WEBVTT 00:00:00.000 --> 00:00:11.610 [MUSIQUE]. 00:00:11.610 --> 00:00:13.680 Salut, tout le monde, mon nom est Colin Murphy. 00:00:13.680 --> 00:00:16.065 Je suis un marketing de produit Manager chez Microsoft, 00:00:16.065 --> 00:00:17.865 et je suis ici avec Rohit pour 00:00:17.865 --> 00:00:20.730 discuter de la connectivité base de données Azure SQL. 00:00:20.730 --> 00:00:24.200 Bienvenue, Rohit. Il en serait de même vous l'esprit juste nous dire 00:00:24.200 --> 00:00:28.700 juste les concepts de base de la façon dont vous se connecter à la base de données Azure SQL ? 00:00:28.700 --> 00:00:31.250 Absolument. Bonjour tout le monde, je m'appelle Rohit. 00:00:31.250 --> 00:00:34.300 Je suis gestionnaire de programme en l'équipe de base de données SQL. 00:00:34.300 --> 00:00:37.790 Aujourd'hui, avec Colin, nous sommes va commencer et vous prendre 00:00:37.790 --> 00:00:41.120 à travers la façon dont vous vous connectez à la base de données Azure SQL. 00:00:41.120 --> 00:00:43.375 Donc, avec cela, nous allons commencer. 00:00:43.375 --> 00:00:45.525 Donc, première question. 00:00:45.525 --> 00:00:48.905 Comprenons un peu sur notre architecture avant que nous 00:00:48.905 --> 00:00:52.370 aller à la nitty-gritty de la façon dont vous établissez un lien. 00:00:52.370 --> 00:00:55.265 Donc, en tant que client, ce vous devez savoir est 00:00:55.265 --> 00:00:58.080 que nous avons un tas de Passerelles SQL qui sont 00:00:58.080 --> 00:00:59.895 nos machines front-end qui ont pris 00:00:59.895 --> 00:01:02.060 connexions entrantes plus l'Internet quand vous êtes 00:01:02.060 --> 00:01:06.825 connexion à partir de locaux ou à l'extérieur d'Azure. 00:01:06.825 --> 00:01:08.710 Ce ne sont qu'une partie de ce service passé. 00:01:08.710 --> 00:01:10.470 Vous pouvez juste voir si c'est imprudent. 00:01:10.470 --> 00:01:13.510 Oui, c'est vrai. Ensuite, nous avons un tas des machines back-end où 00:01:13.510 --> 00:01:20.195 vos bases de données SQL réelles sont hébergés et vos données y vivent. 00:01:20.195 --> 00:01:21.610 D'accord. 00:01:21.710 --> 00:01:27.450 J'essaie de me connecter à myserver.database.windows.net, 00:01:27.450 --> 00:01:31.435 c'est le format habituel pour tous les serveurs de base de données. 00:01:31.435 --> 00:01:34.045 En règle générale, si vous ne NsLookup à ce sujet, 00:01:34.045 --> 00:01:36.370 il se résoudra à cette adresse IP publique. 00:01:36.370 --> 00:01:38.680 Le 104.42 IP est 00:01:38.680 --> 00:01:40.870 une adresse IP publique et vous êtes 00:01:40.870 --> 00:01:43.615 va être la connexion à celui du port 1433, 00:01:43.615 --> 00:01:46.055 qui est là où nous sommes à l'écoute des connexions. 00:01:46.055 --> 00:01:48.885 Lorsque vous vous connectez, l'un des 00:01:48.885 --> 00:01:52.380 les choses communes qui arrive est, nous essentiellement, 00:01:52.380 --> 00:01:55.395 la passerelle SQL en avant votre connexion sur, 00:01:55.395 --> 00:01:57.770 de sorte que vous avez un collant connexion passant par 00:01:57.770 --> 00:02:00.545 la passerelle et la connexion au nœud arrière. 00:02:00.545 --> 00:02:03.425 C'est ce qu'on appelle un proxy politique de connexion. 00:02:03.425 --> 00:02:05.570 Donc, tout ce que la passerelle est de faire, c'est 00:02:05.570 --> 00:02:09.110 un manuel au milieu en passant votre connexion à l'arrière-bout. 00:02:09.110 --> 00:02:10.670 C'est bien parce que nous n'exposons jamais 00:02:10.670 --> 00:02:13.130 l'ADRESSE IP réelle du nœud SQL. 00:02:13.130 --> 00:02:15.140 Je l'ai eu. C'est ainsi que vous 00:02:15.140 --> 00:02:17.330 connectez-vous lorsque vous vous connectez de l'extérieur d'Azure. 00:02:17.330 --> 00:02:20.090 Maintenant, quand vous vous connectez de l'intérieur d'Azure, 00:02:20.090 --> 00:02:23.915 dire d'un VM, nous faisons un peu façon différente de se connecter. 00:02:23.915 --> 00:02:27.170 Donc, nous nous connectons à la SQL Gateway et nous obtenons 00:02:27.170 --> 00:02:32.540 l'emplacement réel de votre base de données SQL dans le back-end. 00:02:32.540 --> 00:02:35.810 Donc, vous verrez cette adresse 13.93. 