Partager via


Tutoriel : se connecter à un serveur Azure SQL avec Azure Private Endpoint en utilisant le Portail Azure

Azure Private Endpoint est le composant fondamental de Private Link dans Azure. Il permet aux ressources Azure, comme les machines virtuelles, de communiquer en privé et en toute sécurité avec les ressources Private Link comme le serveur Azure SQL.

Diagramme des ressources créées dans le guide de démarrage rapide d'un point de terminaison privé.

Dans ce tutoriel, vous allez apprendre à :

  • Créer un réseau virtuel et un hôte Azure bastion.
  • Création d’une machine virtuelle
  • Créer un serveur Azure SQL et un point de terminaison privé
  • Tester la connectivité au point de terminaison privé du serveur SQL

Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de commencer.

Prérequis

  • Un abonnement Azure

Connexion à Azure

Connectez-vous au portail Azure.

Créer un réseau virtuel et un hôte Azure Bastion

La procédure suivante crée un réseau virtuel avec un sous-réseau de ressources, un sous-réseau Azure Bastion et un hôte Bastion :

  1. Dans le portail, recherchez et sélectionnez Réseaux virtuels.

  2. Dans la page Réseaux virtuels, sélectionnez + Créer.

  3. Sous l’onglet Informations de base de la page Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez Créer nouveau.
    Entrez test-rg comme nom.
    Sélectionnez OK.
    Détails de l’instance
    Nom Entrez vnet-1.
    Région Sélectionnez USA Est.

    Capture d’écran de l’onglet Informations de base pour la création d’un réseau virtuel dans le portail Azure.

  4. Sélectionnez Suivant pour passer à l’onglet Sécurité.

  5. Dans la section Azure Bastion, sélectionnez Activer Azure Bastion.

    Bastion utilise votre navigateur pour se connecter aux machines virtuelles de votre réseau virtuel via le protocole SSH (Secure Shell) ou le protocole RDP (Remote Desktop Protocol) à l’aide de leurs adresses IP privées. Les machines virtuelles ne requièrent pas d’adresse IP publique, de logiciel client ou de configuration spéciale. Pour plus d’informations, consultez Présentation d’Azure Bastion.

    Remarque

    Le tarif horaire commence à partir du moment où Bastion est déployé, quelle que soit l’utilisation des données sortantes. Pour plus d’informations, consultez Tarifications et Références SKU. Si vous déployez Bastion dans le cadre d’un tutoriel ou d’un test, nous vous recommandons de supprimer cette ressource après l’avoir utilisée.

  6. Dans Azure Bastion, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Nom d’hôte Azure Bastion Entrez bastion.
    Adresse IP publique Azure Bastion Sélectionnez Créer une adresse IP publique.
    Saisissez public-ip-bastion dans le champ Nom.
    Sélectionnez OK.

    Capture d’écran des options permettant d’activer un hôte Azure Bastion dans le cadre de la création d’un réseau virtuel dans le portail Azure.

  7. Sélectionnez Suivant pour passer à l’onglet Adresses IP.

  8. Dans la zone Espace d’adressage de Sous-réseaux, sélectionnez le sous-réseau par défaut.

  9. Dans Modifier le sous-réseau, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Objectif du sous-réseau Conservez la valeur par défaut de Valeur par défaut.
    Nom Entrez subnet-1.
    IPv4
    Plage d'adresses IPv4 Conservez la valeur par défaut 10.0.0.0/16.
    Adresse de début Laissez la valeur par défaut sur 10.0.0.0.
    Taille Conservez la valeur par défaut /24 (256 adresses).

    Capture d’écran des détails de configuration d’un sous-réseau.

  10. Sélectionnez Enregistrer.

  11. Sélectionnez Vérifier + créer en bas de la fenêtre. Quand la validation réussit, sélectionnez Créer.

Créer une machine virtuelle de test

La procédure suivante crée une machines virtuelles de test (VM) nommée vm-1 dans le réseau virtuel.

