Azure Arc で有効になっている SQL Server のプライベート パスを使用して Azure に接続する

この記事では、インターネット パスを経由せずに Azure に接続できるように、Azure Arc インスタンスによって有効になっている SQL Server の通信を構成する方法について説明します。

この設計では、SQL Server がプライベート IP アドレスを使用してサイト間 VPN または ExpressRouteConnection 経由で通信できるように、転送プロキシ サーバーを Azure にデプロイします。 プロキシは、Azure バックボーン ネットワーク経由で Arc URL と通信します。

次の図はこのパターンを表しています。

転送プロキシの場合は、次のいずれかを選択します。

• サービスとしてのプラットフォーム (PaaS) のネットワークセキュリティサービスである Azure Firewall の明示的プロキシ (プレビュー) 機能。

  または

• サード パーティのプロキシ ネットワーク仮想アプライアンス (NVA)。

  この図は、Azure Firewall の明示的なプロキシを示しています。

利用シーン

Azure Arc で有効になっている SQL Server では、次の場合にこのアーキテクチャを使用します。

• SQL Server インスタンスは分離され、保護されます。

• Azure Connected Machine エージェントは、Azure の仮想ネットワーク内でホストされているプライベート IP 経由でのみ、転送プロキシと通信できます。 転送プロキシが Arc 関連の URL にアクセスするために通信する URL とパブリック IP は、インターネット経由ではなく Microsoft バックボーン内にあります。 そのため、トラフィックはパブリック インターネットを経由しません。

• SQL Server インスタンスと転送プロキシの間のトラフィックはセキュリティで保護されている必要があります。 前の図では、EXPRESSRoute は SQL サーバーと転送プロキシの間の接続用に示されていますが、サイト間 VPN を使用して実現することもできます。

• トラフィックは、パブリック ピアリングではなく、ExpressRoute のプライベート ピアリングを経由して通過します。

• プロキシ構成は、OS レベルではなく Arc Connected Machine エージェント内で実行されます。 この構成は、セキュリティ関連のポリシーには影響しない可能性があります。

• Arc 通信はポート 443 を介して暗号化され、ExpressRoute またはサイト間 VPN を使用すると、セキュリティレイヤーが追加されます。

前提条件 - 2 つのサブネットを持つ Azure 仮想ネットワーク

このアーキテクチャには、2 つのサブネットを持つ Azure の仮想ネットワークが必要です。 次の手順では、ExpressRoute ではなくサイト間 VPN を準備します。

1. Azure VPN ゲートウェイの 仮想ネットワーク とサブネットを作成します。
2. Azure Firewall 用に別のサブネットを作成します。

後の手順では、転送プロキシとして Azure Firewall をデプロイします。

SQL Server と Azure の間に VPN を作成する

SQL Server の場所から Azure へのサイト間 VPN を作成します。

1. チュートリアル: Azure portal を使用して VPN ゲートウェイを作成して管理する方法に関するチュートリアルの手順に従います。

2. サイト 2 サイト VPN を作成する前に、ローカル ネットワーク ゲートウェイを作成します。 「チュートリアル: Azure portal でサイト間 VPN 接続を作成する」の手順に従います。

ファイアウォールを作成してプロキシを構成する

1. Firewall Manager と共に Azure Firewall を作成します。
2. 転送プロキシとして機能するように Azure Firewall 明示的プロキシ (プレビュー) 設定を構成します。
3. SQL Server IP (10.2.1.4) を許可する規則を作成します。

Azure Connected Machine エージェントは、その規則を使用して、ファイアウォール経由 https 送信にアクセスします。

Azure Arc を使用して SQL サーバーを接続する

Azure portal から、オンボード スクリプトを生成します。 ここで説明したように、 SQL Server を Azure Arc に接続します。

スクリプトを実行して、正しい構成で Azure Connected Machine エージェントをインストールします。 スクリプトを生成するときにプロキシ設定を構成できます。

この記事では、Arc Connected Machine エージェント拡張機能をインストールした後、プライベート パス プロキシの設定を更新します。

Azure Connected Machine エージェントを構成する

Azure Connected Machine エージェントを構成するには、 azcmagent CLI を使用します。

1. プロキシ URL を設定する

   azcmagent config set proxy.url "http://<ip address>:8443"
   

2. プロキシ URL を確認する

   azcmagent config get proxy.url
   

   コンソールは、現在のプロキシ URL を返します。

3. エージェントが接続されていることを確認します。

   azcmagent show | find | "Agent Status"
   

   コンソールからエージェントの状態が返されます。 エージェントが構成されている場合、コンソールは次を返します。

   Agent Status: Connected
   

URL をバイパスする

プロキシを通過する特定の URL をバイパスし、代わりに直接アクセスを許可するようにエージェントを構成する必要がある場合があります。 プライベートエンドポイントをサポートする必要がある場合は、プロキシのURLをバイパスしてください。 詳細については、 プライベート エンドポイントのプロキシ バイパスに関するセクションを参照してください。

ログ分析用のファイアウォールを構成する

Azure Log Analytics にログを送信するようにファイアウォールを構成することもできます。 詳細については、 Azure Firewall の監視に関するページを参照してください。

リソースをクリーンアップする

このアプリケーションを引き続き使用しない場合は、これらのリソースを削除します。

Azure portal からリソースを削除するには:

1. 検索ボックスにリソース グループの名前を入力し、検索結果からリソース グループを選択します。
2. [リソース グループの削除] を選択します。
3. [リソース グループ名の 入力] でリソース グループ名を確認し、[削除] を選択します。

拡張機能のバージョンをアップグレードする

SQL Server 用 Azure 拡張機能のアップグレードの詳細については、「 拡張機能のアップグレード」を参照してください。

現在の拡張機能のバージョンを取得するには、 リリース ノート (Azure Arc で有効になっている SQL Server) を確認してください。

関連コンテンツ

• プライベート エンドポイントのプロキシ バイパス
• Azure Firewall の明示的なプロキシ (プレビュー)
• Azure Firewall を監視する
• チュートリアル: Azure portal を使用して VPN ゲートウェイを作成および管理する
• チュートリアル: Azure portal でサイト間 VPN 接続を作成する