00:02:35.810 --> 00:02:37.535 C'est une adresse IP privée. 00:02:37.535 --> 00:02:40.930 Ce n'est pas quelque chose que les utilisateurs peut se connecter directement, 00:02:40.930 --> 00:02:42.815 comme, ils ne savent pas à propos de cette adresse IP. 00:02:42.815 --> 00:02:43.325 D'accord. 00:02:43.325 --> 00:02:46.385 Puis pour le randomiser davantage, 00:02:46.385 --> 00:02:52.250 il y a 11 000 à 11 999 ports. 00:02:52.250 --> 00:02:53.575 D'accord. 00:02:53.575 --> 00:02:58.885 SQL pourrait être à l'écoute sur l'un de ceux qui se situent dans cette fourchette. 00:02:58.885 --> 00:03:02.010 C'est là que se passe est ce qu'on appelle 00:03:02.010 --> 00:03:06.560 la méthode de redirection ou la redirection est la politique de connexion, 00:03:06.560 --> 00:03:08.615 mais nous vous redirigeons vers ce nœud. 00:03:08.615 --> 00:03:11.345 Donc, vous vous connectez directement à la base de données SQL, 00:03:11.345 --> 00:03:13.400 et la passerelle ne viennent pas dans 00:03:13.400 --> 00:03:17.040 l'image plus jamais de ce lien. 00:03:17.090 --> 00:03:18.525 D'accord. 00:03:18.525 --> 00:03:20.900 C'est donc l'architecture de base 00:03:20.900 --> 00:03:23.210 et vous comprenez comment vous connecter. 00:03:23.210 --> 00:03:24.920 Maintenant, laissez-moi vous prendre à travers ce qui se passe 00:03:24.920 --> 00:03:27.410 lorsque votre connexion en fait se rend à la Porte. 00:03:27.410 --> 00:03:28.345 D'accord. 00:03:28.345 --> 00:03:32.235 C'est très, très basique des trucs de haut niveau, rien de spécial, 00:03:32.235 --> 00:03:36.520 et cela a été autour depuis des siècles. 00:03:36.520 --> 00:03:40.375 Donc, vous avez un client et vous avoir la machine Gateway, 00:03:40.375 --> 00:03:43.350 première chose est la poignée de main à trois, 00:03:43.350 --> 00:03:47.835 trucs PCP standard, [inaudible] communiquer au serveur. 00:03:47.835 --> 00:03:50.720 Chose intéressante, ce que se passe ensuite, c'est que vous avez 00:03:50.720 --> 00:03:53.090 un paquet de prélogin que le client envoie, 00:03:53.090 --> 00:03:55.840 et les caractéristiques intéressantes ici est, 00:03:55.840 --> 00:03:57.900 nous voulons que vous le faisiez, 00:03:57.900 --> 00:04:00.820 comme une pratique exemplaire, utiliser le cryptage, 00:04:00.820 --> 00:04:03.425 qui est fixé en mettant 00:04:03.425 --> 00:04:07.490 chiffrer est vrai dans la connexion chaîne de votre application. 00:04:07.490 --> 00:04:10.640 Autre partie que nous voulons que vous à faire comme une meilleure pratique 00:04:10.640 --> 00:04:13.415 est TrustServerCertificate équivaut à de faux. 00:04:13.415 --> 00:04:16.940 Cela oblige donc le client à vérifier 00:04:16.940 --> 00:04:21.890 le certificat que vous obtenir du nœud de la passerelle. 00:04:21.890 --> 00:04:23.580 De cette façon, vous n'aurez pas 00:04:23.580 --> 00:04:28.215 toute chance d'usurper ou attaques de l'homme au milieu. 00:04:28.215 --> 00:04:30.105 D'accord, c'est tout à fait logique. 00:04:30.105 --> 00:04:32.670 Voici donc les meilleures pratiques et 00:04:32.670 --> 00:04:34.860 tout développeur connectant SQL trouvera 00:04:34.860 --> 00:04:37.285 ceci sur nos pages docs ou où que ce soit ? 00:04:37.285 --> 00:04:40.080 Oui, c'est vrai. En fait, nous aller plus loin. 00:04:40.080 --> 00:04:42.300 Si vous allez dans le portail et regardez 00:04:42.300 --> 00:04:44.960 votre base de données SQL et regardez à la chaîne de connexion, 00:04:44.960 --> 00:04:46.550 ceux-ci sont mis là-dedans. 00:04:46.550 --> 00:04:47.735 Tous ces éléments sont les défauts? 00:04:47.735 --> 00:04:49.340 Oui, c'est vrai. Donc, vous les mettez en 00:04:49.340 --> 00:04:51.320 là pour s'assurer que vous êtes protégé. 00:04:51.320 --> 00:04:52.075 D'accord. 