Nyilvános végpontok konfigurálása felügyelt Azure SQL-példányban

A következőkre vonatkozik:Felügyelt Azure SQL-példány

A felügyelt Azure SQL-példány nyilvános végpontjai lehetővé teszik a felügyelt SQL-példányhoz való adathozzáférést a virtuális hálózaton kívülről. A felügyelt SQL-példányt több-bérlős Azure-szolgáltatásokból, például a Power BI-ból, az Azure App Service-ből vagy egy helyszíni hálózatból érheti el. A nyilvános végpont felügyelt SQL-példányon való használatával nem kell VPN-t használnia, ami segíthet elkerülni a VPN átviteli sebességével kapcsolatos problémákat.

Ebből a cikkből megtudhatja, hogyan:

Nyilvános végpont engedélyezése vagy letiltása a felügyelt SQL-példányhoz
Konfigurálja a felügyelt SQL-példány hálózati biztonsági csoportját (NSG) a felügyelt SQL-példány nyilvános végpontja felé történő forgalom engedélyezéséhez
A felügyelt SQL-példány nyilvános végpont kapcsolati karakterláncának megadása

Engedélyek

A felügyelt SQL-példány adatainak bizalmassága miatt a felügyelt SQL-példány nyilvános végpontjának engedélyezéséhez kétlépéses folyamat szükséges. Ez a biztonsági intézkedés a vámok (SoD) elkülönítését követi:

A felügyelt SQL-példány rendszergazdájának engedélyeznie kell a nyilvános végpontot a felügyelt SQL-példányon. A felügyelt SQL-példány rendszergazdája a felügyelt SQL-példány erőforrásának Áttekintés lapján található.
A hálózati rendszergazdának engedélyeznie kell a felügyelt SQL-példány felé történő forgalmat egy hálózati biztonsági csoport (NSG) használatával. További információkért tekintse át hálózati biztonsági csoport engedélyeit.

Nyilvános végpont engedélyezése

A felügyelt SQL-példány nyilvános végpontját az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával engedélyezheti.

Ha engedélyezni szeretné a felügyelt SQL-példány nyilvános végpontját az Azure Portalon, kövesse az alábbi lépéseket:

Lépjen a Azure Portal.
Nyissa meg az erőforráscsoportot a felügyelt SQL-példánysal, és válassza ki azt a felügyelt SQL-példányt , amelyen nyilvános végpontot szeretne konfigurálni.
A Biztonsági beállításai között válassza a Hálózatkezelés lapot.
A Virtuális hálózat konfigurációs lapján válassza az Engedélyezés, majd a Mentés ikont a konfiguráció frissítéséhez.

Képernyőkép a felügyelt SQL-példány virtuális hálózati lapjáról, amelyen engedélyezve van a nyilvános végpont.

Ha engedélyezni szeretné a nyilvános végpontot a PowerShell-lel, állítsa be -PublicDataEndpointEnabled a true példánytulajdonságok Set-AzSqlInstance használatával történő frissítésekor.

A PowerShell-példaszkripttel engedélyezze a nyilvános végpontot a felügyelt SQL-példányhoz. Cserélje le a következő értékeket:

előfizetés-azonosító az előfizetés-azonosítód segítségével
rg-name az SQL kezelt példányának erőforráscsoportjával
mi-name az SQL-kezelési példányod neveként

A nyilvános végpont PowerShell-lel való engedélyezéséhez futtassa a következő szkriptet:

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your SQL managed instance, and replace mi-name with the name of your SQL managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Az Azure CLI-vel a nyilvános végpont engedélyezéséhez állítsa be a --public-data-endpoint-enabled értéket true-re a példánytulajdonságok az sql mi update parancs használatakor történő frissítésekor.

A felügyelt SQL-példány nyilvános végpontjának engedélyezéséhez használja a minta Azure CLI-parancsot. Cserélje le a következő értékeket:

előfizetési az előfizetés azonosítójával
rg-name az SQL kezelt példányának erőforráscsoportjával
mi-name az SQL-kezelési példányod neveként

Ha engedélyezni szeretné a nyilvános végpontot az Azure CLI használatával, futtassa a következő parancsot:

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled true

Nyilvános végpont letiltása

A felügyelt SQL-példány nyilvános végpontját az Azure Portal, az Azure PowerShell és az Azure CLI használatával tilthatja le.

Ha le szeretné tiltani a nyilvános végpontot az Azure Portal használatával, kövesse az alábbi lépéseket:

Lépjen a Azure Portal.
Nyissa meg az erőforráscsoportot a felügyelt SQL-példánysal, és válassza ki azt a felügyelt SQL-példányt , amelyen nyilvános végpontot szeretne konfigurálni.
A Biztonsági beállításai között válassza a Hálózatkezelés lapot.
A Virtuális hálózat konfigurációs lapján válassza a Letiltás, majd a Mentés ikont a konfiguráció frissítéséhez.

Ha le szeretné tiltani a nyilvános végpontot a PowerShell-lel, állítsa -PublicDataEndpointEnabled értékét false értékre, amikor példánytulajdonságait frissíti a Set-AzSqlInstance használatával.

Az Azure PowerShell használatával letilthatja a felügyelt SQL-példány nyilvános végpontját. Ne felejtse el bezárni a hálózati biztonsági csoport (NSG) 3342-s portjának bejövő biztonsági szabályát is, ha konfigurálta.

A nyilvános végpont letiltásához használja a következő parancsot:

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Ha le szeretné tiltani a nyilvános végpontot az Azure CLI segítségével, állítsa be a --public-data-endpoint-enabled értéket false-ra, amikor a példány tulajdonságait frissíti az az sql mi update paranccsal.

