQL gwの静的ルートを追加しただけです。
たとえば、VPNから192.168.1.0/24のIPアドレス範囲を取得し、AustraliaEastリージョンのSQLに接続する必要がある場合は、次のコマンドを実行します。
add route 191.238.66.109 mask 255.255.255.255 192.168.1.1
add route 13.75.149.87 mask 255.255.255.255 192.168.1.1
同じことは、PowerShellでAdd-VpnConnectionRouteを使用して行うことができます。静的ルートが追加されます。
現在、AustraliaEastおよびSouthEastAsia地域で働いています。