Openbare eindpunten configureren in Azure SQL Managed Instance

Artikel
12/12/2024

van toepassing op:Azure SQL Managed Instance

Openbare eindpunten voor Azure SQL Managed Instance gegevenstoegang tot uw beheerde exemplaar mogelijk maken van buiten het virtuele netwerk. U hebt toegang tot uw beheerde exemplaar vanuit azure-services met meerdere tenants, zoals Power BI, Azure App Service of een on-premises netwerk. Door het openbare eindpunt op een beheerd exemplaar te gebruiken, hoeft u geen VPN te gebruiken, wat kan helpen bij het voorkomen van problemen met VPN-doorvoer.

In dit artikel leert u het volgende:

Een openbaar eindpunt voor uw beheerde exemplaar in- of uitschakelen
De netwerkbeveiligingsgroep (NSG) van uw beheerde exemplaar configureren om verkeer naar het openbare eindpunt van het beheerde exemplaar toe te staan
De connectiestring voor het openbare eindpunt van het beheerde exemplaar verkrijgen

Machtigingen

Vanwege de gevoeligheid van gegevens in een beheerd exemplaar is voor de configuratie voor het inschakelen van een openbaar eindpunt van het beheerde exemplaar een proces in twee stappen vereist. Deze beveiligingsmaatregel voldoet aan de scheiding van taken (SoD):

De beheerder van het beheerde exemplaar moet het openbare eindpunt op het beheerde exemplaar inschakelen. De beheerder van het beheerde exemplaar vindt u op de pagina Overzicht voor uw beheerde exemplaarresource.
Een netwerkbeheerder moet verkeer naar het beheerde exemplaar toestaan met behulp van een netwerkbeveiligingsgroep (NSG). Raadpleeg voor meer informatie de machtigingen voor netwerkbeveiligingsgroepen .

Openbaar eindpunt inschakelen

U kunt het openbare eindpunt voor uw met SQL beheerde exemplaar inschakelen met behulp van Azure Portal, Azure PowerShell of De Azure CLI.

Voer de volgende stappen uit om het openbare eindpunt voor uw met SQL beheerde exemplaar in te schakelen in Azure Portal:

Ga naar de Azure Portal.
Open de resourcegroep met het beheerde exemplaar en selecteer het met SQL beheerde exemplaar waarop u een openbaar eindpunt wilt configureren.
Selecteer in de instellingen van Security het tabblad Networking.
Selecteer op de pagina Configuratie van het virtuele netwerk inschakelen en klik vervolgens op het pictogram Opslaan om de configuratie bij te werken.

Schermopname toont de pagina Virtueel netwerk van SQL Managed Instance met het openbare eindpunt ingeschakeld.

Als u het openbare eindpunt wilt inschakelen met PowerShell, stelt u -PublicDataEndpointEnabled in op true wanneer u exemplaareigenschappen bijwerkt met Set-AzSqlInstance-.

Gebruik het PowerShell-voorbeeldscript om het openbare eindpunt voor uw met SQL beheerde exemplaar in te schakelen. Vervang de volgende waarden:

Abonnee-ID met uw abonnee-ID
rg-name met de resourcegroep van uw beheerde exemplaar
mi-naam met de naam van de beheerde instantie

Voer het volgende script uit om het openbare eindpunt in te schakelen met behulp van PowerShell:

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Als u het openbare eindpunt wilt inschakelen met de Azure CLI, stelt u --public-data-endpoint-enabled in op true wanneer u exemplaareigenschappen bijwerkt met az sql mi update.

Gebruik de Azure CLI-voorbeeldopdracht om het openbare eindpunt voor uw SQL Managed Instance in te schakelen. Vervang de volgende waarden:

abonnement met uw abonnement-ID
rg-name met de resourcegroep van uw beheerde exemplaar
mi-naam met de naam van de beheerde instantie

Voer de volgende opdracht uit om het openbare eindpunt in te schakelen met behulp van de Azure CLI:

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled true

Openbaar eindpunt uitschakelen

U kunt het openbare eindpunt voor uw met SQL beheerde exemplaar uitschakelen met behulp van Azure Portal, Azure PowerShell en de Azure CLI.

Voer de volgende stappen uit om het openbare eindpunt uit te schakelen met behulp van Azure Portal:

Ga naar de Azure Portal.
Open de resourcegroep met het beheerde exemplaar en selecteer het met SQL beheerde exemplaar waarop u een openbaar eindpunt wilt configureren.
Selecteer in de instellingen van Security het tabblad Networking.
Selecteer op de pagina Configuratie van het virtuele netwerk uitschakelen en klik vervolgens op het pictogram Opslaan om de configuratie bij te werken.

Als u het openbare eindpunt wilt uitschakelen met PowerShell, stelt u -PublicDataEndpointEnabled in op false wanneer u exemplaareigenschappen bijwerkt met Set-AzSqlInstance.

Gebruik Azure PowerShell om het openbare eindpunt voor uw met SQL beheerde exemplaar uit te schakelen. Vergeet niet om ook de binnenkomende beveiligingsregel voor poort 3342 in uw netwerkbeveiligingsgroep (NSG) te sluiten als u deze hebt geconfigureerd.

Gebruik de volgende opdracht om het openbare eindpunt uit te schakelen:

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Als u het openbare eindpunt wilt uitschakelen met de Azure CLI, stelt u --public-data-endpoint-enabled in op false wanneer u de exemplaareigenschappen bijwerkt met az sql mi update.

