Konfigurera offentliga slutpunkter i Azure SQL Managed Instance

  • Artikel

Gäller för:Azure SQL Managed Instance

Offentliga slutpunkter för Azure SQL Managed Instance ger dataåtkomst till din hanterade instans utanför det virtuella nätverket. Du kan komma åt din hanterade instans från Azure-tjänster med flera klientorganisationer, till exempel Power BI, Azure App Service eller ett lokalt nätverk. Genom att använda den offentliga slutpunkten på en hanterad instans behöver du inte använda ett VPN, vilket kan bidra till att undvika problem med VPN-dataflöde.

I den här artikeln kan du se hur du:

  • Aktivera eller inaktivera en offentlig slutpunkt för din hanterade instans
  • Konfigurera nätverkssäkerhetsgruppen för den hanterade instansen (NSG) för att tillåta trafik till den offentliga slutpunkten för den hanterade instansen
  • Hämta den offentliga slutpunktsanslutningssträngen för den hanterade instansen

Behörigheter

På grund av känsligheten för data som i en hanterad instans kräver konfigurationen för att aktivera offentlig slutpunkt för hanterad instans en tvåstegsprocess. Den här säkerhetsåtgärden följer ansvarsfördelningen (SoD):

  • Administratören för den hanterade instansen måste aktivera den offentliga slutpunkten på den hanterade instansen. Administratören för den hanterade instansen finns på sidan Översikt för resursen för den hanterade instansen.
  • En nätverksadministratör måste tillåta trafik till den hanterade instansen med hjälp av en nätverkssäkerhetsgrupp (NSG). Mer information finns i behörigheter för nätverkssäkerhetsgrupper.

Aktivera offentlig slutpunkt

Du kan aktivera den offentliga slutpunkten för din SQL Managed Instance med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Följ dessa steg för att aktivera den offentliga slutpunkten för din SQL Managed Instance i Azure-portalen:

  1. Gå till Azure-portalen.
  2. Öppna resursgruppen med den hanterade instansen och välj den SQL-hanterade instans som du vill konfigurera offentlig slutpunkt på.
  3. På säkerhetsinställningarnaväljer du fliken Nätverk.
  4. På sidan Konfiguration av virtuellt nätverk väljer du Aktivera och sedan ikonen Spara för att uppdatera konfigurationen.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Inaktivera offentlig slutpunkt

Du kan inaktivera den offentliga slutpunkten för din SQL Managed Instance med hjälp av Azure-portalen, Azure PowerShell och Azure CLI.

Så här inaktiverar du den offentliga slutpunkten med hjälp av Azure-portalen:

  1. Gå till Azure-portalen.
  2. Öppna resursgruppen med den hanterade instansen och välj den SQL-hanterade instans som du vill konfigurera offentlig slutpunkt på.
  3. På säkerhetsinställningarnaväljer du fliken Nätverk.
  4. På sidan Konfiguration av virtuellt nätverk väljer du Inaktivera och sedan ikonen Spara för att uppdatera konfigurationen.

Tillåt offentlig slutpunktstrafik i nätverkssäkerhetsgruppen

Använd Azure-portalen för att tillåta offentlig trafik i nätverkssäkerhetsgruppen. Följ stegen nedan:

  1. Gå till översiktssidan för din SQL Managed Instance i Azure-portalen.

  2. Välj länken Virtuellt nätverk/undernät, som tar dig till konfigurationssidan för virtuellt nätverk.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Välj fliken Undernät i konfigurationsfönstret i det virtuella nätverket och anteckna namnet på SÄKERHETSGRUPPEN för den hanterade instansen.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Gå tillbaka till den resursgrupp som innehåller din hanterade instans. Du bör se namnet på nätverkssäkerhetsgruppen som antecknades tidigare. Välj namnet på nätverkssäkerhetsgruppen för att öppna konfigurationssidan för nätverkssäkerhetsgruppen .

  5. Välj fliken Inkommande säkerhetsregler och Lägg till en regel som har högre prioritet än regeln deny_all_inbound med följande inställningar:

    Inställning Föreslaget värde Beskrivning
    Source Ip-adress eller tjänsttagg
    • För Azure-tjänster som Power BI väljer du Azure Cloud Service-taggen
    • Använd NAT IP-adress för din dator eller virtuella Azure-dator
    Källportintervall * Låt detta vara * (valfritt) eftersom källportar vanligtvis är dynamiskt allokerade och därför oförutsägbara
    Mål Any Lämna målet som alla för att tillåta trafik till undernätet för den hanterade instansen
    Målportintervall 3342 Omfång för målporten till 3342, som är den offentliga TDS-slutpunkten för den hanterade instansen
    Protokoll TCP SQL Managed Instance använder TCP-protokoll för TDS
    Åtgärd Tillåt Tillåt inkommande trafik till hanterad instans via den offentliga slutpunkten
    Prioritet 1300 Kontrollera att den här regeln har högre prioritet än regeln för deny_all_inbound

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Kommentar

    Port 3342 används för offentliga slutpunktsanslutningar till en hanterad instans och kan inte ändras för närvarande.

Bekräfta att routningen är korrekt konfigurerad

En väg med adressprefixet 0.0.0.0/0 instruerar Azure hur trafik som är avsedd för en IP-adress som inte ligger inom någon annan vägs adressprefix i ett undernäts routningstabell ska dirigeras. När ett undernät skapas skapar Azure en standardväg till adressprefixet 0.0.0.0/0, med internet nästa hopptyp.

Att åsidosätta den här standardvägen utan att lägga till nödvändiga vägar för att säkerställa att den offentliga slutpunktstrafiken dirigeras direkt till Internet kan orsaka asymmetriska routningsproblem eftersom inkommande trafik inte flödar via den virtuella installationen/den virtuella nätverksgatewayen. Se till att all trafik som når den hanterade instansen via offentligt Internet också går tillbaka ut via offentligt Internet genom att antingen lägga till specifika vägar för varje källa eller ange standardvägen till adressprefixet 0.0.0.0/0 till Internet som nästa hopptyp.

Mer information om effekten av ändringar på den här standardvägen finns på adressprefixet 0.0.0.0/0.

Hämta anslutningssträngen för den offentliga slutpunkten

  1. Gå till konfigurationssidan för den hanterade instansen som har aktiverats för offentlig slutpunkt. Välj fliken Anslutningssträngar under konfigurationen Inställningar .

  2. Värdnamnet för den offentliga slutpunkten har formatet <mi_name>.offentliga.<>dns_zone.database.windows.net och att porten som används för anslutningen är 3342. Här är ett exempel på ett servervärde för anslutningssträngen som anger den offentliga slutpunktsporten som kan användas i SQL Server Management Studio- eller Azure Data Studio-anslutningar: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Nästa steg

Lär dig mer om att använda Azure SQL Managed Instance på ett säkert sätt med en offentlig slutpunkt.