適用於:
Azure SQL 受控執行個體
Azure SQL 受控執行個體的公用端點可讓您從虛擬網路外部存取 SQL 受控執行個體的資料。 您可以從多租用戶 Azure 服務 (例如 Power BI、Azure App Service 或內部部署網路) 存取 SQL 受控執行個體。 藉由在 SQL 受控執行個體上使用公用端點,您不需要使用 VPN,這有助於避免 VPN 輸送量問題。
在本文中,您將學會如何:
- 啟用或停用 SQL 受控執行個體的公用端點
- 設定 SQL 受控執行個體網路安全性群組 (NSG) ,以允許流量流向 SQL 受控執行個體公用端點
- 取得 SQL 受控執行個體公用端點連接字串
權限
由於 SQL 受控執行個體中資料的敏感度,啟用 SQL 受控執行個體公用端點的設定需要兩個步驟的程式。 此安全性措施遵守職責區分 (SoD):
- SQL 受控執行個體系統管理員必須在 SQL 受控執行個體上啟用公用端點。 您可以在 SQL 受控執行個體資源的 [ 概觀 ] 頁面上找到 SQL 受控執行個體管理員。
- 網路系統管理員必須允許使用網路安全性群組 (NSG) 流向 SQL 受控執行個體的流量。 如需詳細資訊,請檢閱網路安全性群組權限。
啟用公用端點
您可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI 來啟用您的 SQL 受控執行個體的公用端點。
請依照下列步驟在 Azure 入口網站中啟用 SQL 受控執行個體的公用端點:
- 前往 Azure 入口網站。
- 開啟具有 SQL 受控執行個體的資源群組,然後選取您要設定公用端點的 SQL 受控執行個體 。
- 在 [安全性] 設定中,選取 [網路] 索引標籤。
- 在 [虛擬網路設定] 頁面中,選取 [ 啟用],然後選取 [儲存] 圖示以更新設定。
停用公用端點
您可以使用 Azure 入口網站、Azure PowerShell 和 Azure CLI 來停用您的 SQL 受控執行個體的公用端點。
若要使用 Azure 入口網站停用公用端點,請遵循下列步驟:
- 前往 Azure 入口網站。
- 開啟具有 SQL 受控執行個體的資源群組,然後選取您要設定公用端點的 SQL 受控執行個體 。
- 在 [安全性] 設定中,選取 [網路] 索引標籤。
- 在 [虛擬網路設定] 頁面中,選取 [ 停用],然後選取 [儲存] 圖示以更新設定。
允許網路安全性群組中的公用端點流量
使用 Azure 入口網站來允許網路安全性群組內的公用流量。 執行下列步驟:
在 Azure 入口網站中移至您的 SQL 受控執行個體的 [概觀] 頁面。
選取 [虛擬網路/子網路] 連結,這會帶您前往虛擬網路設定頁面。
![顯示 [虛擬網路組態] 頁面的螢幕擷取畫面,您可以在其中找到虛擬網路/子網值。](media/public-endpoint-configure/mi-overview.png?view=azuresql)
選取虛擬網路設定窗格上的 [ 子網路] 索引標籤,並記下 SQL 受控執行個體的 [安全性群組 ] 名稱。
![螢幕擷取畫面顯示 [子網路] 索引標籤,您可以在其中取得 SQL 受控執行個體的安全性群組。](media/public-endpoint-configure/mi-vnet-subnet.png?view=azuresql)
返回包含 SQL 受控執行個體的資源群組。 您應該會看到前述網路安全性群組名稱。 選取 [網路安全性群組]名稱以開啟 [網路安全性群組] 組態頁面。
選取 輸入安全性規則 索引標籤,然後 新增 一個具有比 deny_all_inbound 規則更高的優先順序的規則,設定如下:
設定 建議的值 描述 來源 任何 IP 位址或服務標籤 - 針對 Power BI 之類的 Azure 服務,請選取 Azure 雲端服務標籤
- 針對您的電腦或 Azure 虛擬機器,請使用 NAT IP 位址
來源連接埠範圍 * 將此保留為 * (任何),因為通常會動態配置來源連接埠,因此無法預測 目的地 任意 將目的地保留為 [任意],以允許流量進入 SQL 受控執行個體子網路 目的地連接埠範圍 3342 將目的地埠的範圍設定為 3342,這是 SQL 受控執行個體公用 TDS 端點 通訊協定 TCP SQL 受控執行個體針對 TDS 使用 TCP 通訊協定 動作 允許 允許透過公用端點將輸入流量傳送至 SQL 受控執行個體 優先順序 1300 確定此規則的優先順序高於 deny_all_inbound 規則 ![顯示 [輸入安全性規則] 的螢幕擷取畫面,其中包含 deny_all_inbound 規則上方的新 public_endpoint_inbound 規則。](media/public-endpoint-configure/mi-nsg-rules.png?view=azuresql)
注意
埠 3342 用於與 SQL 受控執行個體的公用端點連線,目前無法變更。
確認路由已正確設定
具有 0.0.0.0/0 位址前置詞的路由指示 Azure 如何路由傳送目標 IP 位址流量,該目標 IP 位址不屬於子網路路由表中其他任何路由的位址前置詞。 建立子網路時,Azure 會建立 0.0.0.0/0 位址首碼的預設路由,且下一個躍點類型為網際網路。
覆寫此預設路由而不新增必要的路由 () 以確保公用端點流量直接路由傳送至 因特網 ,可能會導致非對稱路由問題,因為傳入流量不會透過虛擬設備/虛擬網路閘道。 請確定透過公用網際網路到達 SQL 受控執行個體的所有流量也會透過公用網際網路傳回,方法是新增每個來源的特定路由,或將預設路由設定為 0.0.0.0/0 位址前置詞,回到 網際網路 作為下一個躍點類型。
請參閱 0.0.0.0/0 位址首碼上對此預設路由變更影響的更多詳細資料。
取得公用端點連接字串
流覽至已針對公用端點啟用的 SQL 受控執行個體設定頁面。 選取 [設定] 下的 [連接字串] 索引標籤。
公用端點主機名稱的格式
<mi_name>.public.<dns_zone>.database.windows.net為 ,用於連線的連接埠為 3342。 以下是連接字串的範例,表示可用於 SQL Server Management Studio 連線的公用端點連接埠:<mi_name>.public.<dns_zone>.database.windows.net,3342
