Dela via

Konfigurera offentliga slutpunkter i Azure SQL Managed Instance

gäller för:Azure SQL Managed Instance

Offentliga slutpunkter för Azure SQL Managed Instance ger dataåtkomst till din SQL-hanterade instans utanför det virtuella nätverket. Du kan komma åt din SQL-hanterade instans från Azure-tjänster med flera klientorganisationer, till exempel Power BI, Azure App Service eller ett lokalt nätverk. Genom att använda den offentliga slutpunkten på en SQL-hanterad instans behöver du inte använda ett VPN, vilket kan hjälpa dig att undvika problem med VPN-dataflöde.

I den här artikeln lär du dig att:

  • Aktivera eller inaktivera en offentlig slutpunkt för din SQL-hanterade instans
  • Konfigurera nätverkssäkerhetsgruppen för SQL-hanterad instans (NSG) för att tillåta trafik till den hanterade instansens offentliga slutpunkt.
  • Hämta den offentliga slutpunktsanslutningssträngen för SQL-hanterad instans

Behörigheter

På grund av känsligheten för data i en SQL-hanterad instans kräver konfigurationen för att aktivera offentlig SQL-hanterad instans en tvåstegsprocess. Den här säkerhetsåtgärden följer ansvarsfördelningen (SoD):

  • SQL-administratören för den hanterade instansen måste aktivera den offentliga slutpunkten på den SQL-hanterade instansen. Sql Managed Instance-administratören finns på sidan Översikt för din SQL-hanterade instansresurs.
  • En nätverksadministratör måste tillåta trafik till den SQL-hanterade instansen med hjälp av en nätverkssäkerhetsgrupp (NSG). För mer information, granska nätverkssäkerhetsgruppens behörigheter .

Aktivera offentlig slutpunkt

Du kan aktivera den offentliga slutpunkten för din SQL Managed Instance med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Följ dessa steg för att aktivera den offentliga slutpunkten för din SQL Managed Instance i Azure-portalen:

  1. Gå till Azure-portalen.
  2. Öppna resursgruppen med den SQL-hanterade instansen och välj den SQL-hanterade instans som du vill konfigurera offentlig slutpunkt på.
  3. På inställningarna för Security väljer du fliken Nätverk.
  4. På sidan Konfiguration av virtuellt nätverk väljer du Aktivera och sedan ikonen Spara för att uppdatera konfigurationen.

Skärmbild som visar sidan Virtuellt nätverk i SQL Managed Instance med den offentliga slutpunkten aktiverad.

Inaktivera offentlig slutpunkt

Du kan inaktivera den offentliga slutpunkten för din SQL Managed Instance med hjälp av Azure-portalen, Azure PowerShell och Azure CLI.

Så här inaktiverar du den offentliga slutpunkten med hjälp av Azure-portalen:

  1. Gå till Azure-portalen.
  2. Öppna resursgruppen med den SQL-hanterade instansen och välj den SQL-hanterade instans som du vill konfigurera offentlig slutpunkt på.
  3. På inställningarna för Security väljer du fliken Nätverk.
  4. På sidan Konfiguration av virtuellt nätverk väljer du Inaktivera och sedan ikonen Spara för att uppdatera konfigurationen.

Tillåt offentlig slutpunktstrafik i nätverkssäkerhetsgruppen

Använd Azure-portalen för att tillåta offentlig trafik i nätverkssäkerhetsgruppen. Följ dessa steg:

  1. Gå till sidan Översikt för din SQL Managed Instance i Azure-portalen.

  2. Välj länken Virtuellt nätverk/undernät, som tar dig till sidan Konfiguration av virtuellt nätverk.

    Skärmbild som visar konfigurationssidan för virtuellt nätverk där du hittar värdet för virtuellt nätverk/undernät.

  3. Välj fliken Undernät i konfigurationsfönstret för ditt virtuella nätverk och anteckna namnet på SÄKERHETSGRUPPEN för din SQL-hanterade instans.

    Skärmbild som visar fliken Undernät, där du kan hämta SÄKERHETSGRUPP för din SQL-hanterade instans.

  4. Gå tillbaka till resursgruppen som innehåller din SQL-hanterade instans. Du bör se nätverkssäkerhetsgruppens namn som antecknades tidigare. Välj namnet Nätverkssäkerhetsgrupp för att öppna konfigurationssidan nätverkssäkerhetsgrupp.

  5. Välj fliken Inkommande säkerhetsregler och Lägg till en regel som har högre prioritet än regeln deny_all_inbound med följande inställningar:

    Inställning Föreslaget värde Beskrivning
    Källa Ip-adress eller tjänsttagg
    • För Azure-tjänster som Power BI väljer du Azure Cloud Service-taggen
    • Använd NAT IP-adress för din dator eller virtuella Azure-dator
    Källportintervall * Låt detta vara * (valfritt) eftersom källportar vanligtvis är dynamiskt allokerade och därför oförutsägbara
    mål Vilken som helst Lämna destinationen som Any för att möjliggöra trafik in i SQL-undernätet i ett hanterat instansnätverk
    målportintervall 3342 Avgränsa målporten till 3342, vilket är den offentliga TDS-slutpunkten för den SQL-hanterade instansen.
    Protokoll TCP SQL Managed Instance använder TCP-protokoll för TDS
    åtgärd Tillåta Tillåt inkommande trafik till SQL-hanterad instans via den offentliga slutpunkten
    Prioritet 1300 Kontrollera att den här regeln har högre prioritet än regeln deny_all_inbound.

    Skärmbild som visar inkommande säkerhetsregler med din nya public_endpoint_inbound regel ovanför regeln för deny_all_inbound.

    Notis

    Port 3342 används för offentliga slutpunktsanslutningar till SQL-hanterad instans och kan för närvarande inte ändras.

Bekräfta att routningen är korrekt konfigurerad

En väg med adressprefixet 0.0.0.0/0 instruerar Azure hur du dirigerar trafik till en IP-adress som inte finns inom adressprefixet för någon annan väg i ett undernäts routningstabell. När ett undernät skapas skapar Azure en standardväg till adressprefixet 0.0.0.0/0 med Internet nästa hopptyp.

Att åsidosätta den här standardvägen utan att lägga till nödvändiga vägar för att säkerställa att den offentliga slutpunktstrafiken dirigeras direkt till Internet kan orsaka asymmetriska routningsproblem eftersom inkommande trafik inte flödar via den virtuella installationen/den virtuella nätverksgatewayen. Se till att all trafik som når den SQL-hanterade instansen via offentligt Internet också går tillbaka ut via offentligt Internet genom att antingen lägga till specifika rutter för varje källa eller ange standardvägen till adressprefixet 0.0.0.0/0 till Internet som nästa hopp.

Mer information om effekten av ändringar på den här standardvägen finns på adressprefixet 0.0.0.0/0.

Hämta anslutningssträngen för den offentliga slutpunkten

  1. Gå till konfigurationssidan för en hanterad SQL-instans som har aktiverats för offentlig slutpunkt. Välj fliken Anslutningssträngar under konfigurationen Inställningar.

  2. Värdnamnet för den offentliga slutpunkten kommer i formatet <mi_name>.public.<dns_zone>.database.windows.netoch porten som används för anslutningen är 3342. Följande är ett exempel på en anslutningssträng som anger den offentliga slutpunktsporten som kan användas i SQL Server Management Studio-anslutningar: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Skärmbild som visar anslutningssträngarna för dina offentliga och VNet-lokala slutpunkter.

Nästa steg

Använda Azure SQL Managed Instance på ett säkert sätt med offentliga slutpunkter