Configurare l'endpoint pubblico nell'istanza gestita di SQL di Azure

Si applica a: Istanza gestita di SQL di Azure

L'endpoint pubblico per un'istanza gestita consente l'accesso ai dati all'istanza gestita dall'esterno della rete virtuale. È possibile accedere all'istanza gestita da servizi di Azure multi-tenant come Power BI, Servizio app di Azure o una rete locale. Usando l'endpoint pubblico in un'istanza gestita, non è necessario usare una VPN, che consente di evitare problemi di velocità effettiva VPN.

In questo articolo si apprenderà come:

  • Abilitare l'endpoint pubblico per l'istanza gestita nel portale di Azure
  • Abilitare l'endpoint pubblico per l'istanza gestita usando PowerShell
  • Configurare il gruppo di sicurezza di rete dell'istanza gestita per consentire il traffico verso l'endpoint pubblico dell'istanza gestita
  • Ottenere la stringa di connessione dell'endpoint pubblico dell'istanza gestita

Autorizzazioni

A causa della sensibilità dei dati in un'istanza gestita, la configurazione per abilitare l'endpoint pubblico dell'istanza gestita richiede un processo in due passaggi. Questa misura di sicurezza rispetta la separazione dei compiti (SoD):

  • L'abilitazione dell'endpoint pubblico in un'istanza gestita deve essere eseguita dall'amministratore dell'istanza gestita. L'amministratore dell'istanza gestita è disponibile nella pagina Panoramica della risorsa dell'istanza gestita.
  • Consentire il traffico usando un gruppo di sicurezza di rete che deve essere eseguito da un amministratore di rete. Per altre informazioni, vedere Autorizzazioni del gruppo di sicurezza di rete.

Abilitazione dell'endpoint pubblico per un'istanza gestita nel portale di Azure

  1. Avviare il portale di Azure all'indirizzohttps://portal.azure.com/.
  2. Aprire il gruppo di risorse con l'istanza gestita e selezionare l'istanza gestita di SQL in cui si vuole configurare l'endpoint pubblico.
  3. In Impostazioni di sicurezza selezionare la scheda Rete virtuale .
  4. Nella pagina Configurazione rete virtuale selezionare Abilita e quindi l'icona Salva per aggiornare la configurazione.

Screenshot che mostra una pagina Rete virtuale dell'istanza gestita di SQL con l'endpoint pubblico abilitato.

Abilitazione dell'endpoint pubblico per un'istanza gestita tramite PowerShell

Abilita endpoint pubblico

Eseguire i comandi di PowerShell seguenti. Sostituire subscription-id con l'ID sottoscrizione. Sostituire anche rg-name con il gruppo di risorse per l'istanza gestita e sostituire mi-name con il nome dell'istanza gestita.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Disabilitare l'endpoint pubblico

Per disabilitare l'endpoint pubblico tramite PowerShell, eseguire il comando seguente e non dimenticare di chiudere il gruppo di sicurezza di rete per la porta in ingresso 3342 se è stato configurato:

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Consentire il traffico degli endpoint pubblici nel gruppo di sicurezza di rete

  1. Se è ancora aperta la pagina di configurazione dell'istanza gestita, passare alla scheda Panoramica . In caso contrario, tornare alla risorsa dell'istanza gestita di SQL . Selezionare il collegamento Rete virtuale/subnet che consente di visualizzare la pagina Configurazione rete virtuale.

    Screenshot che mostra la pagina Configurazione rete virtuale in cui è possibile trovare il valore della rete virtuale/subnet.

  2. Selezionare la scheda Subnet nel riquadro di configurazione sinistro della rete virtuale e prendere nota del GRUPPO DI SICUREZZA per l'istanza gestita.

    Screenshot che mostra la scheda Subnet, in cui è possibile ottenere il GRUPPO DI SICUREZZA per l'istanza gestita.

  3. Indietro al gruppo di risorse che contiene l'istanza gestita. Verrà visualizzato il nome del gruppo di sicurezza di rete indicato in precedenza. Selezionare il nome da passare alla pagina di configurazione del gruppo di sicurezza di rete.

  4. Selezionare la scheda Regole di sicurezza in ingresso e Aggiungere una regola con priorità più alta rispetto alla regola di deny_all_inbound con le impostazioni seguenti:

    Impostazione Valore consigliato Descrizione
    Origine Qualsiasi indirizzo IP o tag del servizio
    • Per i servizi di Azure come Power BI, selezionare il tag del servizio cloud di Azure
    • Per il computer o la macchina virtuale di Azure, usare l'indirizzo IP NAT
    Intervalli di porte di origine * Lasciare l'opzione * (qualsiasi) perché le porte di origine vengono in genere allocate in modo dinamico e, di conseguenza, imprevedibili
    Destinazione Qualsiasi Lasciare la destinazione come Qualsiasi per consentire il traffico nella subnet dell'istanza gestita
    Intervalli di porte di destinazione 3342 Impostare la porta di destinazione dell'ambito su 3342, ovvero l'endpoint TDS pubblico dell'istanza gestita
    Protocollo TCP Istanza gestita di SQL usa il protocollo TCP per TDS
    Azione Allow Consentire il traffico in ingresso all'istanza gestita tramite l'endpoint pubblico
    Priorità 1300 Assicurarsi che questa regola sia prioritaria rispetto alla regola di deny_all_inbound

    Screenshot che mostra le regole di sicurezza in ingresso con la nuova regola di public_endpoint_inbound sopra la regola di deny_all_inbound.

    Nota

    La porta 3342 viene usata per le connessioni endpoint pubbliche all'istanza gestita e non può essere modificata a questo punto.

Ottenere la stringa di connessione dell'endpoint pubblico dell'istanza gestita

  1. Passare alla pagina di configurazione dell'istanza gestita abilitata per l'endpoint pubblico. Selezionare la scheda Stringhe di connessione nella configurazione Impostazioni .

  2. Si noti che il nome host dell'endpoint pubblico è nel formato <mi_name>. public.<>dns_zone.database.windows.net e che la porta usata per la connessione è 3342. Ecco un esempio di valore del server della stringa di connessione che indica la porta dell'endpoint pubblico che può essere usata nelle connessioni SQL Server Management Studio o Azure Data Studio:<mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot che mostra le stringhe di connessione per gli endpoint pubblici e privati.

Passaggi successivi

Informazioni sull'uso di Istanza gestita di SQL di Azure in modo sicuro con l'endpoint pubblico.