  1. Dans le portail, recherchez et sélectionnez Machines virtuelles.

  2. Dans Machines virtuelles, sélectionnez + Créer, puis Machine virtuelle Azure.

  3. Sous l’onglet Général de la page Créer une machine virtuelle, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Détails de l’instance
    Nom de la machine virtuelle Entrez vm-1.
    Région Sélectionnez USA Est.
    Options de disponibilité Sélectionnez Aucune redondance d’infrastructure requise.
    Type de sécurité Conservez la valeur par défaut Standard.
    Image Sélectionnez Ubuntu Server 22.04 LTS - x64 Gen2.
    Architecture de machine virtuelle Laissez la valeur par défaut x64.
    Taille Sélectionnez une taille.
    Compte administrateur
    Type d'authentification Sélectionnez Mot de passe.
    Nom d’utilisateur entrez azureuser.
    Mot de passe Entrez un mot de passe.
    Confirmer le mot de passe Entrez de nouveau le mot de passe.
    Règles des ports d’entrée
    Aucun port d’entrée public Sélectionnez Aucun.
  4. Sélectionnez l’onglet Réseau en haut de la page.

  5. Entrez ou sélectionnez les informations suivantes sous l’onglet Réseau :

    Paramètre Valeur
    Interface réseau
    Réseau virtuel Sélectionnez vnet-1.
    Subnet Sélectionnez subnet-1 (10.0.0.0/24).
    Adresse IP publique Sélectionnez Aucun.
    Groupe de sécurité réseau de la carte réseau Sélectionnez Avancé.
    Configurer un groupe de sécurité réseau Sélectionnez Créer nouveau.
    Entrez nsg-1 pour le nom.
    Pour le reste, laissez les valeurs par défaut et sélectionnez OK.
  6. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier + créer.

  7. Passez en revue les paramètres, puis sélectionnez Créer.

Notes

Les machines virtuelles d’un réseau virtuel avec un hôte bastion n’ont pas besoin d’adresses IP publiques. Bastion fournit l’adresse IP publique et les machines virtuelles utilisent des adresses IP privées pour communiquer au sein du réseau. Vous pouvez supprimer les adresses IP publiques des machines virtuelles des réseaux virtuels hébergés par bastion. Pour plus d’informations, consultez Dissocier une adresse IP publique d’une machine virtuelle Azure.

Remarque

Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends d’un équilibreur de charge Azure de base interne. Le mécanisme d’adresse IP d’accès sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.

L’adresse IP de l’accès sortant par défaut est désactivée quand l’un des événements suivants se produit :

  • Une adresse IP publique est affectée à la machine virtuelle.
  • La machine virtuelle est placée dans le pool principal d’un équilibreur de charge standard, avec ou sans règles de trafic sortant.
  • Une ressource Azure NAT Gateway est attribuée au sous-réseau de la machine virtuelle.

Les machines virtuelles que vous avez créées, au moyen de groupes de machines virtuelles identiques en mode d’orchestration flexible, n’ont pas d’accès sortant par défaut.

Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès sortant par défaut dans Azure et Utiliser SNAT (Source Network Address Translation) pour les connexions sortantes.

Créer un serveur SQL Azure et un point de terminaison privé

Dans cette section, vous créez un serveur SQL dans Azure.

  1. Dans la zone de recherche située en haut du portail, entrez SQL. Sélectionnez Bases de données SQL dans les résultats de la recherche.

  2. Dans Bases de données SQL, sélectionnez + Créer.

  3. Sous l’onglet De base de la page Créer une base de données SQL, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Détails du projet
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Détails de la base de données
    Nom de la base de données Entrez sql-db.
    Serveur Sélectionnez Créer.
    Entrez sql-server-1 dans Nom du serveur (les noms de serveur doivent être uniques, remplacez sql-server-1 par une valeur unique).
    Sélectionnez (US) USA Est 2 dans Emplacement.
    Sélectionnez Utiliser l’authentification SQL.
    Entrez une connexion et un mot de passe de l’administrateur de serveur.
    Sélectionnez OK.
    Voulez-vous utiliser un pool élastique SQL ? Sélectionnez Non.
    Environnement de la charge de travail Laissez la valeur par default de Production.
    Redondance du stockage de sauvegarde
    Redondance du stockage de sauvegarde Sélectionnez Stockage de sauvegarde redondant localement.
  4. Sélectionnez Suivant : Réseau.

  5. Sous l’onglet Mise en réseau de la page Créer une base de données SQL, entrez ou sélectionnez les informations suivantes :

    Paramètre Valeur
    Connectivité réseau
    Méthode de connexion Sélectionnez Point de terminaison privé.
    Points de terminaison privés
    Sélectionnez + Ajouter un point de terminaison privé.
    Créer un point de terminaison privé
    Abonnement Sélectionnez votre abonnement.
    Resource group Sélectionnez test-rg.
    Emplacement Sélectionnez USA Est.
    Nom Entrez private-endpoint-sql.
    Sous-ressource cible Sélectionnez SQLServer.
    Mise en réseau
    Réseau virtuel Sélectionnez vnet-1.
    Subnet Sélectionnez subnet-1.
    Intégration à un DNS privé
    Intégrer à une zone DNS privée Sélectionnez Oui.
    Zone DNS privée Laissez la valeur par défaut de privatelink.database.windows.net.
  6. Cliquez sur OK.