00:04:52.075 --> 00:04:53.940 À partir de maintenant, 00:04:53.940 --> 00:04:55.110 le prélog et la réponse, 00:04:55.110 --> 00:04:57.600 qui fait à nouveau partie du protocole TDS, 00:04:57.600 --> 00:05:00.410 et puis vous avez cette poignée de main TLS qui est 00:05:00.410 --> 00:05:02.690 une longue façon enroulée d'obtenir 00:05:02.690 --> 00:05:04.820 un canal sécurisé entre le client et le serveur. 00:05:04.820 --> 00:05:05.320 D'accord. 00:05:05.320 --> 00:05:07.220 Donc, essentiellement, à la fin de ce processus, 00:05:07.220 --> 00:05:09.680 vous êtes à l'œil la perspective du protocole, 00:05:09.680 --> 00:05:14.500 et commence ensuite le paquet de connexion réel qui 00:05:14.500 --> 00:05:16.020 vous le verrez comme 00:05:16.020 --> 00:05:18.200 connectez-vous en vendant le paquet si 00:05:18.200 --> 00:05:20.270 vous feriez par choc ou quelque chose comme ça. 00:05:20.270 --> 00:05:23.330 Ensuite, en fonction de ce que vous utilisez, 00:05:23.330 --> 00:05:26.720 si vous vous connectez à nous de la proximal, 00:05:26.720 --> 00:05:29.215 vous aurez juste obtenir la reconnaissance de retour. 00:05:29.215 --> 00:05:31.985 Sinon, vous obtiendrez ce qui est appelé comme le jeton de redirection, 00:05:31.985 --> 00:05:33.485 qui est une façon fantaisiste de dire, 00:05:33.485 --> 00:05:35.000 nous allons vous dire la propriété intellectuelle privée 00:05:35.000 --> 00:05:36.895 adresse que vous êtes va se connecter à. 00:05:36.895 --> 00:05:39.290 Wow, il y a beaucoup de poignées de main aller à l'envers [inaudible]. 00:05:39.290 --> 00:05:39.980 Oui, c'est vrai. 00:05:39.980 --> 00:05:41.690 Est-ce un long processus ou? 00:05:41.690 --> 00:05:44.075 Non, c'est une question de millisecondes. 00:05:44.075 --> 00:05:45.170 Oh, d'accord. 00:05:45.170 --> 00:05:48.530 Oui, nous le gardons vite même et nous le gardons en sécurité. 00:05:48.530 --> 00:05:50.870 D'accord, c'est bon. Rapide et sécurisé. 00:05:50.870 --> 00:05:52.720 Oui, c'est vrai. Ensuite, ensuite, 00:05:52.720 --> 00:05:55.100 maintenant que nous savons sur l'architecture et nous savons 00:05:55.100 --> 00:05:58.460 sur les bases de la connectivité, 00:05:58.460 --> 00:06:00.395 Parlons de qui peut se connecter. 00:06:00.395 --> 00:06:03.055 Donc, vous voulez mettre certains contrôles sur, 00:06:03.055 --> 00:06:05.570 comment pouvez-vous réellement filtrer qui 00:06:05.570 --> 00:06:08.345 peut se connecter à votre base de données Azure SQL. 00:06:08.345 --> 00:06:11.075 Donc, c'est, et je vais montrer cela dans la démo. 00:06:11.075 --> 00:06:16.055 C'est essentiellement le pare-feu dossier de lame dans le portail Azure. 00:06:16.055 --> 00:06:17.900 Donc, la première chose que vous remarquerez ici 00:06:17.900 --> 00:06:19.430 est cette section en haut qui dit, 00:06:19.430 --> 00:06:22.550 permettre l'accès à Services Azure, en service ou en arrêt. 00:06:22.550 --> 00:06:25.340 Il s'agit donc d'une catégorie très large 00:06:25.340 --> 00:06:26.855 d'autorisation qui vous donnez ici. 00:06:26.855 --> 00:06:28.420 C'est essentiellement dire, 00:06:28.420 --> 00:06:32.065 peut tous les autres serveurs qui est courir au sein d'Azure, 00:06:32.065 --> 00:06:35.915 dire comme une application web ou un autre Azure VM, 00:06:35.915 --> 00:06:40.815 peut-il se connecter à votre serveur de base de données SQL ou non? 00:06:40.815 --> 00:06:42.420 Comme partout dans Azure? 00:06:42.420 --> 00:06:42.545 Oui, c'est vrai. 00:06:42.545 --> 00:06:46.245 - A-t-il été fixé par une région ou zone ou centre de données? 00:06:46.245 --> 00:06:47.205 Ce n'est pas grave. 00:06:47.205 --> 00:06:47.940 Ce n'est pas grave. 00:06:47.940 --> 00:06:49.910 En gros, ce que ça fait, c'est, 00:06:49.910 --> 00:06:52.060 lorsque vous exécutez services à Azure, 00:06:52.060 --> 00:06:57.605 chaque région ou centre de données a un ensemble d'adresses IP fixes. 00:06:57.605 --> 00:07:00.710 Donc, nous fondamentalement, c'est une règle qui 00:07:00.710 --> 00:07:03.560 dit tout ce qui est venant à moi d'une idée. 00:07:03.560 --> 00:07:03.935 De l'intérieur azuréen. 