Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie:
- Stellen Sie eine Dienstkatalogvorlage für Azure SQL in einer vorhandenen Workload aus dem Portal bereit.
Note
Diese Beispielbereitstellung dient nur zu Demozwecken und stellt nicht alle bewährten Methoden für die Verwaltung von Netzwerken, Systemen oder Anwendungen dar.
Bevor Sie anfangen
In diesem Artikel wird ein grundlegendes Verständnis von Netzwerk- und Azure Enklavenkonzepten vorausgesetzt. Weitere Informationen finden Sie unter Bewährte Methoden für Azure Enklave.
Sie benötigen ein Azure-Konto mit einem aktiven Abonnement. Wenn Sie kein Konto besitzen, erstellen Sie kostenlos ein Konto.
Sie benötigen eine Community, Enklave, Workload und mindestens eine Workload-Ressourcengruppe und Berechtigungen zum Erstellen von Ressourcen innerhalb der Workload-Ressourcengruppe.
Aktivieren Sie
Advancedden Wartungsmodus für Ihre Enklave, damit Sie die Private Link Ressourcen zu Ihrer verwalteten Ressourcengruppe hinzufügen können.
Voraussetzungen
Für die Enklaven gelten Schutzvorgaben, um sicherzustellen, dass die Ressourcen in den Enklaven mit kundenseitig verwalteten Schlüsseln (CMK) verschlüsselt werden. Dies erfordert einen Schlüssel und eine Identität, um auf den Schlüssel zuzugreifen, der in der Enklave zugänglich ist. Erstellen Sie den CMK (optionaler Key Vault) und die verwaltete Identität in der Dienstkatalogvorlage „Allgemeine Abhängigkeiten“
- Subnetz für private Endpunkte: Sie hatten die Möglichkeit, Subnetze während der Enklavenerstellung zu erstellen, oder Sie können nach der Erstellung von Enklaven neue Subnetze erstellen .
- Erstellen Sie diese Privates DNS Zonen schnell basierend auf dem, was Sie als Nächstes erstellen:
-
Key VaultErforderlich beim Erstellen einer Key Vault aus dieser Vorlage oder der anpassbareren Key Vault Vorlage. -
Storage File,Storage Queue,Storage BlobundStorage Tablesind erforderlich, wenn Sie ein Speicherkonto aus dieser Vorlage oder die anpassbarere Speicherkontovorlage erstellen. -
Azure SQLdie für den privaten Zugriff auf Azure SQL erforderlich ist.
-
- Für diese Vorlage sind Key Vault, vom Kunden verwalteter Schlüssel (Customer Managed Key, CMK) und verwaltete Identität erforderlich. Erstellen Sie einen Key Vault, einen CMK und eine verwaltete Identität im Schnellstart des Dienstkatalogs „Common Dependencies“, oder erstellen Sie eigene.
- Diese Ressourcen sollten in einer Ressourcengruppe für Workloads erstellt werden.
- Stellen Sie nach dem Erstellen der vom Benutzer verwalteten Identität sicher, dass sie Zugriff auf den CMK-Schlüssel hat.
- Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die
Key Vault Crypto Service Encryption UserRBAC-Rolle gemäß diesen Anweisungen zu. Auf diese Weise können Sie dann die verwaltete Identität einer anderen Ressource, z. B. einem virtuellen Computer, zuweisen, und dieser virtuelle Computer kann den Betriebssystemdatenträger mit dem CMK im Schlüsseltresor verschlüsseln, ohne über Berechtigungen zum Ausführen anderer Vorgänge im Schlüsseltresor nach den geringsten Berechtigungen verfügen zu müssen.
- Weisen Sie der verwalteten Identität mit Geltungsbereich für den Key Vault die
- Die Registerkarte "Administratoren" erfordert Anmeldeinformationen. Hier ist ein Beispiel für einige Eingaben:
- Microsoft Entra Benutzeranmeldung:
core-enclave-admins - Microsoft Entra Benutzer-SID:
c0a11793-2fa9-4d7f-894f-0f7f72615a97 - Benutzermandanten-ID zu Microsoft Entra:
af783a57-4134-41d8-bea4-fdaaecef6bcc - Microsoft Entra Benutzerprinzipaltyp:
Group
- Microsoft Entra Benutzeranmeldung:
Implementieren der Vorlage
- Navigieren Sie zum Workload für die vorgesehene Bereitstellung.
-
+Add an Azure ServiceSchaltfläche auswählen. - Wählen Sie die
Azure SQLDienstvorlage aus der Dropdownliste des Dienstkatalogs aus, bestätigen Sie die benötigte Version (Standard:latest), und wählen Sie dann ausNext.
- Durchlaufen Sie die einzelnen Registerkarten, und geben Sie alle erforderlichen Parameter ein.
- Passen Sie alle vorab aufgefüllten Parameter nach Bedarf an.
- Wählen Sie
Review + CreatedannCreateaus.
Es kann bis zu 30 Minuten dauern, bis alle Ressourcenerstellung abgeschlossen sind. Warten Sie, bis die Bereitstellung erfolgreich abgeschlossen wurde, bevor Sie Aktionen innerhalb Der bereitgestellten Ressourcen ausführen.
Validierung der Bereitstellung
Wechseln Sie zur angegebenen Ressourcengruppe, um zu bestätigen, dass die vorgesehenen Ressourcen erstellt wurden.
Löschen der Bereitstellung
Wenn Sie nicht planen, diese Ressourcen beizubehalten, bereinigen Sie unnötige Ressourcen, um Azure Gebühren zu vermeiden. Wenn in der Ressourcengruppe keine anderen Bereitstellungen vorhanden sind, kann die gesamte Ressourcengruppe gelöscht werden.
Empfehlungen
-
Fügen Sie Tags zu Dienstkatalogbereitstellungen hinzu, um wichtige Informationen für diese Ressource nachzuverfolgen, z. B.:
- Besitzer:
<main POC> - Bereitsteller:
<yourName> - Zweck:
<prod SQL data> - Dienstkatalogname:
<Azure SQL> - Version des Dienstkatalogs:
<version you deployed>
- Besitzer:
- Erwägen Sie das Hinzufügen einer Azure Policy zum Erzwingen und Vererben von Tags