通过 VPN 连接到 Azure SQL答案

【问题标题】：Connect to Azure SQL over VPN通过 VPN 连接到 Azure SQL
【发布时间】：2019-12-14 01:27:43
【问题描述】：

我的 Azure 云有 VPN 连接。当我连接时，我可以看到我的大部分网络设备，例如虚拟机。但是，我看不到 Azure SQL 数据库。我联系了支持人员，他们解释说这不受支持，并且如果我打开某些 ips 的端口，我只能访问云之外的 Azure SQL。对我来说，这似乎是一个重大的安全问题和不便，因为支持人员可能不时从不同的位置和不同的 ip 进行连接。我想知道其他人是如何解决这个问题的。

【问题讨论】：

您对我的回复有任何疑问吗？
嗨@NancyXiong 感谢您的回答。它没有解决我的问题，我们结束了我们自己的 VPN 软件。对于我目前的情况，托管实例也不是一个选项。我们在原生 VPN 解决方案和配置方面取得了相当大的进展，但后来我们遇到了两个因素的问题。很遗憾，这不是一个简单的 Azure 开箱即用解决方案。
ServerFault 有人建议，可以通过 Azure VPN 网关中的路由设置来解决一般问题。我不确定这是否属实以及它是否会解决 2FA 问题，但您可以在此处查看该答案：serverfault.com/questions/899661/…

标签： azure vpn azure-sql-server

【解决方案1】：

Azure SQL 数据库在 Internet 上是公共的，但是，通过 VPN 连接从本地网络传输的流量是私有的，因此它不支持通过 VPN 访问 Azure SQL 数据库。此外，VNet 服务终结点不会扩展到本地。要允许从本地访问，可以使用防火墙规则将连接限制为仅连接到您的公共 (NAT) IP。

在这种情况下，您可以同时使用防火墙规则和 VNet 服务端点。你可以从这个博客获得更多细节：General availability of VNet Service Endpoints for Azure SQL Data Warehouse

另一种选择是使用 Azure SQL 数据库托管实例，该实例必须部署在 Azure 虚拟网络和专用于托管实例的子网中。然后，您可以使用 VNet 对等互连或 S2S VPN 连接到您的本地网络。

希望这对你有帮助。

【讨论】：

这个端点是公开的，这太疯狂了。为什么 Azure 在考虑？即使在应用防火墙规则之后，端口也可以探测。这不好。
@AFP_555 我的意思是默认情况下它是公共的，但目前您可以将私有端点用于数据库。见azure private endpoint。
是的，但您不能将基本层与私有端点一起使用。他们基本上只是为了进行私人交流而向您收取每月 100 美元的费用。这太疯狂了。在 AWS 中，您可以拥有具有相同网络安全性的 t2.nano 和 m5.8xlarge。我不明白...您必须选择将钱浪费在永远不会使用的资源上，或者因为买不起昂贵的 BASIC 安全性而被黑客入侵。