Configurei um Azure SQL Server com um Elastic Pool no qual criei um banco de dados de teste.
Também configurei uma rede virtual do Azure e uma VPN ponto a site. A Rede Virtual possui 2 sub-redes - uma para GatewaySubnet e outra na qual coloquei uma Máquina Virtual Windows.
Configurei com êxito o acesso à Área de Trabalho Remota para a VM e verifiquei que só posso me conectar à Área de Trabalho Remota usando o IP interno do servidor quando estou conectado à VPN (também proibi o acesso RDP por meio do IP externo - mas isso não é relevante à minha pergunta).
Gostaria de restringir e controlar o acesso ao SQL Server tanto quanto possível. Defina "Permitir acesso aos serviços do Azure" como "DESLIGADO". Também adicionei as duas sub-redes das minhas redes virtuais às configurações de firewall do SQL Server e habilitei o endpoint "Microsoft.Sql".
Verifiquei que posso me conectar ao SQL Server a partir de uma cópia do SQL Server Management Studio instalada na máquina virtual.
No entanto, não consigo me conectar usando o SQL Server Management Studio na minha máquina desktop, mesmo quando estou conectado por meio da VPN. Gostaria de poder fazer isso sem adicionar o IP do meu cliente diretamente ao firewall. Temos vários desenvolvedores remotos (todos em IPs dinâmicos) que precisarão acessar os servidores e não quero a sobrecarga do gerenciamento dessas regras de firewall. Prefiro apenas dar a eles o cliente VPN.
Desde já, obrigado...
Responder1
Acabei de receber uma resposta do Suporte do Azure sobre esse problema (03/03/2018) e eles confirmaram que o que estou tentando alcançar não é possível no momento.
Responder2
Esta é mais uma solução alternativa do que usar o gateway VPN.
Você pode tentar configurar um servidor VPN com NAT na sua VM, permitir o endereço IP da VM no Azure SQL e, em seguida, seus desenvolvedores se conectarão ao servidor VPN na VM.
O NAT enganará o Azure SQL para pensar que os clientes são a VM.
Responder3
O Azure SQL usa gateways para descobrir quais clusters o cliente deseja conectar:https://docs.microsoft.com/en-us/azure/sql-database/sql-database-connectivity-architecture.
Como os gateways possuem endereços IP fixos, simplesmente adicionei uma rota estática na interface VPN para o sql gw específico.
Por exemplo, se você obtiver um intervalo de endereços IP da VPN de 192.168.1.0/24 e precisar se conectar a um SQL na região AustraliaEast, execute os seguintes comandos:
add route 191.238.66.109 mask 255.255.255.255 192.168.1.1
add route 13.75.149.87 mask 255.255.255.255 192.168.1.1
O mesmo pode ser feito no PowerShell com Add-VpnConnectionRoute, ele adicionará uma rota estática.
Atualmente está funcionando para mim nas regiões Austrália Leste e Sudeste Asiático