Événements
Obtenez gratuitement une certification dans Microsoft Fabric !
19 nov., 23 h - 10 déc., 23 h
Pour une durée limitée, l’équipe de la communauté Microsoft Fabric propose des bons d’examen DP-600 gratuits.
Préparez-vous maintenantCe navigateur n’est plus pris en charge.
Effectuez une mise à niveau vers Microsoft Edge pour tirer parti des dernières fonctionnalités, des mises à jour de sécurité et du support technique.
S’applique à : Azure SQL Managed Instance
Cet article fournit une vue d’ensemble du point de terminaison privé pour Azure SQL Managed Instance, ainsi que les étapes de sa configuration. Les points de terminaison privés établissent une connectivité sécurisée et isolée entre un service et plusieurs réseaux virtuels sans exposer l’ensemble de l’infrastructure réseau de votre service.
Private Link est la technologie Azure qui rend Azure SQL Managed Instance disponible dans un réseau virtuel de votre choix. Un administrateur réseau peut établir un point de terminaison privé pour Azure SQL Managed Instance dans son réseau virtuel, tandis que l’administrateur SQL choisit d’accepter ou de rejeter le point de terminaison avant qu’il ne devienne actif. Les points de terminaison privés établissent une connectivité sécurisée et isolée entre un service et plusieurs réseaux virtuels sans exposer l’ensemble de l’infrastructure réseau de votre service.
Le point de terminaison local de réseau virtuel déployé avec chaque Azure SQL Managed Instance se comporte comme si un ordinateur exécutant le service était physiquement attaché à votre réseau virtuel. Il permet un contrôle quasi complet du trafic via des tables de routage, des groupes de sécurité réseau, une résolution DNS, des pare-feu et des mécanismes similaires. Vous pouvez également utiliser ce point de terminaison pour impliquer votre instance dans des scénarios nécessitant une connectivité sur des ports autres que 1433, tels que des groupes de basculement, des transactions distribuées et Managed Instance Link. Bien que le point de terminaison local de réseau virtuel offre de la flexibilité, il ajoute de la complexité lors de la configuration pour des scénarios spécifiques, en particulier ceux impliquant plusieurs réseaux virtuels ou locataires.
En revanche, la configuration d’un point de terminaison privé est semblable à l’extension d’un câble réseau physique d’un ordinateur exécutant Azure SQL Managed Instance à un autre réseau virtuel. Ce chemin de connectivité est établi virtuellement via la technologie Azure Private Link. Il autorise uniquement les connexions dans une seule direction : du point de terminaison privé à Azure SQL Managed Instance ; et il transporte uniquement le trafic sur le port 1433 (port de trafic TDS standard). De cette façon, votre Azure SQL Managed Instance devient disponible dans un autre réseau virtuel sans avoir à configurer le peering réseau ou à activer le point de terminaison public de l’instance. Même si vous déplacez l’instance vers un autre sous-réseau, tous les points de terminaison privés établis continueront à pointer vers celle-ci.
Pour une présentation plus détaillée des différents types de points de terminaison pris en charge par Azure SQL Managed Instance, consultez Vue d’ensemble de la communication.
Les points de terminaison privés pour Azure SQL Managed Instance sont plus sécurisés que l’utilisation d’un point de terminaison local de réseau virtuel ou d’un point de terminaison public et simplifient l’implémentation de scénarios de connectivité importants. Ces scénarios sont les suivants :
Les avantages de l’utilisation de points de terminaison privés par rapport à un point de terminaison local ou public de réseau virtuel sont les suivants :
Créez un point de terminaison privé à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI :
Après avoir créé un point de terminaison privé, vous devrez peut-être approuver sa création dans le réseau virtuel cible. Consultez Examiner et approuver une demande de création d’un point de terminaison privé.
Pour rendre le point de terminaison privé SQL Managed Instance entièrement fonctionnel, suivez les instructions pour configurer la résolution de noms de domaine pour le point de terminaison privé.
Certains services PaaS et SaaS Azure peuvent utiliser des points de terminaison privés pour accéder à vos données à partir de leurs environnements. La procédure de configuration d’un point de terminaison privé dans un tel service (parfois appelée « point de terminaison privé managé » ou « point de terminaison privé dans un réseau virtuel managé ») varie d’un service à l’autre. Un administrateur doit toujours examiner et approuver la demande sur Azure SQL Managed Instance, comme décrit dans Examiner et approuver une demande de création d’un point de terminaison privé.
Notes
Azure SQL Managed Instance nécessite que la chaîne de connexion du client SQL porte le nom de l’instance comme premier segment du nom de domaine (par exemple : <instance-name>.<dns-zone>.database.windows.net
). Les services PaaS et SaaS qui tentent de se connecter au point de terminaison privé Azure SQL Managed Instance via son adresse IP ne pourront pas se connecter.