00:07:03.935 --> 00:07:04.205 Oui, c'est vrai. 00:07:04.205 --> 00:07:05.165 Un centre de données de confiance. 00:07:05.165 --> 00:07:05.675 Oui, c'est vrai. 00:07:05.675 --> 00:07:07.460 Alors je vais accepter ? Je t'ai eu. 00:07:07.460 --> 00:07:10.100 Maintenant, bien sûr, les gens réserves à l'encontre 00:07:10.100 --> 00:07:12.875 cela parce que c'est un peu d'une portée plus large, 00:07:12.875 --> 00:07:15.215 mais dans certains scénarios, 00:07:15.215 --> 00:07:16.280 vous devez le faire. 00:07:16.280 --> 00:07:18.785 Par exemple, l'application web en est un exemple. 00:07:18.785 --> 00:07:21.620 Mais peu à peu, nous sommes à venir avec des offres à 00:07:21.620 --> 00:07:25.295 où vous serez en mesure de mettre cela au large et monter. 00:07:25.295 --> 00:07:27.650 Je vais te montrer différentes façons dont- 00:07:27.650 --> 00:07:29.285 Je vais faire acheter un type de service 00:07:29.285 --> 00:07:30.845 ou quelque chose comme un application web ou quelque chose? 00:07:30.845 --> 00:07:31.465 Oui, c'est vrai. 00:07:31.465 --> 00:07:32.985 Alors juste pour clarifier, 00:07:32.985 --> 00:07:36.120 quand vous dites n'importe quel service dans Azure, 00:07:36.120 --> 00:07:38.160 c'est dans votre propre description bien sûr. 00:07:38.160 --> 00:07:38.925 Oui, c'est vrai. 00:07:38.925 --> 00:07:41.115 Juste pour clarifier cela pour les gens. 00:07:41.115 --> 00:07:44.420 Oui, c'est vrai. Donc, prochain niveau de contrôle 00:07:44.420 --> 00:07:47.525 que nous offrons est ce qui est Pare-feu IP. 00:07:47.525 --> 00:07:55.080 Donc, c'est généralement quand vous serveur de base de données Azure SQL, 00:07:55.080 --> 00:07:58.080 la liste par défaut ici ressemblant. 00:07:58.080 --> 00:08:01.430 Donc personne ne peut s'y connecter en 00:08:01.430 --> 00:08:04.820 l'utilisation d'une adresse IP à moins ils sont dans cette liste. 00:08:04.820 --> 00:08:05.580 Je t'ai eu. 00:08:05.580 --> 00:08:07.305 Donc, la première chose vous devez faire est, 00:08:07.305 --> 00:08:09.195 quand vous allez au portail, 00:08:09.195 --> 00:08:12.125 il vous montrera l'adresse IP que vous venez de. 00:08:12.125 --> 00:08:14.690 Donc, si je viens de ma maison IP, 00:08:14.690 --> 00:08:17.945 c'est là qu'il va apparaître dans cette section d'adresse IP client, 00:08:17.945 --> 00:08:20.810 et j'ai besoin de liste blanche que pour que je puisse 00:08:20.810 --> 00:08:23.755 pour se connecter en utilisant Management Studio par exemple. 00:08:23.755 --> 00:08:25.210 D'accord. Des trucs assez standard, 00:08:25.210 --> 00:08:26.840 nous avons tout fait par défaut. 00:08:26.840 --> 00:08:27.485 Exactement. 00:08:27.485 --> 00:08:28.450 D'accord. 00:08:28.450 --> 00:08:30.890 Maintenant, nous avons une troisième façon intéressante de 00:08:30.890 --> 00:08:33.845 connexion qui est appelé Règles de pare-feu VNet. 00:08:33.845 --> 00:08:35.785 C'est à peu près dire, 00:08:35.785 --> 00:08:37.985 permettre à tous les VM Azure 00:08:37.985 --> 00:08:41.390 à l'intérieur d'un VNet pour se connecter à ma base de données SQL. 00:08:41.390 --> 00:08:44.030 Maintenant, il pourrait y avoir des situations lorsque cela est utile, 00:08:44.030 --> 00:08:46.370 dire que vous avez une application héritée ou votre application, par exemple, 00:08:46.370 --> 00:08:47.900 services de reporting qui sont en cours d'exécution dans 00:08:47.900 --> 00:08:51.060 une machine vétérinaire et vous voulez se connecter à la base de données SQL, 00:08:51.060 --> 00:08:53.555 c'est une façon granulaire de le faire pour permettre 00:08:53.555 --> 00:08:56.270 seulement un ensemble spécifique de machines vétérinaires qui 00:08:56.270 --> 00:08:58.970 se trouvent dans un sous-réseau à se connecter à la base de données SQL. 00:08:58.970 --> 00:08:59.405 D'accord. 