Delen via

Openbare eindpunten configureren in Azure SQL Managed Instance

van toepassing op:Azure SQL Managed Instance

Openbare eindpunten voor Azure SQL Managed Instance maken gegevenstoegang tot uw met SQL beheerde exemplaar mogelijk van buiten het virtuele netwerk. U hebt toegang tot uw met SQL beheerde exemplaar vanuit multitenant Azure-services zoals Power BI, Azure App Service of een on-premises netwerk. Als u het openbare eindpunt op een met SQL beheerd exemplaar gebruikt, hoeft u geen VPN te gebruiken, wat kan helpen bij het voorkomen van problemen met VPN-doorvoer.

In dit artikel leert u het volgende:

  • Een openbaar eindpunt voor uw met SQL beheerde exemplaar in- of uitschakelen
  • Uw netwerkbeveiligingsgroep (NSG) voor uw SQL-beheerd exemplaar configureren om verkeer toe te staan naar het openbare eindpunt van het SQL-beheerd exemplaar.
  • De connectiestring voor het openbare eindpunt van de SQL Managed Instance ophalen

Machtigingen

Vanwege de vertrouwelijkheid van gegevens in een met SQL beheerd exemplaar is voor de configuratie voor het inschakelen van een openbaar eindpunt van SQL Managed Instance een proces in twee stappen vereist. Deze beveiligingsmaatregel voldoet aan de scheiding van taken (SoD):

  • De beheerder van het beheerde SQL-exemplaar moet het openbare eindpunt inschakelen op het beheerde SQL-exemplaar. De beheerder van de SQL Managed Instance kan gevonden worden op de overzichtspagina voor uw SQL Managed Instance-resource.
  • Een netwerkbeheerder moet verkeer naar het beheerde SQL-exemplaar toestaan met behulp van een netwerkbeveiligingsgroep (NSG). Raadpleeg voor meer informatie de machtigingen voor netwerkbeveiligingsgroepen .

Openbaar eindpunt inschakelen

U kunt het openbare eindpunt voor uw met SQL beheerde exemplaar inschakelen met behulp van Azure Portal, Azure PowerShell of De Azure CLI.

Voer de volgende stappen uit om het openbare eindpunt voor uw met SQL beheerde exemplaar in te schakelen in Azure Portal:

  1. Ga naar de Azure Portal.
  2. Open de resourcegroep met het beheerde SQL-exemplaar en selecteer het met SQL beheerde exemplaar waarop u het openbare eindpunt wilt configureren.
  3. Selecteer in de instellingen van Security het tabblad Networking.
  4. Selecteer Op de pagina Configuratie van het virtuele netwerk de optie Inschakelen en vervolgens het pictogram Opslaan om de configuratie bij te werken.

Schermopname toont de pagina Virtueel netwerk van SQL Managed Instance met het openbare eindpunt ingeschakeld.

Openbaar eindpunt uitschakelen

U kunt het openbare eindpunt voor uw met SQL beheerde exemplaar uitschakelen met behulp van Azure Portal, Azure PowerShell en de Azure CLI.

Voer de volgende stappen uit om het openbare eindpunt uit te schakelen met behulp van Azure Portal:

  1. Ga naar de Azure Portal.
  2. Open de resourcegroep met het beheerde SQL-exemplaar en selecteer het met SQL beheerde exemplaar waarop u het openbare eindpunt wilt configureren.
  3. Selecteer in de instellingen van Security het tabblad Networking.
  4. Selecteer op de pagina Configuratie van het virtuele netwerk de optie Uitschakelen en klik vervolgens op het pictogram Opslaan om de configuratie bij te werken.

Openbaar eindpuntverkeer in de netwerkbeveiligingsgroep toestaan

Gebruik Azure Portal om openbaar verkeer binnen de netwerkbeveiligingsgroep toe te staan. Volg deze stappen:

  1. Ga naar de Overzichtspagina voor uw SQL Managed Instance in de Azure portal.

  2. Selecteer de koppeling Virtueel netwerk/subnet, waarmee u naar de pagina virtuele netwerkconfiguratie gaat.

    Schermopname toont de pagina configuratie van het virtuele netwerk waar u de waarde van uw virtuele netwerk/subnet kunt vinden.

