22 de agosto de 2018

image

Introdução

O Azure fornece o SQL em modo PaaS que é o serviço de banco de dados de nuvem relacional, inteligente e totalmente gerenciado que oferece a mais ampla compatibilidade do mecanismo do SQL Server, para você poder migrar seus bancos de dados do SQL Server sem alterar os aplicativos. Acelere o desenvolvimento de aplicativos e deixe a manutenção fácil e produtiva usando as ferramentas SQL que você adora. Aproveite a inteligência interna que aprende os padrões dos aplicativos e se adapta para maximizar o desempenho, a confiabilidade e a proteção de dados.


Ele fornece segurança de acesso, com configurações de Firewall para poder se acessado por um cliente remoto através da Internet ou através dos serviços do Azure.

Nesse artigo irei demonstrar como desativar o acesso dos serviços do Azure nesse serviço PaaS do SQL e como configurar seu servidor IaaS para conseguir se conectar a esse serviço PaaS sem a necessidade de configuração de firewall e total segurança no acesso.

Passos

Imagine o cenário que você possua um Servidor IaaS no Azure configurado em uma VNET com sua Subrede. e possui um PaaS do SQL Server e gostaria que esse PaaS fosse acessível por seu Servidor IaaS mas não fosse acessível para outros clientes ou serviços do Azure.

Para que isso ocorra você precisará:

– Configurar seu Servidor SQL PaaS na mesma VNET de seu servidor IaaS;

– Configurar um Ponto de Extremidade do tipo SQL em sua VNET;

– Desativar o acesso de serviços do Azure nessa instância.

Por padrão o Servidor PaaS SQL já possui firewall configurado, onde você insere regras para liberação de IPs para acesso a esse servidor de forma remota pela Internet.

image

Então quando você deseja conectar com o SQL Management Studio por exemplo em seu servidor SQL PaaS, obrigatoriamente deverá haver uma regra de permissão do IP de origem da conexão.

Se você tentar conectar a partir do seu servidor IaaS no servidor de banco de dados do SQL, ele já terá acesso sem a necessidade de configuração de IP, pois a conexão do seu servidor parte de um Serviço do Azure que por padrão é liberado. Veja:

image

image

Se eu desabilitar o acesso de serviço do Azure no Portal, o comportamento irá mudar. Observe:

image

image

image

Se você olhar nas regras de firewall do servidor, irá ver que o IP foi adicionado.

image

Observe que a partir do Servidor IaaS ele pediu para eu logar na conta do Azure para adicionar a regra de exceção de acesso ao firewall.

Ou seja, o comportamento é o seguinte, partindo de um local de dentro do Azure o acesso se dá dentro do backbone, sem a saida para a Internet. Ou seja qualquer serviço do Azure pode se conectar ao PaaS do SQL, bastando apenas o parametro de usuário e senha. Já pela Internet, é necessário que seja inserido a regra no firewall para a liberação.

Então vamos apagar a regra e deixar desativado o acesso ao PaaS por serviços do Azure.

image

Pronto, seu PaaS do SQL está protegido contra acessos pela Internet e por serviços do Azure. Agora iremos configurar para que seu Servidor IaaS acesse esse PaaS sem a necessidade de inserção de regras no firewall.

Para isso, verifique qual a VNET do seu servidor IaaS, pois você irá atribuir essa VNET ao servidor de PaaS do SQL.

image

Agora vá nessa VNET e crie um Ponto de Extremidade de SQL. Para saber mais sobre Ponto de Extremidade, acesse o link abaixo:

https://docs.microsoft.com/pt-br/azure/virtual-network/virtual-network-service-endpoints-overview

image

image

Aguarde o termino da adição do ponto de extremidade.

image

Depois vá nas configurações de seu Servidor PaaS SQL.

image

image

Adicione esse servidor na Rede Virtual.

image

Pronto. Vamos fazer um novo teste usando o Management Studio a partir do servidor IaaS que está na mesma subrede que esse servidor PaaS.

image

image

Observe que ele se conectou sem problemas ou necessidade de inserção de regra no firewall. Para comprovar, vamos acessar esse servidor PaaS a partir de outro Servidor no Azure, porém em subrede diferente.

image

image

image

Veja que o comportamento foi diferente, onde ele pediu suas credenciais de acesso do Azure para inserir a regra de firewall para liberar o acesso.

Espero que tenha ajudado e até a próxima!

Alan Carlos