00:08:59.405 --> 00:09:01.565 Donc, ce sont des les trois façons dont nous 00:09:01.565 --> 00:09:04.095 contrôler qui se connecte à la base de données SQL aujourd'hui. 00:09:04.095 --> 00:09:05.570 Oui, c'est vrai. Je vois que dans divers jusqu'à présent 00:09:05.570 --> 00:09:07.430 en déplaçant des applications héritées. 00:09:07.430 --> 00:09:07.940 Absolument. 00:09:07.940 --> 00:09:10.595 Nous avons des machines à sous en cours d'exécution tous dans l'unique VNet. 00:09:10.595 --> 00:09:12.140 Oui, c'est vrai. Ensuite, ensuite, 00:09:12.140 --> 00:09:14.105 Je vais vous faire passer à travers détails de chacun d'eux. 00:09:14.105 --> 00:09:18.215 Voyons comment le pare-feu IP fonctionne. 00:09:18.215 --> 00:09:23.655 Supposons donc que nous avons un serveur avec quelques bases de données DB1 et DB2, 00:09:23.655 --> 00:09:26.220 et voici une connexion entrante. 00:09:26.220 --> 00:09:30.080 Bien sûr, la connexion entrante pourrait être proxy ou rediriger, 00:09:30.080 --> 00:09:31.535 peu importe ce point. 00:09:31.535 --> 00:09:34.100 L'hypothèse est que vous avez obtenu passé la passerelle et vous 00:09:34.100 --> 00:09:36.740 sont en fait à venir à le niveau du moteur SQL. 00:09:36.740 --> 00:09:39.050 La première chose que nous sommes va faire, c'est que nous allons 00:09:39.050 --> 00:09:41.630 pour vérifier contre les pare-feu de niveau base de données. 00:09:41.630 --> 00:09:43.010 Donc, ceci est stocké dans 00:09:43.010 --> 00:09:47.215 la base de données principale et sys.database-firewall-règles. 00:09:47.215 --> 00:09:49.590 C'est un DMV, et tout ce qu'il contient 00:09:49.590 --> 00:09:52.160 est une gamme d'adresses IP qui sont autorisés. 00:09:52.160 --> 00:09:55.100 Donc, si vous êtes ici, puis par défaut, 00:09:55.100 --> 00:09:58.100 vous obtenez notre portée de base de données l'accès à 00:09:58.100 --> 00:10:01.790 quelle que soit la base de données vous voulez vous connecter. 00:10:01.790 --> 00:10:05.390 Si vous n'êtes pas les règles de pare-feu de niveau de base de données, 00:10:05.390 --> 00:10:08.735 puis la prochaine vérification se passe est au niveau du serveur, 00:10:08.735 --> 00:10:11.180 qui est légèrement différents DMV appelé 00:10:11.180 --> 00:10:15.440 sys.firewall-règles et c'est à nouveau dans la base de données principale. 00:10:15.440 --> 00:10:17.420 Si vous y avez accès, 00:10:17.420 --> 00:10:19.160 alors bien sûr, vous avez accès à 00:10:19.160 --> 00:10:21.965 le niveau du serveur afin une fois que vous êtes connecté, 00:10:21.965 --> 00:10:24.635 vous pouvez dans la gestion Studio déroulant, 00:10:24.635 --> 00:10:26.725 choisir à la fois DB1 et DB2. 00:10:26.725 --> 00:10:29.635 D'accord. Donc, si j'étais configuration à l'aide 00:10:29.635 --> 00:10:33.395 SSMS à configurer ma base de données Azure SQL. 00:10:33.395 --> 00:10:37.680 Si je dis ce pare-feu règle au niveau du serveur, 00:10:37.680 --> 00:10:39.810 il pourrait juste me donner l'accès à tout. 00:10:39.810 --> 00:10:41.130 Je l'ai. 00:10:41.130 --> 00:10:45.165 Donc, nous devrions probablement aller à Test Dev, mais pas dans les meilleures pratiques. 00:10:45.165 --> 00:10:48.180 Oui, c'est vrai. C'est une grande question, Colin, 00:10:48.180 --> 00:10:53.075 parce que l'une des choses est que pourquoi avons-nous ces deux niveaux? 00:10:53.075 --> 00:10:55.560 C'est parce qu'en production, 00:10:55.560 --> 00:10:59.045 si vous voulez utiliser ce qui est appelé en tant qu'utilisateur contenu, 00:10:59.045 --> 00:11:01.595 alors la meilleure pratique est, 00:11:01.595 --> 00:11:06.515 l'utilisateur contenu ne vous permet de configurer un utilisateur contenu pour DB1. 00:11:06.515 --> 00:11:11.340 Toute l'idée de l'utilisateur contenu étant je ne peux pas accéder à DB2. 00:11:11.410 --> 00:11:14.780 En combinaison avec les règles du pare-feu de base de données, 00:11:14.780 --> 00:11:20.555 Je peux également restreindre l'adresse IP d'où les utilisateurs peuvent se connecter. 