  3. Selecteer het tabblad Subnetten in het configuratiedeelvenster van uw virtuele netwerk en noteer de naam van de BEVEILIGINGSGROEP voor uw beheerde SQL-exemplaar.

    Schermopname van het tabblad Subnet, waar u de Security Group voor uw SQL-beheerde instantie kunt ophalen.

  4. Ga terug naar de resourcegroep die uw met SQL beheerde exemplaar bevat. Je zou de naam van de netwerkbeveiligingsgroep moeten zien die je eerder hebt genoteerd. Selecteer de netwerkbeveiligingsgroep naam om de netwerkbeveiligingsgroep configuratiepagina te openen.

  5. Selecteer het tabblad Inkomende beveiligingsregels en voeg een regel toe met een hogere prioriteit dan de deny_all_inbound regel met de volgende instellingen:

    Instelling Voorgestelde waarde Beschrijving
    bron Een IP-adres of servicetag
    • Voor Azure-services, zoals Power BI, selecteert u de Azure Cloud Service-tag
    • Gebruik NAT IP-adres voor uw computer of virtuele Azure-machine
    Bronpoortbereiken * Laat dit over aan * (any) omdat bronpoorten doorgaans dynamisch worden toegewezen en als zodanig onvoorspelbaar
    Bestemming Enig Bestemming instellen op Any om verkeer toe te staan in het subnet van het beheerde SQL-exemplaar
    doelpoortbereiken 3342 Stel de doelpoort in op 3342, wat het publieke TDS-eindpunt van de SQL Managed Instance is.
    Protocol TCP SQL Managed Instance maakt gebruik van TCP-protocol voor TDS
    Actie Toestaan Binnenkomend verkeer naar een met SQL beheerd exemplaar via het openbare eindpunt toestaan
    Prioriteit 1300 Zorg ervoor dat deze regel een hogere prioriteit heeft dan de deny_all_inbound-regel

    Schermopname toont de beveiligingsregels voor inkomend verkeer met de nieuwe public_endpoint_inbound-regel boven de deny_all_inbound-regel.

    Notitie

    Poort 3342 wordt gebruikt voor openbare eindpuntverbindingen met sql Managed Instance en kan momenteel niet worden gewijzigd.

Controleer of routering juist is geconfigureerd

Een route met het adresvoorvoegsel 0.0.0.0/0 geeft Azure instructies voor het routeren van verkeer dat is bestemd voor een IP-adres dat zich niet binnen het adresvoorvoegsel van een andere route in de routetabel van een subnet bevindt. Wanneer een subnet wordt aangemaakt, maakt Azure een standaardroute aan naar het adresvoorvoegsel 0.0.0.0/0, met het Internet als volgende hoptype.

Het overschrijven van deze standaardroute zonder de benodigde route(s) toe te voegen om ervoor te zorgen dat het openbare eindpuntverkeer rechtstreeks naar internet wordt gerouteerd, kan asymmetrische routeringsproblemen veroorzaken omdat binnenkomend verkeer niet via de gateway van het virtuele apparaat/virtuele netwerk stroomt. Zorg ervoor dat al het verkeer dat het beheerde SQL-exemplaar via openbaar internet bereikt, ook via openbaar internet wordt teruggestuurd door specifieke routes voor elke bron toe te voegen of de standaardroute in te stellen op het adresvoorvoegsel 0.0.0.0/0 terug naar internet als volgend hoptype.

Zie meer informatie over de impact van wijzigingen op deze standaardroute op adresvoorvoegsel 0.0.0.0/0.

De verbindingsreeks voor het openbare eindpunt ophalen

  1. Navigeer naar de configuratiepagina van het beheerde SQL-exemplaar die is ingeschakeld voor een openbaar eindpunt. Selecteer de verbindingsreeksen tabblad onder de Instellingen configuratie.

  2. De hostnaam van het openbare eindpunt heeft de indeling <mi_name>.public.<dns_zone>.database.windows.neten de poort die wordt gebruikt voor de verbinding is 3342. Hier volgt een voorbeeld van een verbindingsreeks die de openbare eindpuntpoort aangeeft die kan worden gebruikt in SQL Server Management Studio-verbindingen: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Schermopname toont de verbindingsreeksen voor uw openbare en VNet-lokale eindpunten.

Volgende stap

Azure SQL Managed Instance veilig gebruiken met openbare eindpunten