Mengonfigurasi titik akhir publik di Azure SQL Managed Instance

Berlaku untuk:Azure SQL Managed Instance

Titik akhir publik untuk Azure SQL Managed Instance memungkinkan akses data ke instans terkelola SQL Anda dari luar jaringan virtual. Anda dapat mengakses instans terkelola SQL dari layanan Azure multipenyewa seperti Power BI, Azure App Service, atau jaringan lokal. Dengan menggunakan titik akhir publik pada instans terkelola SQL, Anda tidak perlu menggunakan VPN, yang dapat membantu menghindari masalah throughput VPN.

Dalam artikel ini, Anda akan mempelajari cara:

Mengaktifkan atau menonaktifkan titik akhir publik untuk instans terkelola SQL Anda
Konfigurasikan grup keamanan jaringan (NSG) instans terkelola SQL Anda agar memungkinkan lalu lintas ke endpoint publik instans terkelola SQL
Mendapatkan string koneksi titik akhir publik instans terkelola SQL

Izin

Karena sensitivitas data dalam instans terkelola SQL, konfigurasi untuk mengaktifkan titik akhir publik instans terkelola SQL memerlukan proses dua langkah. Langkah keamanan ini mematuhi pemisahan tugas (SoD):

Admin instans terkelola SQL perlu mengaktifkan titik akhir publik pada instans terkelola SQL. Admin instans terkelola SQL dapat ditemukan di halaman Gambaran Umum untuk sumber daya instans terkelola SQL Anda.
Admin jaringan perlu mengizinkan lalu lintas ke instans terkelola SQL menggunakan grup keamanan jaringan (NSG). Untuk informasi selengkapnya, tinjau izin kelompok keamanan jaringan.

Aktifkan titik akhir publik

Anda dapat mengaktifkan titik akhir publik untuk SQL Managed Instance Anda dengan menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Untuk mengaktifkan titik akhir publik untuk SQL Managed Instance Anda di portal Azure, ikuti langkah-langkah berikut:

Buka portal Azure.
Buka grup sumber daya dengan instans terkelola SQL, dan pilih instans terkelola SQL yang ingin Anda konfigurasi titik akhir publiknya.
Pada pengaturan Keamanan, pilih tab Jaringan.
Di halaman Konfigurasi jaringan virtual, pilih Aktifkan, lalu ikon Simpan untuk memperbarui konfigurasi.

Cuplikan layar memperlihatkan halaman Jaringan virtual SQL Managed Instance dengan titik akhir Publik diaktifkan.

Untuk mengaktifkan titik akhir publik dengan PowerShell, atur -PublicDataEndpointEnabled ke true saat Anda memperbarui properti instans dengan Set-AzSqlInstance.

Gunakan sampel skrip PowerShell untuk mengaktifkan titik akhir publik untuk SQL Managed Instance Anda. Ganti nilai berikut:

id langganan dengan ID langganan Anda
rg-name dengan grup sumber daya instans terkelola SQL Anda
mi-name dengan nama instans terkelola SQL Anda

Untuk mengaktifkan titik akhir publik dengan menggunakan PowerShell, jalankan skrip berikut:

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your SQL managed instance, and replace mi-name with the name of your SQL managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Untuk mengaktifkan titik akhir publik dengan Azure CLI, atur --public-data-endpoint-enabled ke true saat Anda memperbarui properti instans dengan pembaruan az sql mi.

Gunakan contoh perintah Azure CLI untuk mengaktifkan titik akhir publik untuk SQL Managed Instance Anda. Ganti nilai berikut:

langganan dengan ID langganan Anda
rg-name dengan grup sumber daya instans terkelola SQL Anda
mi-name dengan nama instans terkelola SQL Anda

Untuk mengaktifkan titik akhir publik dengan menggunakan Azure CLI, jalankan perintah berikut:

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled true

Menonaktifkan titik akhir publik

Anda dapat menonaktifkan titik akhir publik untuk SQL Managed Instance Anda dengan menggunakan portal Azure, Azure PowerShell, dan Azure CLI.

Untuk menonaktifkan titik akhir publik dengan menggunakan portal Azure, ikuti langkah-langkah berikut:

Buka portal Azure.
Buka grup sumber daya dengan instans terkelola SQL, dan pilih instans terkelola SQL yang ingin Anda konfigurasi titik akhir publiknya.
Pada pengaturan Keamanan, pilih tab Jaringan.
Di halaman Konfigurasi jaringan virtual, pilih Nonaktifkan, lalu ikon Simpan untuk memperbarui konfigurasi.

Untuk menonaktifkan titik akhir publik dengan PowerShell, atur -PublicDataEndpointEnabled ke false saat Anda memperbarui properti instans dengan Set-AzSqlInstance.

Gunakan Azure PowerShell untuk menonaktifkan titik akhir publik untuk SQL Managed Instance Anda. Ingatlah juga untuk menutup aturan keamanan masuk untuk port 3342 di grup keamanan jaringan (NSG) Anda jika Anda telah mengonfigurasinya.