Les points de terminaison privés vers Azure SQL Managed Instance peuvent également être créés dans des locataires Azure différents. Pour ce faire, l’administrateur du réseau virtuel dans lequel le point de terminaison privé doit apparaître doit d’abord obtenir l’ID de ressource complet d’Azure SQL Managed Instance à partir duquel il est sur le point de demander un point de terminaison privé. Avec ces informations, un nouveau point de terminaison privé peut être créé dans le Centre Private Link. Comme précédemment, l’administrateur d’Azure SQL Managed Instance reçoit une demande qu’il peut examiner et approuver ou rejeter, conformément à Revoir et approuver une demande de création d’un point de terminaison privé.
Une fois qu’une demande de création d’un point de terminaison privé est effectuée, l’administrateur SQL peut gérer la connexion de point de terminaison privé pour Azure SQL Managed Instance. La première étape de la gestion d’une nouvelle connexion de point de terminaison privé consiste à l’examiner et à l’approuver. Cette étape est automatique si l’utilisateur ou le service qui crée le point de terminaison privé dispose d’autorisations RBAC Azure suffisantes sur la ressource Azure SQL Managed Instance. Si l’utilisateur ne dispose pas des autorisations suffisantes, la révision et l’approbation du point de terminaison privé doivent être effectuées manuellement.
Pour approuver un point de terminaison privé, procédez comme suit :
Accédez à votre instance Azure SQL Managed Instance dans le portail Azure.
Sous Sécurité, choisissez Connexions de point de terminaison privé.
Passez en revue les connexions dont l’état est En attente et cochez la case pour choisir une ou plusieurs connexions de point de terminaison privé à approuver ou à rejeter.
Choisissez Approuver ou Rejeter, puis sélectionnez Oui dans la boîte de dialogue qui vérifie votre action.
Une fois que vous avez approuvé ou rejeté une connexion, la liste Connexion de point de terminaison privé reflète l’état de la ou des connexions de point de terminaison privé actuelles, ainsi que le message Demande/Réponse.
Après avoir créé un point de terminaison privé pour Azure SQL Managed Instance, vous devez configurer la résolution de noms de domaine, sans quoi les tentatives de connexion échouent. La méthode ci-dessous fonctionne pour les réseaux virtuels qui utilisent la résolution Azure DNS. Si votre réseau virtuel est configuré pour utiliser un serveur DNS personnalisé, ajustez les étapes en conséquence.
Pour configurer la résolution de noms de domaine pour un point de terminaison privé sur une instance dont le nom de domaine du point de terminaison local de réseau virtuel est <instance-name>.<dns-zone>.database.windows.net
, suivez l’une des deux procédures ci-dessous, selon que l’instance et son point de terminaison privé se trouvent dans le même réseau virtuel ou dans des réseaux virtuels différents.
Important
Ne modifiez pas la façon dont le nom de domaine du point de terminaison local du réseau virtuel d’Azure SQL Managed Instance se résout au sein de son propre réseau virtuel. Cela perturberait la capacité de l’instance à effectuer des opérations de gestion.
Procédez comme suit si le point de terminaison privé et Azure SQL Managed Instance se trouvent dans des réseaux virtuels différents.
Une fois ces étapes terminées, les clients SQL qui se connectent à <instance-name>.<dns-zone>.database.windows.net
à partir du réseau virtuel du point de terminaison sont routés en toute transparence via le point de terminaison privé.
Obtenez l’adresse IP du point de terminaison privé en visitant Private Link Center ou en effectuant les étapes suivantes :
Accédez à votre instance Azure SQL Managed Instance dans le portail Azure.
Sous Sécurité, choisissez Connexions de point de terminaison privé.
Recherchez la connexion de point de terminaison privé dans le tableau et choisissez le Nom du point de terminaison privé pour la connexion que vous avez choisie.
Dans la page *Vue d’ensemble, sélectionnez l’interface réseau.
Dans la page Vue d’ensemble, cochez Essentials pour identifier et copier l’Adresse IP privée.
Créez une zone privée Azure DNS nommée privatelink.<dns-zone>.database.windows.net
.
Liez la zone privée DNS au réseau virtuel de point de terminaison.
Dans la zone DNS, créez un jeu d’enregistrements avec les valeurs suivantes :
<instance-name>
Événements
Obtenez gratuitement une certification dans Microsoft Fabric !
19 nov., 23 h - 10 déc., 23 h
Pour une durée limitée, l’équipe de la communauté Microsoft Fabric propose des bons d’examen DP-600 gratuits.
Préparez-vous maintenant