  7. Sélectionnez Revoir + créer.

  8. Sélectionnez Create (Créer).

Important

Lorsque vous ajoutez une connexion de point de terminaison privé, le routage public vers votre serveur Azure SQL n’est pas bloqué par défaut. Le paramètre « Refuser l’accès au réseau public » dans le panneau « Pare-feu et réseaux virtuels » n’est pas activé par défaut. Pour désactiver l’accès au réseau public, vérifiez que cette option est cochée.

Désactiver l’accès public au serveur logique Azure SQL

Pour ce scénario, supposons que vous souhaitez désactiver tout accès public à votre serveur Azure SQL et autoriser uniquement les connexions à partir de votre réseau virtuel.

  1. Dans la zone de recherche en haut du portail, saisissez SQL Server. Sélectionnez les serveurs SQL dans les résultats de la recherche.

  2. Sélectionnez sql-server-1.

  3. dans Sécurité, sélectionnez l’onglet Mise en réseau, puis Désactiver pour l’Accès au réseau public.

  4. Cliquez sur Enregistrer.

Tester la connectivité au point de terminaison privé

Dans cette section, vous utilisez la machine virtuelle que vous avez créée au cours des étapes précédentes pour vous connecter au serveur SQL via le point de terminaison privé.

  1. Dans la zone de recherche située en haut du portail, entrez Machine virtuelle. Sélectionnez Machines virtuelles dans les résultats de la recherche.

  2. Sélectionnez vm-1.

  3. Dans Opérations, sélectionnez Bastion.

  4. Entrez le nom d’utilisateur et le mot de passe pour la machine virtuelle.

  5. Sélectionnez Se connecter.

  6. Pour vérifier la résolution de noms du point de terminaison privé, entrez la commande suivante dans la fenêtre du terminal :

    nslookup server-name.database.windows.net
    

    Vous recevez un message similaire à l’exemple suivant. L’adresse IP retournée est l’adresse IP privée du point de terminaison privé.

    Server:    127.0.0.53
    Address:   127.0.0.53#53
    
    Non-authoritative answer:
    sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
    Name:sql-server-8675.privatelink.database.windows.net
    Address: 10.1.0.4
    
  7. Installez les outils en ligne de commande du serveur SQL depuis Installer les outils en ligne de commande du serveur SCQL sqlcmd et bcp sur Linux. Passez aux étapes suivantes une fois l’installation terminée.

  8. Utilisez les commandes suivantes pour vous connecter au serveur SQL que vous avez créé dans les étapes précédentes.

    • Remplacez <server-admin> par le nom d’utilisateur administrateur que vous avez entré lors de la création du serveur SQL.

    • Remplacez <admin-password> par le mot de passe administrateur que vous avez entré lors de la création du serveur SQL.

    • Remplacez sql-server-1 par le nom de votre serveur SQL.

    sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'
    
  9. Une invite de commandes SQL s’affiche en cas de connexion réussie. Entrez exit pour quitter l’outil sqlcmd.

Lorsque vous avez terminé d’utiliser les ressources que vous avez créées, vous pouvez supprimer le groupe de ressources et toutes ses ressources.

  1. Depuis le portail Azure, recherchez et sélectionnez Groupes de ressources.

  2. Dans la page Groupes de ressources, sélectionnez le groupe de ressources test-rg.

  3. Dans la page test-rg, sélectionnez Supprimer le groupe de ressources.

  4. Entrez test-rg dans Entrez le nom du groupe de ressources pour confirmer la suppression, puis sélectionnez Supprimer.

Étapes suivantes

Dans ce tutoriel, vous avez appris à créer :

  • Un réseau virtuel et un hôte bastion.

  • Une machine virtuelle

  • Un serveur SQL Azure avec un point de terminaison privé

Vous avez utilisé la machine virtuelle pour tester de façon privée et sécurisée la connectivité au serveur SQL via le point de terminaison privé.

En guise d’étape suivante, vous pouvez également être intéressé par le scénario d’architecture Application web avec connectivité privée à une base de données Azure SQL, qui connecte une application web en dehors du réseau virtuel au point de terminaison privé d’une base de données.