Az Azure CLI használatával letilthatja a felügyelt SQL-példány nyilvános végpontját. Cserélje le a következő értékeket:

előfizetési az előfizetés azonosítójával
rg-name az SQL kezelt példányának erőforráscsoportjával
mi-name a SQL kezelt példányod nevével.

Ne felejtse el bezárni a hálózati biztonsági csoport (NSG) 3342-s portjának bejövő biztonsági szabályát is, ha konfigurálta.

A nyilvános végpont letiltásához használja a következő parancsot:

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled false

Nyilvános végpont forgalmának engedélyezése a hálózati biztonsági csoportban

Az Azure Portal használatával engedélyezheti a hálózati biztonsági csoporton belüli nyilvános forgalmat. Kövesse az alábbi lépéseket:

Nyissa meg a felügyelt SQL-példány Áttekintés lapját az Azure Portal.
Válassza a Virtuális hálózat/alhálózat hivatkozást, amely a virtuális hálózat konfigurációs lapjára viszi.
Válassza a virtuális hálózat konfigurációs paneljének Alhálózatok lapját, és jegyezze fel a felügyelt SQL-példány BIZTONSÁGI CSOPORT nevét.
Térjen vissza a felügyelt SQL-példányt tartalmazó erőforráscsoporthoz. A korábban feljegyzett hálózati biztonsági csoport nevét kell látnia. Válassza a hálózati biztonsági csoport nevét a hálózati biztonsági csoport konfigurációs lapjának megnyitásához.

Válassza a Bejövő biztonsági szabályok lapot, és adjon hozzá egy, a deny_all_inbound szabálynál magasabb prioritású szabályt az alábbi beállításokkal:

Beállítás	Javasolt érték	Leírás
Forrás	Bármely IP-cím vagy szolgáltatáscímke	Az Olyan Azure-szolgáltatások esetében, mint a Power BI, válassza az Azure Cloud Service címkét A számítógéphez vagy az Azure-beli virtuális géphez használjon NAT IP-címet
forrásporttartományok	*	Hagyja ezt a *-ra (bármelyikre), mivel a forrásportok általában dinamikusan vannak lefoglalva, és így kiszámíthatatlanok
Cél	Bármely	A célhelyet "Any"-ként hagyva lehetővé teszi a forgalom bejutását a felügyelt SQL-példány alhálózatába.
Célporttartományok	3342	A célport hatókörének beállítása 3342-re, ami az SQL felügyelt példány nyilvános TDS-végpontja.
Protokoll	TCP	A felügyelt SQL-példány TCP protokollt használ a TDS-hez
művelet	Engedélyez	Felügyelt SQL-példány bejövő forgalmának engedélyezése a nyilvános végponton keresztül
Prioritás	1300	Győződjön meg arról, hogy ez a szabály alacsonyabb prioritású számmal rendelkezik, mint a deny_all_inbound szabály (alacsonyabb számok = magasabb prioritás, például 1300 nagyobb prioritás, mint 2000)

Képernyőkép a bejövő biztonsági szabályokról, az új

Jegyzet

A 3342-s portot a felügyelt SQL-példány nyilvános végpontkapcsolataihoz használják, és jelenleg nem módosíthatók.

Ellenőrizze, hogy az útválasztás megfelelően van-e konfigurálva

A 0.0.0.0/0 címelőtaggal rendelkező útvonalak arra utasítják az Azure-t, hogy irányítsa az olyan IP-címekre irányuló forgalmat, amely nem szerepel az alhálózat útvonaltáblájában található egyéb útvonalak címelőtagjában. Alhálózat létrehozásakor az Azure létrehoz egy alapértelmezett útvonalat a 0.0.0.0/0 címelőtaghoz, a internetes következő ugrási típussal.

Az alapértelmezett útvonal felülírása a szükséges útvonal(ok) hozzáadása nélkül annak biztosításához, hogy a nyilvános végpont forgalmát közvetlenül az internetre irányítsa, aszimmetrikus útválasztási problémákat okozhat, mivel a bejövő forgalom nem a virtuális berendezésen/virtuális hálózati átjárón keresztül áramlik. Győződjön meg arról, hogy a felügyelt SQL-példányt a nyilvános interneten keresztül elérő összes forgalom visszatér a nyilvános internetre oly módon, hogy vagy adott útvonalakat ad hozzá az egyes forrásokhoz, vagy beállítja az alapértelmezett útvonalat a 0.0.0.0/0 címelőtagra az internet mint következő ugrási típus segítségével.

További információ a változásoknak az alapértelmezett útvonalra gyakorolt hatásáról a 0.0.0.0/0 címelőtag.

A nyilvános végpont kapcsolati sztringjének beszerzése

Lépjen a nyilvános végponthoz engedélyezett felügyelt SQL-példány konfigurációs lapjára. Válassza a Kapcsolati karakterláncok fület a Beállítások konfiguráció füle alatt.
A nyilvános végpont gazdagépneve formátuma <mi_name>.public.<dns_zone>.database.windows.net, és a kapcsolathoz használt port a 3342. Az alábbi példa egy olyan kapcsolati sztringre mutat, amely az SQL Server Management Studio-kapcsolatokban használható nyilvános végpontportot jelöli: <mi_name>.public.<dns_zone>.database.windows.net,3342

Következő lépés

Felügyelt Azure SQL-példány biztonságos használata nyilvános végpontokkal

Visszajelzés

Hasznosnak találta ezt az oldalt?

Last updated on 2025-09-11