Gebruik de Azure CLI om het openbare eindpunt voor uw met SQL beheerde exemplaar uit te schakelen. Vervang de volgende waarden:

abonnement met uw abonnement-ID
rg-name met de resourcegroep van uw beheerde exemplaar
mi-naam met de naam van uw beheerde instantie.

Vergeet niet om ook de binnenkomende beveiligingsregel voor poort 3342 in uw netwerkbeveiligingsgroep (NSG) te sluiten als u deze hebt geconfigureerd.

Gebruik de volgende opdracht om het openbare eindpunt uit te schakelen:

az sql mi update --subscription {subscription-id} --resource-group {rg-name} --name {mi-name} --public-data-endpoint-enabled false

Openbaar eindpuntverkeer in de netwerkbeveiligingsgroep toestaan

Gebruik Azure Portal om openbaar verkeer binnen de netwerkbeveiligingsgroep toe te staan. Volg deze stappen:

Ga naar de Overzichtspagina voor uw SQL Managed Instance in de Azure portal.
Selecteer de koppeling Virtueel netwerk/subnet, waarmee u naar de pagina virtuele netwerkconfiguratie gaat.
Selecteer het tabblad Subnets in het configuratiedeelvenster van uw virtuele netwerk en noteer de naam van de BEVEILIGINGSGROEP voor uw beheerde exemplaar.
Ga terug naar de resourcegroep die uw beheerde exemplaar bevat. Je zou de naam van de netwerkbeveiligingsgroep moeten zien die je eerder hebt genoteerd. Selecteer de netwerkbeveiligingsgroep naam om de netwerkbeveiligingsgroep configuratiepagina te openen.

Selecteer het tabblad beveiligingsregels voor inkomend verkeer en voeg een regel toe met een hogere prioriteit dan de deny_all_inbound regel met de volgende instellingen:

Instelling	Voorgestelde waarde	Beschrijving
bron	Een IP-adres of servicetag	Voor Azure-services, zoals Power BI, selecteert u de Azure Cloud Service-tag Gebruik NAT IP-adres voor uw computer of virtuele Azure-machine
Bronpoortbereiken	*	Laat dit over aan * (any) omdat bronpoorten doorgaans dynamisch worden toegewezen en als zodanig onvoorspelbaar
Bestemming	Enig	Bestemming laten staan als Any om verkeer te ontvangen in het subnet van het beheerde exemplaar.
doelpoortbereiken	3342	Beperk de doelpoort tot 3342, het openbare TDS-eindpunt van het beheerde exemplaar
Protocol	TCP	SQL Managed Instance maakt gebruik van TCP-protocol voor TDS
Actie	Toestaan	Binnenkomend verkeer naar een beheerd exemplaar toestaan via het openbare eindpunt
Prioriteit	1300	Zorg ervoor dat deze regel een hogere prioriteit heeft dan de deny_all_inbound-regel

Schermopname toont de beveiligingsregels voor inkomend verkeer met de nieuwe public_endpoint_inbound-regel boven de deny_all_inbound-regel.

Notitie

Poort 3342 wordt gebruikt voor openbare eindpuntverbindingen met een beheerd exemplaar en kan momenteel niet worden gewijzigd.

Controleer of routering juist is geconfigureerd

Een route met het adresvoorvoegsel 0.0.0.0/0 geeft Azure instructies voor het routeren van verkeer dat is bestemd voor een IP-adres dat zich niet binnen het adresvoorvoegsel van een andere route in de routetabel van een subnet bevindt. Wanneer een subnet wordt aangemaakt, maakt Azure een standaardroute aan naar het adresvoorvoegsel 0.0.0.0/0, met het Internet als volgende hoptype.

Het overschrijven van deze standaardroute zonder de benodigde route(s) toe te voegen om ervoor te zorgen dat het openbare eindpuntverkeer rechtstreeks naar Internet- kan leiden tot asymmetrische routeringsproblemen omdat binnenkomend verkeer niet via de gateway van het virtuele apparaat/virtuele netwerk stroomt. Zorg ervoor dat al het verkeer dat het beheerde exemplaar via openbaar internet bereikt, ook via openbaar internet wordt teruggestuurd. Dit kan door specifieke routes voor elke bron toe te voegen of door de standaardroute in te stellen op het adresvoorvoegsel 0.0.0.0/0 met Internet als volgend hoptype.

Zie meer informatie over de impact van wijzigingen op deze standaardroute op adresvoorvoegsel 0.0.0.0/0.

De verbindingsreeks voor het openbare eindpunt ophalen

Navigeer naar de configuratiepagina van het beheerde exemplaar die is ingeschakeld voor een openbaar eindpunt. Selecteer de verbindingsreeksen tabblad onder de Instellingen configuratie.
De hostnaam van het openbare eindpunt heeft de indeling <mi_name>.publieke.<dns_zone>.database.windows.net, en de poort die wordt gebruikt voor de verbinding is 3342. Hier volgt een voorbeeld van een serverwaarde van de verbindingsreeks die de openbare eindpuntpoort aangeeft die kan worden gebruikt in SQL Server Management Studio- of Azure Data Studio-verbindingen: <mi_name>.public.<dns_zone>.database.windows.net,3342

Volgende stappen

Meer informatie over het veilig gebruiken van Azure SQL Managed Instance met een openbaar eindpunt.

Delen via