使用 Azure VPN 客户端连接到 Azure 专用链接/终结点上的 Azure SQL 数据库不起作用

Question

我正在尝试使用 P2S VPN 为远程工作的用户设置 Azure SQL 数据库。他们正在使用一些需要访问数据库的应用程序，例如 SSMS 和 Visual Studio。我们允许他们通过将其 IP 地址列入白名单来进行连接，但我们希望阻止这种情况，并在 Azure 上的 SQL 服务器上使用拒绝公共网络访问选项。

每当我尝试使用 SSMS 进行连接时，都会收到以下消息：

我已按照有关 MS Docs 的文档和教程中概述的步骤进行操作，但我无法让专用端点与数据库一起使用。

我已经创建了虚拟网络网关并将其连接到 Azure Active Directory，我可以看到用户在登录时创建的会话。

我使用地址范围 = 10.1.0.0/16 和子网地址范围 = 10.1.0.0/24 创建了虚拟网络。我已将专用终结点连接附加到 Azure SQL 服务器并将虚拟网络添加到防火墙。

是否需要一些设置才能允许用户从他们的 PC 连接到数据库而不将 IP 地址列入白名单？

Answer 1

方式 1：

您可以直接从虚拟机中使用域名而不是 IP 网络。因此，您需要 Azure 中的一些可以翻译域的服务 以 IP 命名。

必须正确配置您的 DNS 设置以将专用终结点 IP 地址解析为连接字符串的完全限定域名 (FQDN)。

• 对本地工作负载使用 DNS 转发器来解析专用终结点的 FQDN，解析 Azure 中的 Azure 服务公共 DNS 区域。

DNS 转发器 是在虚拟网络上运行的虚拟机 链接到可以代理来自的 DNS 查询的私有 DNS 区域 其他虚拟网络或本地。这是必需的，因为 查询必须来自虚拟网络到 Azure DNS。

.

• 使用虚拟机上的主机文件覆盖 DNS：Azure 在公共 DNS 上创建规范名称 DNS 记录 (CNAME)。这 CNAME 记录将解析重定向到私有域名 (privatelink.database.windows.net)。您可以覆盖分辨率 使用您的私有 IP 地址 端点。见azure-provided-name-resolution.

参考资料：

• Azure services DNS zone configuration 和 on-premises-workloads-using-a-dns-forwarder
• 请参阅 this 以使用专用链接进行连接故障排除
• 查看如何resolve-azure-internal-dns-from-your-on-prem-network

---

方式2：

您可以选择SQL managed instance ，这是另一个 Azure SQL PaaS 产品。它部署在没有公共服务的 VNet 中 端点并使用根证书和客户端证书进行身份验证 天蓝色。

（当一个人不喜欢使用私有端点时，可以这样做：）

• 使用证书配置 P2S VPN 参考： configure-p2s-vpn-using-certificates-and-connect-to-sql-managed-instance-from-on-premise-machine.

其他参考资料：

1. DNS-Client-Configuration-Options
2. DNS-Integration-Scenarios
3. DNS-Scenario-Using-AD