00:11:20.555 --> 00:11:23.180 Donc, essentiellement, le pare-feu de niveau base de données 00:11:23.180 --> 00:11:25.010 est une fonctionnalité utile pour les données de profondeur 00:11:25.010 --> 00:11:30.515 défendre la gestion de la portée des les mauvaises personnes peuvent se connecter à partir. 00:11:30.515 --> 00:11:31.980 D'accord. 00:11:32.260 --> 00:11:35.450 Encore une fois, aidez-moi ici. 00:11:35.450 --> 00:11:37.430 Pourriez-vous développer pas mal de détails. 00:11:37.430 --> 00:11:42.650 Donc, sur les règles pare-feu ces sont à l'intérieur du serveur SQL et 00:11:42.650 --> 00:11:44.750 comme évidemment alors ce que nous avons couvert plus tôt a été 00:11:44.750 --> 00:11:48.215 les règles de pare-feu pour le réseau à l'intérieur de celui-ci. 00:11:48.215 --> 00:11:50.630 Oui, c'est vrai. Donc, ce sont des deux concepts distincts. 00:11:50.630 --> 00:11:52.220 Donc, dans la diapositive précédente, j'ai montré 00:11:52.220 --> 00:11:54.155 vous il ya une adresse IP pare-feu à base. 00:11:54.155 --> 00:11:58.820 C'est ce que c'est et l'endroit où ils 00:11:58.820 --> 00:12:03.995 sont stockés est à l'intérieur du maître base de données au sein de votre serveur SQL. 00:12:03.995 --> 00:12:07.050 Ils sont exposés via le portail. 00:12:07.870 --> 00:12:11.660 Bien sûr, si vous ne rencontrez pas l'un de ces critères alors 00:12:11.660 --> 00:12:15.870 votre connexion sera rejetée c'est ce dont nous avons parlé. 00:12:16.090 --> 00:12:18.350 Maintenant, regardons 00:12:18.350 --> 00:12:21.875 la nouvelle partie intéressante ici qui est les règles de pare-feu VNet. 00:12:21.875 --> 00:12:25.235 Alors laissez-moi mettre en place le scénario pour vous. 00:12:25.235 --> 00:12:27.830 Supposons donc que vous avez une machine virtuelle qui est 00:12:27.830 --> 00:12:32.135 en cours d'exécution dire une application Legacy sur iOS ou autre. 00:12:32.135 --> 00:12:37.100 La machine virtuelle a-t-il peut mettre en place ce qu'on appelle 00:12:37.100 --> 00:12:42.260 comme une adresse IP publique pour elle qui est le 14.11 à traiter, 00:12:42.260 --> 00:12:45.200 et vous pouvez aussi avoir une adresse IP privée qui 00:12:45.200 --> 00:12:48.305 provient d'un sous-réseau particulier. 00:12:48.305 --> 00:12:51.020 Donc, les meilleures pratiques toujours s'assurer que 00:12:51.020 --> 00:12:53.600 vos IP privés sont provenant de sous-réseaux, 00:12:53.600 --> 00:12:55.490 aide à la segmentation du réseau 00:12:55.490 --> 00:12:57.920 et c'est un réseau meilleure pratique. 00:12:57.920 --> 00:13:00.305 Mais je vais vous montrer comment ça aide. 00:13:00.305 --> 00:13:02.990 Vous avez généralement toujours mettre ces choses en place ou obtenir 00:13:02.990 --> 00:13:05.270 un réseau IT pro pour définir ces 00:13:05.270 --> 00:13:07.865 avant d'aller à une production différente. 00:13:07.865 --> 00:13:10.625 Vous voulez vous assurer vous avez assez de propriété intellectuelle. 00:13:10.625 --> 00:13:11.930 Oui, absolument. 00:13:11.930 --> 00:13:13.985 C'est un bon point que vous soulez est 00:13:13.985 --> 00:13:16.985 nous voulons vraiment séparation des fonctions en l'espèce, 00:13:16.985 --> 00:13:20.390 il est toujours bon de planifier votre réseau à l'avance. 00:13:20.390 --> 00:13:22.790 Donc, vous n'êtes pas à court des adresses IP et des adresses IP et 00:13:22.790 --> 00:13:26.495 alors vous n'avez certainement pas veulent un gâchis DBM 00:13:26.495 --> 00:13:32.030 autour de la mise en place de ces et se tromper de taille ou parce que 00:13:32.030 --> 00:13:37.850 chacun de ces, il est facile de manquer des choses ici. 00:13:37.850 --> 00:13:40.280 Oui, et une fois que vous avez définir ces plages et 00:13:40.280 --> 00:13:42.995 commencé à installer des choses c'est que vous ne pouvez pas revenir en arrière. 00:13:42.995 --> 00:13:47.000 Je l'ai. Il y a donc la configuration de base. 00:13:47.000 --> 00:13:50.930 J'ai une machine vétérinaire, elle a un public Adresse IP et une adresse IP privée. 