Nyilvános végpontok konfigurálása felügyelt Azure SQL-példányban

  • Cikk

A következőre vonatkozik: Felügyelt Azure SQL-példány

A felügyelt Azure SQL-példány nyilvános végpontjai lehetővé teszik a felügyelt példányhoz való adathozzáférést a virtuális hálózaton kívülről. A felügyelt példányt több bérlős Azure-szolgáltatásokból, például a Power BI-ból, az Azure App Service-ből vagy egy helyszíni hálózatból érheti el. A nyilvános végpont felügyelt példányon való használatával nem kell VPN-t használnia, ami segíthet elkerülni a VPN átviteli sebességével kapcsolatos problémákat.

Ebben a cikkben az alábbiakkal ismerkedhet meg:

  • Nyilvános végpont engedélyezése vagy letiltása a felügyelt példányhoz
  • A felügyelt példány hálózati biztonsági csoportjának (NSG) konfigurálása a felügyelt példány nyilvános végpontja felé történő forgalom engedélyezéséhez
  • A felügyelt példány nyilvános végpont kapcsolati sztringjének beszerzése

Engedélyek

A felügyelt példányok adatainak bizalmassága miatt a felügyelt példány nyilvános végpontjának engedélyezéséhez kétlépéses folyamat szükséges. Ez a biztonsági intézkedés a vámok (SoD) elkülönítését követi:

  • A felügyelt példány rendszergazdájának engedélyeznie kell a nyilvános végpontot a felügyelt példányon. A felügyelt példány rendszergazdája a felügyelt példány erőforrásának Áttekintés lapján található.
  • A hálózati rendszergazdának engedélyeznie kell a felügyelt példány felé történő forgalmat egy hálózati biztonsági csoport (NSG) használatával. További információkért tekintse át a hálózati biztonsági csoport engedélyeit.

Nyilvános végpont engedélyezése

A felügyelt SQL-példány nyilvános végpontját az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával engedélyezheti.

Ha engedélyezni szeretné a felügyelt SQL-példány nyilvános végpontját az Azure Portalon, kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure Portalt.
  2. Nyissa meg az erőforráscsoportot a felügyelt példánnyal, és válassza ki a nyilvános végpont konfigurálásához használni kívánt felügyelt SQL-példányt .
  3. A Biztonsági beállítások lapon válassza a Hálózatkezelés lapot.
  4. A Virtuális hálózat konfigurációs lapján válassza az Engedélyezés , majd a Mentés ikont a konfiguráció frissítéséhez.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Nyilvános végpont letiltása

A felügyelt SQL-példány nyilvános végpontját az Azure Portal, az Azure PowerShell és az Azure CLI használatával tilthatja le.

Ha le szeretné tiltani a nyilvános végpontot az Azure Portal használatával, kövesse az alábbi lépéseket:

  1. Nyissa meg az Azure Portalt.
  2. Nyissa meg az erőforráscsoportot a felügyelt példánnyal, és válassza ki a nyilvános végpont konfigurálásához használni kívánt felügyelt SQL-példányt .
  3. A Biztonsági beállítások lapon válassza a Hálózatkezelés lapot.
  4. A Virtuális hálózat konfigurációs lapján válassza a Letiltás , majd a Mentés ikont a konfiguráció frissítéséhez.

Nyilvános végpont forgalmának engedélyezése a hálózati biztonsági csoportban

Az Azure Portal használatával engedélyezheti a hálózati biztonsági csoporton belüli nyilvános forgalmat. Kövesse az alábbi lépéseket:

  1. Nyissa meg a felügyelt SQL-példány áttekintési lapját az Azure Portalon.

  2. Válassza ki a Virtuális hálózat/alhálózat hivatkozást, amely a Virtuális hálózat konfigurációs lapjára viszi.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Válassza a virtuális hálózat konfigurációs paneljének Alhálózatok lapját, és jegyezze fel a felügyelt példány BIZTONSÁGI CSOPORT nevét.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Térjen vissza a felügyelt példányt tartalmazó erőforráscsoporthoz. A korábban feljegyzett hálózati biztonsági csoport nevét kell látnia. Válassza ki a Hálózati biztonsági csoport nevét a Hálózati biztonsági csoport konfigurációs lapjának megnyitásához.