Untuk menonaktifkan titik akhir publik, gunakan perintah berikut:

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Untuk menonaktifkan titik akhir publik dengan Azure CLI, atur --public-data-endpoint-enabled ke false saat Anda memperbarui properti instans dengan az sql mi update.

Gunakan Azure CLI untuk menonaktifkan titik akhir publik untuk SQL Managed Instance Anda. Ganti nilai berikut:

langganan dengan ID langganan Anda
rg-name dengan grup sumber daya instans terkelola SQL Anda
mi-name dengan nama instans terkelola SQL Anda.

Ingatlah juga untuk menutup aturan keamanan masuk untuk port 3342 di grup keamanan jaringan (NSG) Anda jika Anda telah mengonfigurasinya.

Untuk menonaktifkan titik akhir publik, gunakan perintah berikut:

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled false

Perbolehkan lalu lintas titik akhir publik dalam grup keamanan jaringan

Gunakan portal Azure untuk mengizinkan lalu lintas publik dalam kelompok keamanan jaringan. Ikuti langkah-langkah ini:

Buka halaman Gambaran Umum untuk SQL Managed Instance Anda di portal Azure.
Pilih tautan Jaringan virtual/subnet , yang membawa Anda ke halaman Konfigurasi jaringan virtual.
Pilih tab Subnet pada panel konfigurasi jaringan Virtual Anda, dan catat nama GRUP KEAMANAN untuk instans terkelola SQL Anda.
Kembali ke grup sumber daya yang berisi instans terkelola SQL Anda. Anda akan melihat nama grup keamanan jaringan yang dicatat sebelumnya. Pilih nama grup keamanan Jaringan untuk membuka halaman konfigurasi Grup Keamanan Jaringan.

Pilih tab Aturan keamanan masuk , dan Tambahkan aturan yang memiliki prioritas lebih tinggi daripada aturan deny_all_inbound dengan pengaturan berikut:

Pengaturan	Nilai yang disarankan	Deskripsi
Sumber	Alamat IP atau tag Layanan apa pun	Untuk layanan Azure seperti Power BI, pilih Azure Cloud Service Tag Untuk komputer atau komputer virtual Azure Anda, gunakan alamat IP NAT
Rentang port sumber	*	Biarkan ini ke * (apa pun) karena port sumber biasanya dialokasikan secara dinamis dan dengan demikian, tidak dapat diprediksi
Tujuan	Mana pun	Membiarkan tujuan sebagai Semua untuk mengizinkan akses lalu lintas ke subnet instans terkelola SQL
Rentang port tujuan	3342	Batasi port tujuan ke 3342, yang merupakan titik akhir TDS publik Instance Terelola SQL
Protokol	PKT	SQL Managed Instance menggunakan protokol TCP untuk TDS
Tindakan	Izinkan	Mengizinkan lalu lintas masuk ke instans terkelola SQL melalui titik akhir publik
Prioritas	1300	Pastikan aturan ini lebih mengutamakan daripada aturan deny_all_inbound

Cuplikan layar yang menunjukkan aturan keamanan masuk dengan aturan public_endpoint_inbound baru Anda di atas aturan deny_all_inbound.

Catatan

Port 3342 digunakan untuk koneksi titik akhir publik ke instans terkelola SQL, dan saat ini tidak dapat diubah.

Konfirmasikan bahwa perutean dikonfigurasi dengan benar

Rute dengan prefiks alamat 0.0.0.0/0 menginstruksikan Azure cara merutekan lalu lintas yang ditujukan untuk alamat IP yang tidak berada dalam awalan alamat rute lain dalam tabel rute subnet. Saat subnet dibuat, Azure membuat rute default ke awalan alamat 0.0.0.0/0, dengan Internet jenis hop berikutnya.

Menggantikan rute default ini tanpa menambahkan rute yang diperlukan untuk memastikan lalu lintas titik akhir publik dirutekan langsung ke Internet dapat menyebabkan masalah perutean asimetris, karena lalu lintas masuk tidak mengalir melalui perangkat virtual atau gateway jaringan virtual. Pastikan agar semua lalu lintas yang mencapai instans terkelola SQL melalui internet publik juga keluar melalui internet publik dengan menambahkan rute spesifik untuk setiap sumber, atau mengatur rute default ke awalan alamat 0.0.0.0/0 dengan Internet sebagai tipe lompatan berikutnya.

Lihat detail selengkapnya tentang dampak perubahan pada rute default ini pada awalan alamat 0.0.0.0/0.

Mendapatkan string koneksi titik akhir publik

Akses halaman konfigurasi instans terkelola SQL yang telah diaktifkan untuk titik akhir publik. Pilih tab String koneksi di bawah konfigurasi Pengaturan.
Nama host titik akhir publik hadir dalam format <mi_name>.public.<dns_zone>.database.windows.net, dan port yang digunakan untuk koneksi adalah 3342. Berikut ini adalah contoh string koneksi yang menunjukkan port titik akhir publik yang dapat digunakan dalam koneksi SQL Server Management Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

Langkah selanjutnya

Menggunakan Azure SQL Managed Instance dengan aman dengan titik akhir publik

Saran dan Komentar

Apakah halaman ini membantu?

Last updated on 2025-09-11