在 Azure SQL 受控實例中設定公用端點

發行項
07/31/2023

Azure SQL 受控實例的公用端點可讓您從虛擬網路外部存取受控實例的資料。您可以從多租用戶 Azure 服務 (例如 Power BI、Azure App Service 或內部部署網路) 存取受控執行個體。使用受控執行個體上的公用端點，您就不需要使用 VPN，這可能有助於避免 VPN 輸送量問題。

在本文中，您將學會如何：

啟用或停用受控實例的公用端點
設定受控實例網路安全性群組（NSG）以允許流量流向受控實例公用端點
取得受控執行個體公用端點連接字串

權限

由於受控實例中的資料敏感度，啟用受控實例公用端點的組態需要雙步驟程式。此安全性措施遵守職責區分 (SoD)：

受控實例管理員必須在受控實例上啟用公用端點。您可以在受控實例資源的 [ 概觀 ] 頁面上找到受控實例管理員。
網路系統管理員必須使用網路安全性群組（NSG）允許流量流向受控實例。如需詳細資訊，請檢閱網路安全性群組許可權。

啟用公用端點

您可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI，為您的 SQL 受控實例啟用公用端點。

若要在 Azure 入口網站中啟用 SQL 受控實例的公用端點，請遵循下列步驟：

移至 Azure 入口網站。
開啟具有受控執行個體的資源群組，然後選取您要設定公用端點的 SQL 受控執行個體。
在 [ 安全性 設定] 上，選取 [ 網路] 索引卷 標。
在虛擬網路設定頁面中，選取 [啟用]，然後選取儲存圖示以更新設定。

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

使用範例 PowerShell 腳本來啟用 SQL 受控實例的公用端點。取代下列值：

訂用帳戶識別碼與訂用帳戶識別碼
具有受控實例資源群組的 rg-name
mi-name 搭配受控實例的名稱

若要使用 PowerShell 啟用公用端點，請執行下列腳本：

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

使用範例 Azure CLI 命令來啟用 SQL 受控實例的公用端點。取代下列值：

訂用帳戶識別碼為訂用帳戶
具有受控實例資源群組的 rg-name
mi-name 搭配受控實例的名稱

若要使用 Azure CLI 啟用公用端點，請執行下列命令：

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled true

停用公用端點

您可以使用 Azure 入口網站、Azure PowerShell 和 Azure CLI 來停用 SQL 受控實例的公用端點。

若要使用 Azure 入口網站停用公用端點，請遵循下列步驟：

移至 Azure 入口網站。
開啟具有受控執行個體的資源群組，然後選取您要設定公用端點的 SQL 受控執行個體。
在 [ 安全性 設定] 上，選取 [ 網路] 索引卷 標。
在 [虛擬網路組態] 頁面中，選取 [停用 ]，然後選取 [ 儲存 ] 圖示以更新設定。

使用 Azure PowerShell 停用 SQL 受控實例的公用端點。如果您已設定埠 3342，請記得也請關閉網路安全性群組中埠 3342 的輸入安全性規則。

若要停用公用端點，請使用下列命令：

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

使用 Azure CLI 來停用 SQL 受控實例的公用端點。取代下列值：

訂用帳戶識別碼為訂用帳戶
具有受控實例資源群組的 rg-name
mi-name 與受控實例的名稱。

如果您已設定埠 3342，請記得也請關閉網路安全性群組中埠 3342 的輸入安全性規則。

若要停用公用端點，請使用下列命令：

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled false

允許網路安全性群組中的公用端點流量

使用 Azure 入口網站允許網路安全性群組內的公用流量。請遵循下列步驟：

移至 Azure 入口網站中 SQL 受控實例的 [概觀 ] 頁面。
選取 [虛擬網路/子網 ] 連結，這會帶您前往 [虛擬網路組態 ] 頁面。
選取虛擬網路組態窗格上的 [ 子網] 索引標籤，並記下受控實例的 安全性群組 名稱。
返回包含受控實例的資源群組。您應該會看到 先前記下網路安全性群組 名稱。選取 [網路安全性群組 名稱] 以開啟 [ 網路安全性群組 組態] 頁面。

選取 [輸入安全性規則] 索引標籤，並使用下列設定新增優先順序高於 deny_all_inbound 規則的規則：

設定	建議的值	描述
來源	任何 IP 位址或服務標籤	針對 Power BI 之類的 Azure 服務，請選取 Azure 雲端服務標籤針對您的電腦或 Azure 虛擬機器，請使用 NAT IP 位址
來源連接埠範圍	*	將此保留為 * （任何）作為來源埠通常會動態配置，因此無法預測
目的地	任意	將目的地保留為 [任何]，以允許受控執行個體子網路的輸入流量
目的地連接埠範圍	3342	將目的地連接埠設定為 3342，這是受控執行個體公用 TDS 端點
通訊協定	TCP	SQL 受控執行個體針對 TDS 使用 TCP 通訊協定
動作	允許	允許透過公用端點進行受控執行個體的輸入流量
優先順序	1300	確定此規則的優先順序高於 deny_all_inbound 規則

Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

注意

埠 3342 用於對受控實例的公用端點連線，目前無法變更。

確認路由已正確設定

如果 IP 位址不在子網路路由表中任何其他路由的位址首碼內，則具有 0.0.0.0/0 位址首碼的路由會指示 Azure 如何路由該 IP 位址指定的流量。建立子網路時，Azure 會建立 0.0.0.0/0 位址首碼的預設路由，且下一個躍點類型為網際網路。

覆寫此預設路由而不新增必要的路由，以確保公用端點流量會直接路由至 網際網路 ，可能會導致非對稱路由問題，因為連入流量不會透過虛擬裝置/虛擬網路閘道流動。請確定透過公用網際網路連線到受控實例的所有流量都會透過公用網際網路傳回，方法是為每個來源新增特定路由，或將預設路由設定為 0.0.0.0/0 位址首碼回到網際網路 作為下一個躍點類型。

如需有關此預設路由上變更影響的詳細資料，請參閱 0.0.0.0/0 位址首碼。

取得公用端點連接字串

瀏覽至已啟用公用端點的受控執行個體設定頁面。選取 [設定] 下的 [連接字串] 索引標籤。
公用端點主機名稱的格式為 <mi_name>.public.<dns_zone>.database.windows.net，而用於連線的連接埠為 3342。以下是連接字串的伺服器值範例，表示可以在 SQL Server Management Studio 或 Azure Data Studio 連線中使用的公用端點連接埠：<mi_name>.public.<dns_zone>.database.windows.net,3342

下一步

了解如何透過公用端點安全地使用 Azure SQL 受控執行個體。