Configure public endpoint in Azure SQL Managed Instance (Настройка общедоступной конечной точки в управляемом экземпляре SQL Azure)

Область применения: Управляемый экземпляр SQL Azure

Общедоступная конечная точка для управляемого экземпляра обеспечивает доступ к данным управляемого экземпляра извне виртуальной сети. Вы можете получить доступ к управляемому экземпляру из мультитенантных служб Azure, таких как Power BI, служба приложений Azure или локальная сеть. Используя общедоступную конечную точку в управляемом экземпляре, не нужно использовать VPN, что может помочь избежать проблем с пропускной способностью VPN.

В этой статье вы узнаете, как выполнять следующие задачи.

  • Включение общедоступной конечной точки для управляемого экземпляра на портале Azure
  • Включение общедоступной конечной точки для управляемого экземпляра с помощью PowerShell
  • Настройка группы безопасности сети управляемого экземпляра для разрешения передачи трафика в общедоступную конечную точку управляемого экземпляра
  • Получение строки подключения общедоступной конечной точки управляемого экземпляра

Разрешения

Из-за конфиденциальности данных, которые находятся в управляемом экземпляре, конфигурация для включения общедоступной конечной точки управляемого экземпляра требует двухэтапного процесса. Эта мера безопасности придерживается принципа разделения обязанностей (SoD):

  • Включение общедоступной конечной точки в управляемом экземпляре должно осуществляться администратором управляемого экземпляра. Администратора управляемого экземпляра можно найти на странице Обзор ресурса управляемого экземпляра.
  • Разрешение трафика с помощью группы безопасности сети, которое должно предоставляться администратором сети. Дополнительные сведения см. в разделе Разрешения группы безопасности сети.

Включение общедоступной конечной точки для управляемого экземпляра на портале Azure

  1. Запустите портал Azure по ссылке https://portal.azure.com/.
  2. Откройте группу ресурсов с управляемым экземпляром и выберите управляемый экземпляр SQL, для которого требуется настроить общедоступную конечную точку.
  3. В разделе параметров Безопасность перейдите на вкладку Виртуальная сеть.
  4. На странице "Конфигурация виртуальной сети" выберите Включить, а затем нажмите значок Сохранить, чтобы обновить конфигурацию.

На снимке экрана показана страница виртуальной сети управляемого экземпляра SQL с включенной общедоступной конечной точкой.

Включение общедоступной конечной точки для управляемого экземпляра с помощью PowerShell

Включение общедоступной конечной точки

Выполните приведенные ниже команды PowerShell. Замените subscription-id идентификатором своей подписки. Также замените rg-name группой ресурсов для управляемого экземпляра, а mi-name — именем управляемого экземпляра.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Отключение общедоступной конечной точки

Чтобы отключить общедоступную конечную точку с помощью PowerShell, выполните следующую команду (а также не забудьте закрыть NSG для входящего порта 3342, если он настроен):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Разрешение трафика общедоступной конечной точки в группе безопасности сети

  1. Если страница конфигурации управляемого экземпляра по-прежнему открыта, перейдите на вкладку Обзор. В противном случае вернитесь к ресурсу Управляемый экземпляр SQL. Нажмите ссылку Виртуальная сеть/подсеть, чтобы перейти на страницу конфигурации виртуальной сети.

    На снимке экрана показана страница конфигурации виртуальной сети, на которой можно найти значение виртуальной сети или подсети.

  2. Выберите вкладку Подсети в левой области конфигурации виртуальной сети и запишите группу безопасности для управляемого экземпляра.

    На снимке экрана показана вкладка подсети, на которой можно узнать группу безопасности для управляемого экземпляра.

  3. Вернитесь к группе ресурсов, содержащей управляемый экземпляр. Вы должны увидеть имя группы безопасности сети, указанное выше. Выберите имя для перехода на страницу конфигурации группы безопасности сети.

  4. Перейдите на вкладку Правила безопасности для входящего трафика и добавьте правило с более высоким приоритетом, чем правило deny_all_inbound со следующими параметрами:

    Параметр Рекомендуемое значение Описание
    Источник Любой IP-адрес или тег службы
    • Для служб Azure, например Power BI, выберите тег облачной службы Azure.
    • Для компьютера или виртуальной машины Azure используйте IP-адрес NAT.
    Диапазоны исходных портов * Оставьте для этого значения * (любое), так как порты источника обычно выделяются динамически, и поэтому его невозможно предугадать.
    Назначение Любой Укажите для назначения значение "Любое", чтобы разрешить трафик в подсеть управляемого экземпляра.
    Диапазоны портов назначения 3342 Укажите для порта назначения значение 3342, которое является общедоступной конечной точкой TDS управляемого экземпляра.
    протокол; TCP Управляемый экземпляр SQL использует протокол TCP для TDS.
    Действие Allow Разрешите входящий трафик в управляемый экземпляр через общедоступную конечную точку.
    Приоритет 1300 Убедитесь, что это правило имеет более высокий приоритет, чем правило deny_all_inbound.

    На снимке экрана показаны правила безопасности для входящего трафика с новым правилом public_endpoint_inbound над правилом deny_all_inbound.

    Примечание

    Порт 3342 используется для подключений к общедоступной конечной точке к управляемому экземпляру и не может быть изменен на этом этапе.

Получение строки подключения общедоступной конечной точки управляемого экземпляра

  1. Перейдите на страницу конфигурации управляемого экземпляра, для которого была включена общедоступная конечная точка. В разделе конфигурации Параметры перейдите на вкладку Строки подключения.

  2. Обратите внимание, что имя узла общедоступной конечной точки имеет формат <mi_name>.public.<dns_zone>.database.windows.net, а порт, используемый для соединения, — 3342. Далее приведен пример значения сервера в строке подключения, указывающего порт общедоступной конечной точки, который можно использовать в соединениях SQL Server Management Studio или Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342.

    На снимке экрана показаны строки подключения для общедоступных и частных конечных точек.

Дальнейшие действия

См. дополнительные сведения в статье Безопасное использование управляемого экземпляра SQL Azure с общедоступными конечными точками.