00:13:50.930 --> 00:13:54.020 Alors laissez-moi vous faire passer à travers option numéro un qui est de savoir comment 00:13:54.020 --> 00:13:57.350 dois-je me connecter à la base de données SQL en utilisant le public, 00:13:57.350 --> 00:14:01.190 nous appelons généra lement cela l'adresse IP snatted. 00:14:01.190 --> 00:14:04.130 L'option numéro un est de commencer à partir de 00:14:04.130 --> 00:14:06.980 du côté VM et nous pouvons définir ce qui est 00:14:06.980 --> 00:14:09.230 appelé comme règle NSG qui 00:14:09.230 --> 00:14:12.455 essentiellement dit que je vais pour permettre la circulation sortante. 00:14:12.455 --> 00:14:14.630 NSG, groupe de sécurité réseau ? 00:14:14.630 --> 00:14:17.170 Groupe de sécurité réseau qui existent sur 00:14:17.170 --> 00:14:21.120 la Machine Virtuelle sur la machine virtuelle. 00:14:21.120 --> 00:14:24.305 Il vous permet de définir règles entrantes et sortantes. 00:14:24.305 --> 00:14:28.865 Donc, ici, nous allons définir une sortie pour se connecter à la base de données SQL. 00:14:28.865 --> 00:14:31.880 La façon dont nous allons le faire est-ce que nous allons dire que j'ai besoin de 00:14:31.880 --> 00:14:35.225 se connecter à 1433 parce que c'est mon initiale. 00:14:35.225 --> 00:14:37.460 Rappelez-vous d'abord que vous besoin de se connecter à 00:14:37.460 --> 00:14:40.565 la passerelle qui est investir sur le port 1433. 00:14:40.565 --> 00:14:43.700 Ensuite, j'ai besoin des 11 000 à travers 00:14:43.700 --> 00:14:48.170 11 999 gamme parce que je suis va utiliser la redirection. 00:14:48.170 --> 00:14:50.990 Alors TCP est mon protocole. 00:14:50.990 --> 00:14:54.425 Mon adresse IP adresse l'adresse 40.112 00:14:54.425 --> 00:14:57.815 et bien plus sur la droite la pièce la plus intéressante. 00:14:57.815 --> 00:15:01.355 Je dis que laisser cette machine virtuelle 00:15:01.355 --> 00:15:04.415 connectez-vous à tout dans SQL. WestUS. 00:15:04.415 --> 00:15:08.615 Donc, c'est encore une fois un autre réseau concept appelé une balise de service. 00:15:08.615 --> 00:15:12.935 Donc ce que ça veut dire, c'est que je veux pour se connecter à la base de données SQL. 00:15:12.935 --> 00:15:15.410 Je sais que ma base de données est dans WestUS, 00:15:15.410 --> 00:15:19.715 permettez-moi juste liste blanche trafic vers la région de WestUS. 00:15:19.715 --> 00:15:21.125 C'est très bien. 00:15:21.125 --> 00:15:24.455 Pour que vous puissiez laisser moi l'utiliser comme un ou 00:15:24.455 --> 00:15:29.795 juste les utilisations pour aider avec juste votre latence et le trafic. 00:15:29.795 --> 00:15:32.390 Oui, je veux dire une ligne de fond ici est-ce 00:15:32.390 --> 00:15:36.620 est un moyen de permettre à la connectivité du côté du réseau. 00:15:36.620 --> 00:15:38.450 Donc, généralement votre admin réseau fera 00:15:38.450 --> 00:15:41.540 ceci et il fait juste gestion plus facile 00:15:41.540 --> 00:15:42.770 pour eux parce que quand vous dites 00:15:42.770 --> 00:15:46.940 Sql. WestUS vous n'avez pas à liste blanche adresse IP individuelle. 00:15:46.940 --> 00:15:49.610 Donc, il vous permet de se connecter à n'importe quoi dans 00:15:49.610 --> 00:15:53.180 toute base de données SQL qui dans la région de WestUS. 00:15:53.180 --> 00:15:55.850 Maintenant, cela encoure aussi 00:15:55.850 --> 00:15:57.845 une surcharge supplémentaire dans le sens où 00:15:57.845 --> 00:15:59.990 une fois que vous avez terminé avec le réglage du réseau, 00:15:59.990 --> 00:16:02.000 vous devez venir sur le côté base de données SQL 00:16:02.000 --> 00:16:04.655 et encore se souvenir de notre Pare-feu d'adresse IP. 00:16:04.655 --> 00:16:06.845 Donc, vous devez ajouter l'adresse IP ici. 00:16:06.845 --> 00:16:08.975 Il s'agit donc d'un processus en deux étapes. 00:16:08.975 --> 00:16:12.230 Les inconvénients de cette 00:16:12.230 --> 00:16:15.440 est que vous devez gérer l'adresse IP. 00:16:15.440 --> 00:16:19.520 Donc, par exemple, à tout moment si vous enchaîner l'adresse IP publique pour 00:16:19.520 --> 00:16:22.280 le VM immédiatement cette connectivité sera 00:16:22.280 --> 00:16:25.400 cassé parce que SQL ne sera pas reconnaître cette adresse IP. 00:16:25.400 --> 00:16:27.200 Oui, parce que ce n'est pas [inaudible]. 