azure - 无法使用专用终结点将 Azure Function 与 Azure SQL 连接

Question

我创建了一个 SQL Server，然后使用专用 IP 10.1.1.4 与我的 TESTVNET/SUBNET1 创建了专用链接。我现在已禁用 SQL 服务器的公共(public)访问。

我有一个在应用服务上运行的 Azure 功能，我已将 VNET 与 VNET/SUBNET2 集成。 子网 2 显示它已委托(delegate)给服务器场。 (另外，如果有人可以解释委托(delegate)的含义，我发现我也无法在该子网中创建任何虚拟机，可能它无法用于任何其他目的)

现在，当我的 azure 函数尝试连接到数据库时。它失败并出现以下错误:

2020-08-30T15:25:45.216 [错误] 未处理的拒绝 SequelizeAccessDeniedError:无法打开登录请求的服务器“10.1.1.4”。登录失败。但是，如果我提供公共(public) FQDN，则会出现以下错误。

2020-08-30T15:29:43.654 [错误] 未处理的拒绝 SequelizeAccessDeniedError:原因:建立与 SQL Server 的连接时发生特定于实例的错误。无法访问该服务器上的公共(public)网络接口(interface)。要连接到此服务器，请使用虚拟网络内部的专用端点。

这里，私有(private)端点创建的私有(private) DNS 应该被理想地用于获取 SQL 数据库的私有(private) IP，但似乎该函数没有使用私有(private) DNS，可能是因为不是在隔离环境中运行。

现在，在我的 Azure 函数应用程序设置中，我添加了 WEBSITE_VNET_ROUTE_ALL =1，这意味着所有请求都应路由到 VNET。所以现在如果我启用公共(public)访问互联网，并允许Azure服务访问数据库(我认为azure默认添加了公共(public)IP)。该函数连接到数据库。现在我想了解哪里出了问题以及为什么专用端点连接不起作用。如有任何帮助，我们将不胜感激。

在数据库防火墙设置中，我已允许来自以下子网的流量: 网络配置

TESTVNET:10.1.0.0/16

子网 1:10.1.1.0/24

子网 2:10.1.2.0/24

我已在子网 1 和子网 2 中禁用 SQL 服务端点。我的 NSG 具有默认设置，即允许 VnetInBound、允许 AzureLoadBalancerInBound、DenyAllInBound允许 VnetOutBound、允许 InternetOutBound、DenyAllOutBound。由于我的专用链接在同一 VNET 中存在专用 IP，因此我认为 NSG 不会产生任何影响。

Azure 新手，正在测试。感谢您的耐心等待。

Answer 1

要使 Azure Function 连接到专用终结点，您需要使用 VNET integration .

应用与 VNet 集成后，它将使用与 VNet 配置相同的 DNS 服务器。默认情况下，你的应用程序无法与 Azure DNS 专用区域配合使用。要使用 Azure DNS 专用区域，您需要添加以下应用设置:

WEBSITE_DNS_SERVER with value 168.63.129.16
WEBSITE_VNET_ROUTE_ALL with value 1

除了使您的应用能够使用 Azure DNS 专用区域之外，这些设置还会将所有出站调用从您的应用发送到您的 VNet。引用here .

然后你可以set up Private Link for Azure SQL Database 。您可以从同一 VNet 中的新子网创建 Azure VM 到 check connectivity using SQL Server Management Studio (SSMS) 。如果启用专用终结点，则应从该 Azure VM 获取客户端专用 IP，以将 Azure SQL 数据库与其 FQDN 连接。

更多信息，您可以阅读 this blog 中的私有(private)端点 VS 服务端点.