限制登录到SQL可用性组

Question

是否可以根据SQL 2012/2014中的可用性组限制用户可用的数据库。

希望有两个数据库，其中域用户有权访问这些数据库。把一个放在一个可用性组中，另一个放在另一个可用性组中。在每个ip地址上都有侦听器。然后使用防火墙限制对给定IP地址的访问，访问的依据是终端用户从哪里连接，如果他们从一个网络连接到另一个网络，那么希望限制他们可以访问的数据库？这是可能的，我的理解是默认行为是侦听器将允许最终用户连接他们可以访问的数据库，而不是与与此侦听器关联的可用性组数据库相关的数据库。

任何关于如何实现这一目标的指导。

谢谢

Answer 1

所以基本上：

当连接到网络A时，用户可以访问数据库A，当连接到网络B时，用户可以访问数据库B。在网络A中，用户不应该能够连接到数据库B，反之亦然。

当连接到AG侦听器时，您将连接到SQL实例，此时AG的主要位置是。应用的安全性是该实例上的活动安全性。

我认为这样做的唯一方法是授予用户在两个数据库(和实例)上的权限，而不是使用防火墙阻止从网络A访问网络B中的SQL (AG侦听器和SQL侦听器)，反之亦然。

当一切都很好的时候，这是可行的，但是当您的AG失败时，您将无法访问它。

我不建议实施这个。我的主要问题仍然是:你为什么要这样做？

我认为可用性组不是这里的正确解决方案。只需设置2个SQL服务器，授予适当的权限并配置防火墙。如果您想要DRP/HA的AGs，您需要避免阻塞它。