00:16:27.200 --> 00:16:30.740 Oui, c'est vrai. L'autre chose à ce sujet qui 00:16:30.740 --> 00:16:33.140 certains clients peuvent ne pas aimer est alors 00:16:33.140 --> 00:16:36.155 une balise de service est toujours assez grande ouverte. 00:16:36.155 --> 00:16:37.805 Il dit me permettre de se connecter à 00:16:37.805 --> 00:16:41.840 n'importe quelle base de données SQL dans la région de WestUS. 00:16:41.840 --> 00:16:44.090 Mais bien sûr, il y a des améliorations 00:16:44.090 --> 00:16:46.130 venir du côté du réseau qui vous permettra de 00:16:46.130 --> 00:16:48.575 limiter cela à une ressource spécifique 00:16:48.575 --> 00:16:51.035 mais ceux qui sont en progrès en ce moment. 00:16:51.035 --> 00:16:52.820 Mais c'est ce que nous avons. 00:16:52.820 --> 00:16:58.775 Alors maintenant, nous allons tourner la direction d'où nous venons ici. 00:16:58.775 --> 00:17:02.720 Vous avez vu comment nous avons mis en place à partir de du côté VM à SQL DB. 00:17:02.720 --> 00:17:05.240 La règle du pare-feu Vnet est quelque chose que vous avez mis 00:17:05.240 --> 00:17:07.400 un bal de base de données SQL côté comme 00:17:07.400 --> 00:17:11.330 cela pour dire permettez-moi de se connecter à partir de 00:17:11.330 --> 00:17:17.135 ma base de données SQL pour un sous-réseau particulier. 00:17:17.135 --> 00:17:21.005 Donc, la beauté de celui-ci est que vous n'avez pas besoin 00:17:21.005 --> 00:17:25.280 à la liste blanche des adresses IP ou faire quelque chose comme ça. 00:17:25.280 --> 00:17:28.460 Tout ce que tu dis, c'est ouvrir un chemin entre 00:17:28.460 --> 00:17:29.960 votre base de données SQL et 00:17:29.960 --> 00:17:33.620 un sous-réseau particulier et vous êtes à l'aide de l'adresse IP privée. 00:17:33.620 --> 00:17:36.485 Donc, il ya que même a ajouté un avantage que 00:17:36.485 --> 00:17:42.455 tout passe par le réseau d'épine dorsale Azure sage. 00:17:42.455 --> 00:17:43.970 C'est plutôt cool. 00:17:43.970 --> 00:17:50.750 L'autre avantage de ceci est pas de liste blanche requise et oui, 00:17:50.750 --> 00:17:52.625 c'est à peu près tout. 00:17:52.625 --> 00:17:56.420 Cool. Alors merci pour ça. 00:17:56.420 --> 00:17:58.160 C'est une très bonne explication de 00:17:58.160 --> 00:18:01.220 la connectivité à Base de données Azure SQL. 00:18:01.220 --> 00:18:03.780 Quelques autres questions rapides, 00:18:03.790 --> 00:18:06.680 est-il juste pour Azure base de données SQL comme tous les 00:18:06.680 --> 00:18:08.780 eux les différents options de déploiement. 00:18:08.780 --> 00:18:11.855 Je pense que nous avons un seul élastique but a été géré instance. 00:18:11.855 --> 00:18:12.290 Absolument. 00:18:12.290 --> 00:18:15.360 Est-ce pour chacun d'entre eux cette ont affecté les options que vous avez expliquées? 00:18:15.360 --> 00:18:18.530 Donc, quand nous parlons de La base de données Azure SQL aujourd'hui, 00:18:18.530 --> 00:18:23.180 si vous regardez un seul Bases de données SQL, pools élastiques, 00:18:23.180 --> 00:18:26.779 l'entrepôt de données et même les bases de données open source, 00:18:26.779 --> 00:18:30.200 nous partageons un contrôle commun avion qui signifie de 00:18:30.200 --> 00:18:34.640 dire la passerelle SQL que vous vu que ce composant est commun. 00:18:34.640 --> 00:18:37.820 Cette connectivité s'applique donc aux 00:18:37.820 --> 00:18:39.410 toutes nos offres qui sont sous 00:18:39.410 --> 00:18:41.525 le parapluie de base de données Azure SQL. 00:18:41.525 --> 00:18:44.690 C'est fantastique. Merci 00:18:44.690 --> 00:18:47.600 beaucoup tout le monde pour tuning et nous donner 00:18:47.600 --> 00:18:50.210 un comme si vous aimez ce type de contenu 00:18:50.210 --> 00:18:53.300 et abonnez-vous à nous et nous allons à plus tard. Je vous remercie. 00:18:53.300 --> 00:19:06.000 [MUSIQUE]