  5. Válassza a Bejövő biztonsági szabályok lapot, és adjon hozzá egy, a deny_all_inbound szabálynál magasabb prioritású szabályt az alábbi beállításokkal:

    Beállítás Ajánlott érték Leírás
    Forrás Bármely IP-cím vagy szolgáltatáscímke
    • Az Olyan Azure-szolgáltatások esetében, mint a Power BI, válassza az Azure Cloud Service címkét
    • A számítógéphez vagy az Azure-beli virtuális géphez használjon NAT IP-címet
    Forrásporttartományok * Hagyja ezt a *-ra (bármelyikre), mivel a forrásportok általában dinamikusan vannak lefoglalva, és így kiszámíthatatlanok
    Cél Bármely A célhely bármelyként való elhagyása a felügyelt példány alhálózatába történő forgalom engedélyezéséhez
    Célporttartományok 3342 Hatókör célportja a 3342-be, amely a felügyelt példány nyilvános TDS-végpontja
    Protocol (Protokoll) TCP A felügyelt SQL-példány TCP protokollt használ a TDS-hez
    Művelet Engedélyezés Felügyelt példány bejövő forgalmának engedélyezése a nyilvános végponton keresztül
    Priority (Prioritás) 1300 Győződjön meg arról, hogy ez a szabály magasabb prioritású, mint a deny_all_inbound szabály

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Megjegyzés:

    A 3342-s portot a felügyelt példány nyilvános végpontkapcsolataihoz használják, és jelenleg nem módosíthatók.

Ellenőrizze, hogy az útválasztás megfelelően van-e konfigurálva

A 0.0.0.0/0 címelőtagú útvonal utasítást ad az Azure-nak arra vonatkozóan, hogyan irányítsa az adatforgalmat, amelynek célja egy olyan IP-cím, amely kívül esik az alhálózat útvonaltáblájában szereplő útvonalainak címelőtagjain. Alhálózat létrehozásakor az Azure létrehoz egy alapértelmezett útvonalat a 0.0.0.0/0 címelőtaghoz, az internet következő ugrástípusával.

Az alapértelmezett útvonal felülírása a szükséges útvonal(ok) hozzáadása nélkül annak biztosításához, hogy a nyilvános végpont forgalmát közvetlenül az internetre irányítsa, aszimmetrikus útválasztási problémákat okozhat, mivel a bejövő forgalom nem a virtuális berendezésen/virtuális hálózati átjárón keresztül áramlik. Győződjön meg arról, hogy a felügyelt példányt nyilvános interneten keresztül elérő összes forgalom visszafelé halad a nyilvános interneten keresztül is, ha adott útvonalakat ad hozzá az egyes forrásokhoz, vagy az alapértelmezett útvonalat a 0.0.0.0/0 címelőtagra állítja vissza az internetre következő ugrástípusként.

További információ a változásoknak az alapértelmezett útvonalra gyakorolt hatásáról a 0.0.0.0/0 címelőtagnál.

A nyilvános végpont kapcsolati sztringjének beszerzése

  1. Lépjen a nyilvános végponthoz engedélyezett felügyelt példány konfigurációs lapjára. Válassza a Kapcsolati sztringek lapot a Beállítások konfiguráció alatt.

  2. A nyilvános végpont gazdagépének neve mi_name> formátumban <jelenik meg.nyilvános.<>dns_zone.database.windows.net, és hogy a kapcsolathoz használt port 3342. Íme egy példa a kapcsolati sztring kiszolgálói értékére, amely az SQL Server Management Studióban vagy az Azure Data Studio-kapcsolatokban használható nyilvános végpontportot jelöli: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

További lépések

Megtudhatja, hogyan használhatja biztonságosan a felügyelt Azure SQL-példányt nyilvános végponttal.