Azure SQL Database への接続アーキテクチャおよび Azure内部/外部から接続する際のファイアウォール設定に関する注意点について
View Slide
1. Azure SQL Databaseのアーキテクチャ2. Azure SQL Databaseへの接続アーキテクチャ (Azure 外部)- Azure 外部から接続する際のファイアウォール設定に関する注意点について3. Azure SQL Databaseへの接続アーキテクチャ (Azure 内部)- Azure 内部から接続する際のファイアウォール設定に関する注意点について4. 最後に
1. Azure SQL DatabaseのアーキテクチャBasic, Standard, General Purpose の構成 Premium, Business Critical の構成出典: Azure SQL Database と SQL Managed Instance の高可用性コントロール リング※ゲートウェイ などを含む。テナント リング※クラスタ ノードなどを含む。
2. Azure SQL Databaseへの接続アーキテクチャ (Azure 外部)出典: Azure SQL Database 接続問題 (Connectivity) の対処方法 (1 : Azure外環境からの接続)① クライアントから Azure SQL Databaseゲートウェイへのセッションを確立。(TCP1433 ポート)② Azure SQL Database ゲートウェイを経由し、接続先のデータベースが配置されているクラスタ ノードへセッションを確立し、該当のデータベースに接続する。Azure SQL Database Server (*****.database.windows.net) は、 Azure SQLDatabase ゲートウェイに紐づいている。コントロール リング テナント リングクライアントオンプレミス
2. Azure SQL Databaseへの接続アーキテクチャ (Azure 外部)Azure SQL Database Server に Ping出典: Azure SQL Database と Azure Synapse Analytics の接続アーキテクチャAzure SQL Database Server (今回の場合は、東日本リージョンにデプロイした***001.database.windows.net) に対して Ping を実行することで、該当サーバーに紐づいている Azure SQL Database ゲートウェイ IP アドレス を確認することが可能。
2. Azure 外部から接続する際のファイアウォール設定に関する注意点についてAzure SQL Database Server に紐づく ゲートウェイ IP アドレスは変わる可能性がある。出典: Additional Azure SQL Database gateways changes effective October 12, 2020各リージョンのゲートウェイ IP アドレスは、追加/削除される可能性があり、また、Azure SQL Databaseサーバーに紐づく ゲートウェイ IP アドレス が今後も変わらないことが保証されていない。各リージョンのゲートウェイ IP アドレスが追加/削除される場合は、事前にメールやAzureの更新情報などで通知が行われる。■ Azureの更新情報例
2. Azure 外部から接続する際のファイアウォール設定に関する注意点についてオンプレミス側ファイアウォールの送信側(Outbound)を制限している場合・ Azure SQL Database サーバーを配置しているリージョンで使用されている すべての Azure SQLDatabase ゲートウェイ IP アドレス および TCP 1433 ポートをオンプレミス側ファイアウォールの送信側(Outbound)で許可・ Azure SQL Database サーバーを配置しているリージョン上で新しいゲートウェイ IP アドレスが追加された場合は、オンプレミス側のファイアウォールの送信側(Outbound)のルールを追加
3. Azure SQL Databaseへの接続アーキテクチャ (Azure 内部)出典: Azure SQL Database 接続問題 (Connectivity) の対処方法 (2 : Azure内環境からの接続)① クライアントから Azure SQL Databaseゲートウェイへのセッションを確立し、実際にデータベースが配置されているクラスタノード情報を取得。(TCP 1433 ポート)② Azure SQL Database ゲートウェイを経由せず、①で取得したクラスタノードへのセッションを直接確立 (TCP 11000から11999の範囲のポートを使用) し、 該当のデータベースに接続。コントロール リング テナント リングクライアント仮想マシン
3. Azure SQL Databaseへの接続アーキテクチャ (Azure 内部)Azure仮想マシンからAzure SQL Databaseへ接続時のネットワークパケットを取得13.78.61.196 (東日本リージョンのAzure SQL Database ゲートウェイ IP アドレス : TCP1433 ポート) に対してセッションを確立Azure仮想マシンから直接 40.79.192.8 (データベースが配置されているノード : TCP11079) に対してセッションを確立。
3. Azure 内部から接続する際のファイアウォール設定に関する注意点についてAzure仮想マシンに紐づくネットワーク セキュリティ グループ (NSG) でファイアウォールの送信側 (Outbound) を制御している場合の対処方法Azure 仮想マシンに紐づくネットワーク セキュリティ グループ (NSG)の送信側(Outbound)のルールで以下の設定を追加することにより、Azure SQL Database ゲートウェイの IP アドレスが追加/削除されたとしても、影響を及ぼすことなく、Azure SQL Database に接続することが可能・宛先 : 「サービスタグ」※ 東日本リージョンの Azure SQL Databaseの場合「Sql.JapanEast」・ソース : 任意・ポート :[許可するポート]TCP : 1433 (Azure SQL Database ゲートウェイへの接続に使用)TCP : 11000-11999 (クライアントからデータベースが配置されているクラスタノードへの接続時に使用)TCP : 1434, 14000-14999 (DAC(データベース管理者用の診断接続)による接続時に使用)
3. Azure 内部から接続する際のファイアウォール設定に関する注意点についてネットワーク セキュリティ グループ (NSG) 設定例
3. Azure 内部から接続する際のファイアウォール設定に関する注意点についてネットワーク セキュリティ グループ (NSG) 設定例・宛先 : 「サービスタグ」※ 東日本リージョンの Azure SQL Databaseの場合「Sql.JapanEast」・ソース : 任意・ポート :[許可するポート]TCP : 1433(Azure SQL Database ゲートウェイへの接続に使用)TCP : 11000-11999(クライアントからデータベースが配置されているクラスタノードへの接続時に使用)TCP : 1434, 14000-14999(DAC(データベース管理者用の診断接続)による接続時に使用)
4. 最後に今回紹介した Azure SQL Database アーキテクチャについて、以下のブログでもう少し詳細に紹介しています。Azure SQL Database 接続問題 (Connectivity) の対処方法 (1 : Azure外環境からの接続)Azure SQL Database 接続問題 (Connectivity) の対処方法 (2 : Azure内環境からの接続)また、SQL Serverの 基本+α の内容についてもブログにまとめていますので、是非 ご参照ください。 (現在 第1回から11回まで公開中)【第1回】基本から始める SQL Server【システム データベース】
Q&A