Настройка общедоступных конечных точек в Управляемом экземпляре SQL Azure

  • Статья

Применимо к:Управляемому экземпляру SQL Azure

Общедоступные конечные точки для Управляемого экземпляра SQL Azure позволяют получать доступ к управляемому экземпляру за пределами виртуальной сети. Вы можете получить доступ к управляемому экземпляру из нескольких служб Azure, таких как Power BI, Служба приложений Azure или локальная сеть. Используя общедоступную конечную точку в управляемом экземпляре, вам не нужно использовать VPN, что может помочь избежать проблем с пропускной способностью VPN.

Вы узнаете, как выполнять следующие задачи:

  • Включение или отключение общедоступной конечной точки для управляемого экземпляра
  • Настройте группу безопасности сети управляемого экземпляра (NSG), чтобы разрешить трафик к общедоступной конечной точке управляемого экземпляра.
  • Получение строки подключения общедоступной конечной точки управляемого экземпляра

Разрешения

Из-за конфиденциальности данных, которые в управляемом экземпляре, конфигурация для включения общедоступной конечной точки управляемого экземпляра требует двухэтапного процесса. Эта мера безопасности придерживается принципа разделения обязанностей (SoD):

  • Администратор управляемого экземпляра должен включить общедоступную конечную точку в управляемом экземпляре. Администратор управляемого экземпляра можно найти на странице обзора ресурса управляемого экземпляра.
  • Администратор сети должен разрешить трафик управляемому экземпляру с помощью группы безопасности сети (NSG). Дополнительные сведения см. в разделе "Разрешения группы безопасности сети".

Включить общедоступную конечную точку

Вы можете включить общедоступную конечную точку для управляемого экземпляра SQL с помощью портала Azure, Azure PowerShell или Azure CLI.

Чтобы включить общедоступную конечную точку управляемого экземпляра SQL на портале Azure, выполните следующие действия.

  1. Перейдите на портал Azure.
  2. Откройте группу ресурсов с управляемым экземпляром и выберите управляемый экземпляр SQL, для которого требуется настроить общедоступную конечную точку.
  3. На вкладке "Параметры безопасности " выберите вкладку "Сеть ".
  4. На странице "Конфигурация виртуальной сети" выберите Включить, а затем нажмите значок Сохранить, чтобы обновить конфигурацию.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Отключение общедоступной конечной точки

Вы можете отключить общедоступную конечную точку для управляемого экземпляра SQL с помощью портала Azure, Azure PowerShell и Azure CLI.

Чтобы отключить общедоступную конечную точку с помощью портала Azure, выполните следующие действия.

  1. Перейдите на портал Azure.
  2. Откройте группу ресурсов с управляемым экземпляром и выберите управляемый экземпляр SQL, для которого требуется настроить общедоступную конечную точку.
  3. На вкладке "Параметры безопасности " выберите вкладку "Сеть ".
  4. На странице конфигурации виртуальной сети выберите "Отключить ", а затем значок "Сохранить ", чтобы обновить конфигурацию.

Разрешить трафик общедоступной конечной точки в группе безопасности сети

Используйте портал Azure, чтобы разрешить общедоступный трафик в группе безопасности сети. Выполните следующие действия.

  1. Перейдите на страницу обзора управляемого экземпляра SQL на портале Azure.

  2. Выберите ссылку "Виртуальная сеть или подсеть ", которая перейдет на страницу конфигурации виртуальной сети.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Перейдите на вкладку "Подсети" в области конфигурации виртуальной сети и запишите имя ГРУППЫ БЕЗОПАСНОСТИ для управляемого экземпляра.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Вернитесь к группе ресурсов, содержащей управляемый экземпляр. Вы увидите имя группы безопасности сети, указанное ранее. Выберите имя группы безопасности сети, чтобы открыть страницу конфигурации группы безопасности сети.

  5. Перейдите на вкладку Правила безопасности для входящего трафика и добавьте правило с более высоким приоритетом, чем правило deny_all_inbound со следующими параметрами:

    Параметр Рекомендуемое значение Описание
    Источник Любой IP-адрес или тег службы
    • Для служб Azure, например Power BI, выберите тег облачной службы Azure.
    • Для компьютера или виртуальной машины Azure используйте IP-адрес NAT.
    Диапазоны исходных портов * Оставьте это значение * (любой) как исходные порты обычно динамически выделяются и, как это, непредсказуемые
    Назначение Любые Укажите для назначения значение "Любое", чтобы разрешить трафик в подсеть управляемого экземпляра.
    Диапазоны портов назначения 3342 Укажите для порта назначения значение 3342, которое является общедоступной конечной точкой TDS управляемого экземпляра.
    Протокол TCP Управляемый экземпляр SQL использует протокол TCP для TDS.
    Действие Allow Разрешите входящий трафик в управляемый экземпляр через общедоступную конечную точку.
    Приоритет 1300 Убедитесь, что это правило имеет более высокий приоритет, чем правило deny_all_inbound.

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Примечание.

    Порт 3342 используется для подключений общедоступной конечной точки к управляемому экземпляру и в настоящее время не может быть изменен.

Убедитесь, что маршрутизация настроена правильно

Маршрут с префиксом адреса 0.0.0.0/0 указывает Azure способы направления трафика, предназначенного для IP-адреса, который не находится в префиксе адреса любого другого маршрута в таблице маршрутов подсети. При создании подсети Azure создает маршрут по умолчанию с префиксом адреса 0.0.0.0/0 и типом следующего прыжка Интернет.

Переопределение этого маршрута по умолчанию без добавления необходимых маршрутов для обеспечения перенаправления трафика общедоступной конечной точки непосредственно в Интернет может вызвать асимметричные проблемы с маршрутизацией, так как входящие трафик не передается через виртуальный модуль или шлюз виртуальной сети. Убедитесь, что весь трафик, поступающий через управляемый экземпляр через общедоступный Интернет, возвращается через общедоступный Интернет, а также добавляет определенные маршруты для каждого источника или задает маршрут по умолчанию для префикса адреса 0.0.0.0/0 обратно в Интернет в качестве типа следующего прыжка.

Дополнительные сведения о влиянии изменений на этот маршрут по умолчанию см. в префиксе адреса 0.0.0.0/0.

Получение строки подключения к общедоступной конечной точке

  1. Перейдите на страницу конфигурации управляемого экземпляра, для которого была включена общедоступная конечная точка. В разделе конфигурации Параметры перейдите на вкладку Строки подключения.

  2. Имя узла общедоступной конечной точки поставляется в формате <mi_name>.public.<>dns_zone.database.windows.net и что порт, используемый для подключения, равен 3342. Далее приведен пример значения сервера в строке подключения, указывающего порт общедоступной конечной точки, который можно использовать в соединениях SQL Server Management Studio или Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342.

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Дальнейшие действия

См. дополнительные сведения в статье Безопасное использование управляемого экземпляра SQL Azure с общедоступными конечными точками.