Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
gäller för:
Azure SQL Managed Instance
Azure SQL Managed Instance kan tillhandahålla användaranslutning via offentliga slutpunkter. I den här artikeln beskrivs hur du gör den här konfigurationen säkrare.
Scenarier
Azure SQL Managed Instance tillhandahåller en VNet-lokal slutpunkt som tillåter anslutning inifrån det virtuella nätverket. Standardalternativet är att tillhandahålla maximal isolering. Det finns dock scenarier där du behöver tillhandahålla en offentlig slutpunktsanslutning:
- DEN SQL-hanterade instansen måste integreras med paaS-erbjudanden (plattform som en tjänst) med flera klientorganisationer.
- Du behöver ett högre dataflöde för datautbyte än vad som är möjligt när du använder ett VPN.
- Företagets principer förbjuder PaaS i företagsnätverk.
Den offentliga slutpunkten använder alltid proxyanslutningstypen oavsett inställning för anslutningstyp.
Distribuera en SQL-hanterad instans för offentlig slutpunktsåtkomst
Även om den inte är obligatorisk är den gemensamma distributionsmodellen för en SQL-hanterad instans med offentlig slutpunktsåtkomst att skapa instansen i ett dedikerat isolerat virtuellt nätverk. I den här konfigurationen används det virtuella nätverket endast för isolering av virtuella kluster. Det spelar ingen roll om DEN SQL-hanterade instansens IP-adressutrymme överlappar ett företagsnätverks IP-adressutrymme.
Skydda data i rörelse
SQL Managed Instance-datatrafik krypteras alltid om klientdrivrutinen stöder kryptering. Data som skickas mellan den SQL-hanterade instansen och andra virtuella Azure-datorer eller Azure-tjänster lämnar aldrig Azures stamnät. Om det finns en anslutning mellan den SQL-hanterade instansen och ett lokalt nätverk rekommenderar vi att du använder Azure ExpressRoute. ExpressRoute hjälper dig att undvika att flytta data via det offentliga Internet. För lokal SQL-hanterad instansanslutning kan endast privat peering användas.
Låsa inkommande och utgående anslutning
Följande diagram visar de rekommenderade säkerhetskonfigurationerna:
En SQL-hanterad instans har en offentlig slutpunktsadress som är dedikerad till en kund. Den här slutpunkten delar IP-adressen med hanteringsslutpunkten men använder en annan port. På samma sätt som en VNet-lokal slutpunkt kan den offentliga slutpunkten ändras efter vissa hanteringsåtgärder. Bestäm alltid den offentliga slutpunktsadressen genom att matcha FQDN-posten för slutpunkten. Till exempel när du konfigurerar brandväggsregler på programnivå.
För att säkerställa att trafiken till den SQL-hanterade instansen kommer från betrodda källor rekommenderar vi att du ansluter från källor med välkända IP-adresser. Använd en nätverkssäkerhetsgrupp för att begränsa åtkomsten till den offentliga SQL-hanterade instansens offentliga slutpunkt på port 3342.
När klienter behöver initiera en anslutning från ett lokalt nätverk kontrollerar du att den ursprungliga adressen översätts till en välkänd uppsättning IP-adresser. Om du inte kan göra det (till exempel att en mobil personalstyrka är ett typiskt scenario) rekommenderar vi att du använder punkt-till-plats-VPN-anslutningar och en VNet-lokal slutpunkt.
Om anslutningar startas från Azure rekommenderar vi att trafiken kommer från en välkänd tilldelad virtuell IP-adress (till exempel en virtuell dator). Om du vill göra det enklare att hantera virtuella IP-adresser (VIP) kanske du vill använda offentliga IP-adressprefix.