Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo articolo, tu:
- Distribuire un modello di catalogo di servizi per Azure SQL in un carico di lavoro esistente dal portale.
Note
Questa distribuzione di esempio è solo a scopo dimostrativo e non rappresenta tutte le procedure consigliate per l'amministrazione di rete, sistemi o applicazioni.
Prima di iniziare
Questo articolo presuppone una conoscenza di base della rete e dei concetti di Azure Enclave. Per altre informazioni, vedere Procedure consigliate per Azure Enclave.
È necessario un account Azure con una sottoscrizione attiva. Se non ne hai uno, crea gratuitamente un account.
Sono necessarie una community, un enclave, un carico di lavoro e almeno un gruppo di risorse del carico di lavoro e autorizzazioni per creare risorse all'interno del gruppo di risorse del carico di lavoro.
Abilitare la
Advancedmodalità di manutenzione per l'enclave in modo da poter aggiungere le risorse collegamento privato al gruppo di risorse gestite dall'enclave.
Prerequisiti
Esistono requisiti di salvaguardia per le enclave per garantire che le risorse delle enclave siano crittografate utilizzando chiavi gestite dal cliente (CMK). Ciò richiede una chiave e un'identità per accedere alla chiave accessibile nell'enclave. Creare la CMK (Key Vault facoltativo) e l'identità gestita nel modello del catalogo di servizi Dipendenze comuni
- Subnet per endpoint privati: è possibile creare subnet durante la creazione dell'enclave oppure creare nuove subnet dopo la creazione dell'enclave.
- Creare rapidamente queste zone DNS privato in base a quanto creato di seguito:
-
Key Vaultobbligatorio quando si crea un Key Vault da questo modello o il modello di Key Vault più personalizzabile. -
Storage File,Storage Queue,Storage BlobeStorage Tablesono necessari quando si crea un account di archiviazione da questo modello o il modello di account di archiviazione più personalizzabile. -
Azure SQLche è necessario per accedere ad Azure SQL in modo privato.
-
- Per questo modello sono necessari un Key Vault, una chiave gestita dal cliente e un'identità gestita. Creare un Key Vault, un CMK e un'identità gestita nell'avvio rapido del catalogo dei servizi Dipendenze comuni oppure crearne di totalmente nuovi.
- Queste risorse devono essere create all'interno di un gruppo di risorse del carico di lavoro.
- Dopo aver creato l'identità gestita dall'utente, verificare che abbia accesso alla chiave CMK
- Assegnare il ruolo RBAC
Key Vault Crypto Service Encryption Userall'identità gestita con ambito nell'insieme di credenziali delle chiavi seguendo queste istruzioni. In questo modo è possibile assegnare successivamente l'identità gestita a un'altra risorsa, ad esempio una macchina virtuale, e tale macchina virtuale può crittografare il disco del sistema operativo con la CMK nell'insieme di credenziali senza disporre delle autorizzazioni per eseguire altre operazioni nell'insieme di credenziali, secondo il principio del privilegio minimo.
- Assegnare il ruolo RBAC
- La scheda Amministratori richiede informazioni di accesso. Ecco un esempio di input:
- Accesso utente a Microsoft Entra:
core-enclave-admins - SID utente di Microsoft Entra:
c0a11793-2fa9-4d7f-894f-0f7f72615a97 - Tenant utente Microsoft Entra ID:
af783a57-4134-41d8-bea4-fdaaecef6bcc - Tipo di entità utente principale Microsoft Entra:
Group
- Accesso utente a Microsoft Entra:
Implementare il modello
- Passare al carico di lavoro per la distribuzione prevista.
- Selezionare il pulsante
+Add an Azure Service. - Selezionare il
Azure SQLmodello di servizio dall'elenco a discesa del catalogo dei servizi, confermare la versione necessaria (impostazione predefinita:latest) e selezionare .Next
- Passare attraverso ogni scheda e immettere tutti i parametri obbligatori.
- Modifica uno qualsiasi dei parametri precompilati secondo necessità.
- Selezionare
Review + CreatequindiCreate.
Il completamento della creazione di tutte le risorse può richiedere fino a 30 minuti. Attendere che la distribuzione venga completata correttamente prima di eseguire eventuali azioni all'interno delle risorse distribuite.
Convalidare la distribuzione
Passare al gruppo di risorse specificato per verificare che siano state create le risorse desiderate.
Eliminare la distribuzione
Se non prevedi di mantenere queste risorse, elimina quelle non necessarie per evitare addebiti di Azure. Se non esistono altre distribuzioni nel gruppo di risorse, è possibile eliminare l'intero gruppo di risorse.
Recommendations
-
Aggiungere tag alle distribuzioni del catalogo dei servizi per tenere traccia di informazioni importanti per tale risorsa, ad esempio:
- Proprietario:
<main POC> - Deployer:
<yourName> - Scopo:
<prod SQL data> - Nome del catalogo servizi:
<Azure SQL> - Versione del catalogo dei servizi:
<version you deployed>
- Proprietario:
- Prendere in considerazione l'aggiunta di un Criteri di Azure per applicare ed ereditare i tag