Konfigurace veřejných koncových bodů ve službě Azure SQL Managed Instance

  • Článek

Platí pro:Azure SQL Managed Instance

Veřejné koncové body pro azure SQL Managed Instance umožňují přístup k datům ke spravované instanci mimo virtuální síť. Ke spravované instanci máte přístup ze služeb Azure s více tenanty, jako je Power BI, Azure App Service nebo místní síť. Když ve spravované instanci použijete veřejný koncový bod, nemusíte používat síť VPN, která by vám pomohla vyhnout se problémům s propustností sítě VPN.

V tomto článku získáte informace o těchto tématech:

  • Povolení nebo zakázání veřejného koncového bodu pro spravovanou instanci
  • Nakonfigurujte skupinu zabezpečení sítě spravované instance (NSG) tak, aby umožňovala provoz do veřejného koncového bodu spravované instance.
  • Získání připojovacího řetězce veřejného koncového bodu spravované instance

Oprávnění

Kvůli citlivosti dat, která jsou ve spravované instanci, vyžaduje konfigurace pro povolení veřejného koncového bodu spravované instance dvoustupňový proces. Toto bezpečnostní opatření dodržuje oddělení povinností (SoD):

  • Správce spravované instance musí ve spravované instanci povolit veřejný koncový bod. Správce spravované instance najdete na stránce Přehled vašeho prostředku spravované instance.
  • Správce sítě musí povolit provoz do spravované instance pomocí skupiny zabezpečení sítě (NSG). Další informace najdete v oprávněních skupiny zabezpečení sítě.

Povolení veřejného koncového bodu

Veřejný koncový bod pro službu SQL Managed Instance můžete povolit pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Pokud chcete povolit veřejný koncový bod pro spravovanou instanci SQL na webu Azure Portal, postupujte takto:

  1. Přejděte na Azure Portal.
  2. Otevřete skupinu prostředků se spravovanou instancí a vyberte spravovanou instanci SQL, ve které chcete nakonfigurovat veřejný koncový bod.
  3. V nastavení zabezpečení vyberte kartu Sítě.
  4. Na stránce Konfigurace virtuální sítě vyberte Povolit a potom ikonu Uložit a aktualizujte konfiguraci.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Zakázání veřejného koncového bodu

Veřejný koncový bod pro spravovanou instanci SQL můžete zakázat pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.

Pokud chcete veřejný koncový bod zakázat pomocí webu Azure Portal, postupujte takto:

  1. Přejděte na Azure Portal.
  2. Otevřete skupinu prostředků se spravovanou instancí a vyberte spravovanou instanci SQL, ve které chcete nakonfigurovat veřejný koncový bod.
  3. V nastavení zabezpečení vyberte kartu Sítě.
  4. Na stránce Konfigurace virtuální sítě vyberte Zakázat a potom ikonu Uložit a aktualizujte konfiguraci.

Povolit provoz veřejného koncového bodu ve skupině zabezpečení sítě

Pomocí webu Azure Portal povolte veřejný provoz ve skupině zabezpečení sítě. Postupujte takto:

  1. Na webu Azure Portal přejděte na stránku Přehled vaší spravované instance SQL.

  2. Vyberte odkaz virtuální sítě nebo podsítě, který vás přenese na stránku konfigurace virtuální sítě.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. V podokně konfigurace virtuální sítě vyberte kartu Podsítě a poznamenejte si název SKUPINY ZABEZPEČENÍ pro vaši spravovanou instanci.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Vraťte se do skupiny prostředků, která obsahuje vaši spravovanou instanci. Měli byste vidět název skupiny zabezpečení sítě, který jste si poznamenali dříve. Výběrem názvu skupiny zabezpečení sítě otevřete stránku konfigurace skupiny zabezpečení sítě.

  5. Vyberte kartu Příchozí pravidla zabezpečení a přidejte pravidlo, které má vyšší prioritu než pravidlo deny_all_inbound s následujícím nastavením:

    Nastavení Navrhovaná hodnota Popis
    Source Libovolná IP adresa nebo značka služby
    • Pro služby Azure, jako je Power BI, vyberte značku cloudové služby Azure.
    • Pro váš počítač nebo virtuální počítač Azure použijte IP adresu překladu adres (NAT).
    Rozsahy zdrojových portů * Ponechte tuto možnost * (kterákoli), protože zdrojové porty se obvykle přidělují dynamicky a jako takové nepředvídatelné
    Destination Any Pokud chcete povolit provoz do podsítě spravované instance, ponechejte cíl jako Jakýkoli.
    Rozsahy cílových portů 3342 Určení rozsahu cílového portu na 3342, což je veřejný koncový bod TDS spravované instance
    Protokol TCP Sql Managed Instance používá pro TDS protokol TCP.
    Akce Povolit Povolení příchozího provozu do spravované instance prostřednictvím veřejného koncového bodu
    Priorita 1300 Ujistěte se, že toto pravidlo má vyšší prioritu než pravidlo deny_all_inbound .

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Poznámka:

    Port 3342 se používá pro připojení veřejných koncových bodů ke spravované instanci a v současné době není možné ho změnit.

Ověřte, že je správně nakonfigurované směrování.

Trasa s předponou adresy 0.0.0.0/0 dává Azure pokyn, jak směrovat provoz určený pro IP adresu, která není v rozsahu předpony adresy žádné jiné trasy ve směrovací tabulce příslušné podsítě. Když se vytvoří podsíť, Azure vytvoří výchozí trasu na předponu adresy 0.0.0.0/0 s typem dalšího segmentu směrování v internetu .

Přepsání této výchozí trasy bez přidání potřebných tras k zajištění směrování provozu veřejného koncového bodu přímo do internetu může způsobit problémy s asymetrickým směrováním, protože příchozí provoz neprochází přes bránu virtuálního zařízení nebo virtuální sítě. Ujistěte se, že veškerý provoz, který se dostane ke spravované instanci přes veřejný internet, se vrátí zpět přes veřejný internet, a to buď přidáním konkrétních tras pro každý zdroj, nebo nastavením výchozí trasy na předponu adresy 0.0.0.0/0 zpět na internet jako typ dalšího segmentu směrování.

Další podrobnosti o dopadu změn na tuto výchozí trasu najdete v předponě adresy 0.0.0.0/0.

Získání připojovacího řetězce veřejného koncového bodu

  1. Přejděte na stránku konfigurace spravované instance, která je povolená pro veřejný koncový bod. V konfiguraci Nastavení vyberte kartu Připojovací řetězce.

  2. Název hostitele veřejného koncového bodu je ve formátu <mi_name>.veřejné.<>dns_zone.database.windows.net a že port použitý pro připojení je 3342. Tady je příklad hodnoty serveru připojovacího řetězce označující port veřejného koncového bodu, který se dá použít v aplikaci SQL Server Management Studio nebo připojení azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Další kroky

Seznamte se s bezpečným používáním služby Azure SQL Managed Instance s veřejným koncovým bodem.