在 Azure SQL 受控執行個體中設定公用端點

適用于:Azure SQL 受控執行個體

受控執行個體的公用端點可讓您從虛擬網路外部存取受控執行個體的資料。 您可以從多租用戶 Azure 服務 (例如 Power BI、Azure App Service 或內部部署網路) 存取受控執行個體。 使用受控執行個體上的公用端點,您就不需要使用 VPN ,這可能有助於避免 VPN 輸送量問題。

在本文中,您將學會如何:

  • 在 Azure 入口網站中啟用受控執行個體的公用端點
  • 使用 PowerShell 啟用受控執行個體的公用端點
  • 設定受控執行個體網路安全性群組,以允許受控執行個體公用端點的輸入流量
  • 取得受控執行個體公用端點連接字串

權限

由於受控執行個體中的資料敏感度,啟用受控執行個體公用端點的設定需要透過兩個步驟程序來進行。 此安全性措施遵守職責區分 (SoD):

  • 必須由受控執行個體系統管理員在受控執行個體上啟用公用端點。您可以在受控執行個體資源的 [概觀] 頁面上找到受控執行個體系統管理員。
  • 必須由網路系統管理員允許流量使用網路安全性群組。如需詳細資訊,請參閱網路安全性群組權限

在 Azure 入口網站中啟用受控執行個體的公用端點

  1. https://portal.azure.com/. 上啟動 Azure 入口網站
  2. 開啟具有受控執行個體的資源群組,然後選取您要設定公用端點的 SQL 受控執行個體
  3. 在 [安全性] 設定中,選取 [虛擬網路] 索引標籤。
  4. 在虛擬網路設定頁面中,選取 [啟用],然後選取儲存圖示以更新設定。

此螢幕擷取畫面顯示已啟用公用端點之 SQL 受控實例的虛擬網路頁面。

使用 PowerShell 啟用受控執行個體的公用端點

啟用公用端點

請執行下列 PowerShell 命令。 將 subscription-id 取代成您的訂用帳戶識別碼。 同時以受控執行個體的資源群組取代 rg-name,並將 mi-name 取代為受控執行個體的名稱。

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

停用公用端點

若要使用 PowerShell 停用公用端點,請執行下列命令 (如果您已設定,也不要忘記關閉 NSG 的輸入連接埠 3342):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

允許網路安全性群組上的公用端點流量

  1. 如果您有受控執行體的設定頁面仍在開啟下,請瀏覽至 [概觀] 索引標籤。否則,請返回您的 SQL 受控執行個體資源。 選取 [虛擬網路/子網路] 連結,這會帶您前往虛擬網路設定頁面。

    此螢幕擷取畫面顯示 [虛擬網路組態] 頁面,您可以在其中找到虛擬網路/子網值。

  2. 在虛擬網路的左側設定窗格中選取 [子網路] 索引標籤,並記下您受控執行個體的安全性群組

    此螢幕擷取畫面顯示 [子網] 索引標籤,您可以在其中取得受控實例的安全性群組。

  3. 返回包含您受控執行個體的資源群組。 您應該會看到上述網路安全性群組名稱。 選取名稱以進入網路安全性群組設定頁面。

  4. 選取 [輸入安全性規則] 索引標籤,並使用下列設定新增優先順序高於 deny_all_inbound 規則的規則:

    設定 建議的值 描述
    來源 任何 IP 位址或服務標籤
    • 針對 Power BI 之類的 Azure 服務,請選取 Azure 雲端服務標籤
    • 針對您的電腦或 Azure 虛擬機器,請使用 NAT IP 位址
    來源連接埠範圍 * 將此保留為 * (任何),因為通常會動態配置來源連接埠,因此無法預測
    目的地 任意 將目的地保留為 [任何],以允許受控執行個體子網路的輸入流量
    目的地連接埠範圍 3342 將目的地連接埠設定為 3342,這是受控執行個體公用 TDS 端點
    通訊協定 TCP SQL 受控執行個體針對 TDS 使用 TCP 通訊協定
    動作 允許 允許透過公用端點進行受控執行個體的輸入流量
    優先順序 1300 確定此規則的優先順序高於 deny_all_inbound 規則

    此螢幕擷取畫面顯示 [輸入安全性規則],其中包含您在deny_all_inbound規則上方的新public_endpoint_inbound規則。

    注意

    受控執行個體的公用端點連線使用連接埠 3342,目前無法加以變更。

取得受控執行個體公用端點連接字串

  1. 瀏覽至已啟用公用端點的受控執行個體設定頁面。 選取 [設定] 下的 [連接字串] 索引標籤。

  2. 請注意,公用端點主機名稱的格式為 <MI 名稱>.public.<DNS 區域>.database.windows.net,而用於連線的連接埠為 3342。 以下是連接字串的伺服器值範例,表示可以在 SQL Server Management Studio 或 Azure Data Studio 連線中使用的公用端點連接埠:<mi_name>.public.<dns_zone>.database.windows.net,3342

    此螢幕擷取畫面顯示公用和私人端點的連接字串。

後續步驟

了解如何透過公用端點安全地使用 Azure SQL 受控執行個體