Dzięki bazie danych SQL Sever, która znajduje się na zdalnym hostowanym serwerze dedykowanym, mogę pracować przy użyciu programu SQL Server Management Studio zainstalowanego na tym samym serwerze lub na komputerze lokalnym. W pierwszym przypadku powinienem pracować przy użyciu Pulpitu zdalnego, co sprawia, że praca jest nieco wolniejsza. W drugim przypadku muszę otworzyć dodatkowy port w zaporze ogniowej serwera, ale będę mieć wygodniejszą obsługę.
Jaka jest zalecana praktyka tych dwóch?
sql-server
ssms
rem
źródło
źródło
Odpowiedzi:
Otwarcie serwera SQL na bezpośrednie połączenia zewnętrzne to pomysł, którego można uniknąć, jeśli możesz - znacznie zwiększasz widoczną powierzchnię do ataku, a wszelka komunikacja między tobą a serwerem (być może poza danymi uwierzytelniającymi w fazie uwierzytelniania) nie będzie zaszyfrowane. Jeśli musisz otworzyć port, upewnij się, że jest on otwarty tylko dla twoich stałych adresów IP (zakładając, że masz stałe adresy, które nie są udostępniane przez nikogo innego, tj. Nie korzystasz z usług dostawcy usług internetowych, który ma cię za aranżacją NAT, taką jak większość dostawców mobilnego internetu).
O wiele lepszą opcją byłoby zainstalowanie konfiguracji VPN (takiej jak na przykład OpenVPN ) lub usługi SSH ( Cygwinzawiera port wspólnego standardu OpenSSH, który obecnie finansuję, a także usługę w systemie Windows 2003 i 2008), przez którą można tunelować połączenie. W ten sposób SSH lub VPN obsługują zarówno uwierzytelnianie, jak i szyfrowanie oraz dodają (zakładając, że masz bezpieczne hasła / klucze) znaczącą warstwę ochrony, której nie miałby bezpośrednio otwarty port. Oferowane przez nich wsparcie kompresji pomoże skrócić czas odpowiedzi na zapytania zwracające więcej niż niewielką ilość danych. Konfiguracja oparta na SSHd może być łatwiejsza do skonfigurowania, szczególnie jeśli znasz już SSH, chociaż większość prawdziwych sieci VPN (takich jak OpenVPN) ma tę zaletę, że komunikacja nad nimi może przetrwać krótkie przerwy w komunikacji (jak utrata routera ADSL synchronizacja i ponowne łączenie). Opcja VPN jest również mniej kłopotliwa, jeśli na komputerze docelowym lub w witrynie docelowej działa wiele instancji serwera SQL. Obie metody z powodzeniem wykorzystałem do wielu rzeczy, w tym do rozmowy z SQL Server przy użyciu lokalnych wersji standardowych narzędzi i stwierdziłem, że działają one dobrze (chociaż wszystkie moje serwery OpenVPN działają w systemie Linux, ale powiedziano mi, że działa dobrze serwer również w systemie Windows).
Bezpośrednie połączenie się ze zdalną maszyną (wejściem) w ten sposób może być bardzo wygodne, ale należy pamiętać, że nawet przy starannej konfiguracji VPN zwiększasz liczbę komputerów, na które jest narażony Twój SQL Server, szczególnie jeśli jest to system produkcyjny z twoim rzeczywistych danych użytkownika, upewnij się, że poświęcasz czas, aby upewnić się, że maszyny, które widzą serwer przez VPN / tunel, są bezpieczne i same się nie zarażają (prawdopodobnie robisz to już oczywiście, ale zawsze warto to zrobić ponownie!).
źródło
Wiem o tym, jak to zrobić, aby ustanowić połączenie VPN z inną witryną, tym samym przyćmiewając potrzebę otwarcia portu i utrzymując bezpieczeństwo konfiguracji, jednocześnie eliminując potrzebę RDP na drugim serwerze. To prawda, że ryzykujesz zerwanie połączenia podczas pracy, co może przedwcześnie kończyć zapytania, ale w przeciwnym razie ... to jest to, co robimy i działa dobrze dla nas.
Jeśli zamierzasz regularnie z nich korzystać zdalnie, możesz spojrzeć na półtrwałe połączenie VPN (jestem pewien, że jest lepsza nazwa ... Most VPN?), Który pozwoli ci połączyć się tylko przez adres IP. Facet z sieci może tutaj ważyć lepiej.
źródło
W naszym biurze mamy dwie zapory ogniowe, jedną zaporę do publicznego Internetu i jedną do sieci wewnętrznej. Jeśli jesteś w sieci wewnętrznej, możesz połączyć się bezpośrednio z serwerem SQL. Jeśli korzystasz z zewnętrznego Internetu, nie możesz, ponieważ port nie jest otwarty w zaporze. Jeśli chcesz połączyć się przez Internet, musisz zalogować się przez VPN.
źródło
W naszym biurze mamy stałą VPN dla wszystkich serwerów db i współpracujemy z lokalnym Management Studio nad zdalnymi serwerami. Korzystanie ze zdalnego pulpitu jest nieco wolniejsze niż wygląd i działanie lokalnych narzędzi :).
Gdy połączenie zdalnego pulpitu jest naprawdę potrzebne, możesz skorzystać z darmowego narzędzia (takiego jak Royal TS) i zachować wszystkie połączenia z serwerem w zaszyfrowanym pliku i używać go tylko w razie potrzeby.
źródło