Поделиться через

Настройка общедоступных конечных точек в Управляемый экземпляр SQL Azure

Область применения: Управляемый экземпляр SQL Azure

Общедоступные конечные точки для Управляемого экземпляра SQL Azure позволяют получать доступ к управляемому экземпляру SQL за пределами виртуальной сети. Вы можете получить доступ к управляемому экземпляру SQL из мультитенантных служб Azure, таких как Power BI, Служба приложений Azure или локальная сеть. Используя общедоступную конечную точку в управляемом экземпляре SQL, вам не нужно использовать VPN, что может помочь избежать проблем с пропускной способностью VPN.

Вы узнаете, как выполнять следующие задачи:

  • Включение или отключение общедоступной конечной точки для управляемого экземпляра SQL
  • Настройте группу безопасности сети управляемого экземпляра SQL (NSG), чтобы разрешить трафик к общедоступной конечной точке управляемого экземпляра SQL.
  • Получите строку подключения к общедоступной конечной точке управляемого экземпляра SQL

Разрешения

Из-за конфиденциальности данных в управляемом экземпляре SQL конфигурация для включения общедоступной конечной точки управляемого экземпляра SQL требует двухфакторного процесса. Эта мера безопасности придерживается принципа разделения обязанностей (SoD):

  • Администратор управляемого экземпляра SQL должен включить общедоступную конечную точку в управляемом экземпляре SQL. Администратор управляемого экземпляра SQL находится на странице Обзора ресурса управляемого экземпляра SQL.
  • Администратор сети должен разрешить трафик управляемому экземпляру SQL с помощью группы безопасности сети (NSG). Дополнительные сведения см. в разделе "Разрешения группы безопасности сети".

Включить общедоступную конечную точку

Вы можете включить общедоступную конечную точку для Управляемый экземпляр SQL с помощью портал Azure, Azure PowerShell или Azure CLI.

Чтобы включить общедоступную конечную точку для Управляемый экземпляр SQL в портал Azure, выполните следующие действия.

  1. Переход на портал Azure.
  2. Откройте группу ресурсов с управляемым экземпляром SQL и выберите управляемый экземпляр SQL , на который необходимо настроить общедоступную конечную точку.
  3. На вкладке "Параметры безопасности " выберите вкладку "Сеть ".
  4. На странице конфигурации виртуальной сети нажмите кнопку "Включить", а затем значок "Сохранить ", чтобы обновить конфигурацию.

Снимок экрана: страница

Отключение общедоступной конечной точки

Вы можете отключить общедоступную конечную точку для Управляемый экземпляр SQL с помощью портал Azure, Azure PowerShell и Azure CLI.

Чтобы отключить общедоступную конечную точку с помощью портал Azure, выполните следующие действия.

  1. Переход на портал Azure.
  2. Откройте группу ресурсов с управляемым экземпляром SQL и выберите управляемый экземпляр SQL , на который необходимо настроить общедоступную конечную точку.
  3. На вкладке "Параметры безопасности " выберите вкладку "Сеть ".
  4. На странице конфигурации виртуальной сети выберите "Отключить", а затем значок "Сохранить ", чтобы обновить конфигурацию.

Разрешить трафик общедоступной конечной точки в группе безопасности сети

Используйте портал Azure, чтобы разрешить общедоступный трафик в группе безопасности сети. Выполните следующие действия:

  1. Перейдите на страницу обзора Управляемый экземпляр SQL в портал Azure.

  2. Выберите ссылку "Виртуальная сеть или подсеть ", которая перейдет на страницу конфигурации виртуальной сети.

    Снимок экрана: страница конфигурации виртуальной сети, на которой можно найти значение виртуальной сети или подсети.

  3. Перейдите на вкладку "Подсети" в области конфигурации виртуальной сети и запишите имя ГРУППЫ БЕЗОПАСНОСТИ для управляемого экземпляра SQL.

    Снимок экрана: вкладка

  4. Вернитесь в группу ресурсов, содержащую управляемый экземпляр SQL. Вы увидите имя группы безопасности сети, указанное ранее. Выберите имя группы безопасности сети, чтобы открыть страницу конфигурации группы безопасности сети.

  5. Выберите вкладку правил безопасности для входящего трафика и добавьте правило, которое имеет более высокий приоритет, чем правило deny_all_inbound с помощью следующих параметров:

    Параметр Предлагаемое значение Description
    Источник Любой IP-адрес или тег службы
    • Для служб Azure, например Power BI, выберите тег облачной службы Azure.
    • Для компьютера или виртуальной машины Azure используйте IP-адрес NAT.
    Диапазоны исходных портов * Оставьте это значение * (любой) как исходные порты обычно динамически выделяются и, как это, непредсказуемые
    Назначение Любые Оставляем пункт назначения как 'Любой', чтобы разрешить трафик в подсеть управляемого экземпляра SQL.
    Диапазоны портов назначения 3342 Установите порт назначения 3342, который служит общедоступной конечной точкой TDS для управляемого экземпляра SQL
    Протокол TCP Управляемый экземпляр SQL использует протокол TCP для TDS.
    Действие Allow Разрешить входящий трафик в управляемый экземпляр SQL через общедоступную конечную точку
    Приоритет 1300 Убедитесь, что это правило имеет более высокий приоритет, чем правило deny_all_inbound.

    Снимок экрана: правила безопасности для входящего трафика с новым правилом public_endpoint_inbound над правилом deny_all_inbound.

    Примечание.

    Порт 3342 используется для подключений общедоступной конечной точки к управляемому экземпляру SQL и в настоящее время не может быть изменен.

Убедитесь, что маршрутизация настроена правильно

Маршрут с префиксом адреса 0.0.0.0/0 указывает Azure, как маршрутизировать трафик, предназначенный для IP-адреса, который не находится в префиксе адреса любого другого маршрута в таблице маршрутов подсети. При создании подсети Azure создает маршрут по умолчанию с префиксом адреса 0.0.0.0/0 и типом следующего прыжка Интернет.

Переопределение этого маршрута по умолчанию без добавления необходимых маршрутов, чтобы убедиться, что трафик общедоступной конечной точки направляется непосредственно в Интернет , может вызвать асимметричные проблемы с маршрутизацией, так как входящий трафик не передается через виртуальный модуль или шлюз виртуальной сети. Убедитесь, что весь трафик, поступающий к управляемому экземпляру SQL через общедоступный Интернет, также возвращается через общедоступный Интернет. Для этого можно создать конкретные маршруты для каждого источника или установить маршрут по умолчанию с префиксом адреса 0.0.0.0/0 обратно в Интернет в качестве типа следующего узла.

Дополнительные сведения о влиянии изменений на этот маршрут по умолчанию см. в префиксе адреса 0.0.0.0/0.

Получение общедоступной конечной точки строка подключения

  1. Перейдите на страницу конфигурации управляемого экземпляра SQL, которая была включена для общедоступной конечной точки. В разделе конфигурации Параметры перейдите на вкладку Строки подключения.

  2. Имя узла общедоступной конечной точки имеет формат <mi_name>.public.<dns_zone>.database.windows.net, а порт, используемый для подключения, равен 3342. Ниже приведен пример строки подключения, обозначающей порт общедоступной конечной точки, который можно использовать в подключениях SQL Server Management Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Снимок экрана: строка подключения для общедоступных и локальных конечных точек виртуальной сети.

Следующий шаг

Безопасное использование управляемого экземпляра SQL Azure с общедоступными конечными точками

  • Last updated on