连接Azure SQL服务器PASS DB

Question

我正在使用SSMS从笔记本电脑连接到Azure DB。我在“设置服务器防火墙”中提供了笔记本电脑的IP地址。但是，每次从SSMS连接时，都会考虑使用我的公共IP地址，而不是笔记本电脑IP。

我的问题是：

   1.why it's not considering my Laptop IP? 

   2. How safe is it to configure a public IP address in Azure's "set server firewall"? Will not it possible someone having same public IP can able to connect to Azure DB?

   3. How the Azure DB can be configured so that it should account the request from my laptop IP only? 

请帮助。谢谢。

Answer 1

为帮助您回答这些问题，我们首先必须考虑所涉及的网络拓扑。您的笔记本电脑可能已连接至连接到网络交换机的无线访问点。交换机（或一系列交换机，取决于您所在的位置）上的所有流量都使用专用IP地址进行通信。这些地址不能在公共互联网上路由。为了让您访问位于与笔记本电脑不同的专用网络上的Azure SQL数据库，它必须通过公共Internet传输。这意味着您的流量正在经过一系列路由器，并且为了使连接正确地在您和Azure之间路由，它需要您的公共IP地址。

在某种程度上是安全的。您要连接的Azure SQL Server也使用SSL / TLS加密通信，因此对公共Web上的通信进行了加密。您对本质上是欺骗公共IP的担忧是有效的，这就是为什么确保您为SQL登录名选择一个强密码至关重要的原因。微软还部署了一系列边缘安全服务，以监视对其任何服务的攻击，以确保其平台的安全，并将阻止可疑攻击。

如果您想限制流量，以便仅可以使用笔记本电脑，现在我们将介绍一个复杂但可行的体系结构。您将需要在Azure中设置VNet和VPN网关并连接这两个服务。然后，您必须将Azure SQL数据库连接到刚刚设置的VNet。完成后，您将需要从笔记本电脑访问VPN，这将授予您对数据库的访问权限。实际设置并非易事，因为要考虑很多因素，例如成本，您方面的硬件功能和安全要求。

归根结底，推动“正确解决方案”的因素应该是您的安全要求。对于某些人来说，通过公共IP运行就足够了，对于其他人，则需要通过VPN对其进行访问。

为了在下面发表您的评论，我需要更多空间，因此我正在修改解决方案。

任何时候只要您可以通过Internet公开访问某些内容，其他人就有可能访问它。将密码输入资源越复杂，机会就越少。如果您的Internet没有静态IP地址，或者有人欺骗了您的公共IP地址，则攻击者很有可能能够连接到Azure SQL Server。这就是密码复杂性发挥作用的地方。密码越强，暴力破解所需的时间就越长。

如果您有时间对此进行研究/学习，我建议您看一下Microsoft为Azure Solutions Architect认证提供的在线培训。我认为这将帮助您更好地理解构建这样的解决方案所涉及的复杂性。

https://docs.microsoft.com/en-us/learn/certifications/azure-solutions-architect

Answer 2

Azure PaaS服务具有公共终结点，因此这意味着您无法从私有IP连接到它们，必须使用公共IP配置Azure PaaS。有一个选项可以使用专用链接，vpn指向站点，虚拟网络网关将公用端点作为专用端点。请查看article，以了解更多详细信息。

一旦从源到天蓝色的连接仅允许您使用公共IP，就可以使用Azure PaaS防火墙来确保从公共IP的连接的安全性，但是每次更新IP时，都必须在防火墙中更改此IP，以防万一。动态。为了获得最佳实践，您应该考虑使用私有链接或Azure Instance Manager SQL，它具有更多选择，但比Azure PaaS SQL昂贵。