Partager via

Configurer des points de terminaison publics dans Azure SQL Managed Instance

S’applique à :Azure SQL Managed Instance

Les points de terminaison publics pour Azure SQL Managed Instance permettent l’accès aux données à votre instance managée SQL en dehors du réseau virtuel. Vous pouvez accéder à votre instance managée SQL à partir de services Azure mutualisées tels que Power BI, Azure App Service ou un réseau local. En utilisant le point de terminaison public sur une instance managée SQL, vous n’avez pas besoin d’utiliser un VPN, ce qui peut vous aider à éviter les problèmes de débit VPN.

Dans cet article, vous apprendrez comment :

  • Activer ou désactiver un point de terminaison public pour votre instance managée SQL
  • Configurer votre groupe de sécurité réseau SQL Managed Instance (NSG) pour autoriser le trafic vers le point de terminaison public de l’instance managée SQL
  • Obtenir la chaîne de connexion de point de terminaison public SQL Managed Instance

Autorisations

En raison de la sensibilité des données dans une instance managée SQL, la configuration permettant d’activer le point de terminaison public de l’instance managée SQL nécessite un processus en deux étapes. Cette mesure de sécurité est conforme à la séparation des tâches :

  • L’administrateur de l’instance managée SQL doit activer le point de terminaison public sur l’instance managée SQL. Vous trouverez l’administrateur d’instance managée SQL dans la page Vue d’ensemble de votre ressource d’instance managée SQL.
  • Un administrateur réseau doit autoriser le trafic vers l’instance managée SQL à l’aide d’un groupe de sécurité réseau (NSG). Pour en savoir plus, consultez la liste des permissions du groupe de sécurité réseau.

Activer un point de terminaison public

Vous pouvez activer le point de terminaison public pour SQL Managed Instance à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.

Pour activer le point de terminaison public pour SQL Managed Instance dans le Portail Azure, procédez comme suit :

  1. Accédez au portail Azure.
  2. Ouvrez le groupe de ressources avec l’instance managée SQL, puis sélectionnez l’instance managée SQL sur laquelle vous souhaitez configurer le point de terminaison public.
  3. Dans les paramètres de Sécurité, sélectionnez l’onglet Mise en réseau.
  4. Dans la page de configuration du réseau virtuel, sélectionnez Activer, puis l’icône Enregistrer pour mettre à jour la configuration.

Capture d’écran représentant une page Réseau virtuel de SQL Managed Instance, sur laquelle l’option Point de terminaison public est activée.

Désactiver un point de terminaison public

Vous pouvez désactiver le point de terminaison public pour SQL Managed Instance à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.

Pour désactiver le point de terminaison public à l’aide du Portail Azure, procédez comme suit :

  1. Accédez au portail Azure.
  2. Ouvrez le groupe de ressources avec l’instance managée SQL, puis sélectionnez l’instance managée SQL sur laquelle vous souhaitez configurer le point de terminaison public.
  3. Dans les paramètres de Sécurité, sélectionnez l’onglet Mise en réseau.
  4. Dans la page de configuration du réseau virtuel, sélectionnez Désactiver, puis l’icône Enregistrer pour mettre à jour la configuration.

Autoriser le trafic du point de terminaison public sur le groupe de sécurité réseau

Utilisez le Portail Azure pour autoriser le trafic public au sein du groupe de sécurité réseau. Procédez comme suit :

  1. Accédez à la page Vue d’ensemble de votre instance SQL Managed Instance dans le portail Azure.

  2. Sélectionnez le lien Réseau/sous-réseau virtuel, qui vous permet d’accéder à la page Configuration du réseau virtuel.

    Capture d'écran représentant la page de configuration du réseau virtuel dans laquelle vous pouvez trouver la valeur de votre réseau/sous-réseau virtuel.

  3. Sélectionnez l’onglet Sous-réseaux dans le volet de configuration de votre réseau virtuel, puis notez le nom du groupe de sécurité pour votre instance managée SQL.

    Capture d’écran montrant l’onglet Sous-réseau, où vous pouvez obtenir le GROUPE DE SÉCURITÉ pour votre instance managée SQL.

  4. Revenez au groupe de ressources qui contient votre instance managée SQL. Vous devez voir le nom du groupe de sécurité réseau indiqué précédemment, que vous avez noté. Sélectionnez le nom du Groupe de sécurité réseau pour ouvrir la page de configuration Groupe de sécurité réseau.

  5. Sélectionnez l’onglet Règles de sécurité de trafic entrant et ajoutez une règle qui a une priorité supérieure à la règle de deny_all_inbound avec les paramètres suivants :

    Paramètre Valeur suggérée Description
    Source N’importe quelle adresse IP ou balise de service
    • Pour les services Azure tels que Power BI, sélectionnez la balise de service Azure Cloud
    • Pour votre ordinateur ou machine virtuelle Azure, utilisez l’adresse IP NAT.
    Plages de ports source * Laissez la valeur * (tout) pour cette option, car les ports sources sont généralement alloués de manière dynamique et, de ce fait, imprévisibles
    Destination Quelconque Laisser la destination indéfinie pour permettre le trafic sur le sous-réseau de l'instance SQL managée
    Plages de ports de destination 3342 Définir le port de destination sur 3342, qui correspond au point de terminaison TDS public de l'instance SQL managée
    Protocole TCP SQL Managed Instance utilise le protocole TCP pour TDS
    Action Allow Autoriser le trafic entrant vers une instance managée SQL via le point de terminaison public
    Priorité 1 300 Assurez-vous que cette règle présente une priorité plus élevée que la règle deny_all_inbound

    Capture d'écran représentant les Règles de sécurité de trafic entrant, qui contiennent la nouvelle règle public_endpoint_inbound et la règle deny_all_inbound.

    Notes

    Le port 3342 est utilisé pour les connexions de point de terminaison public à l’instance managée SQL et ne peut pas être modifié actuellement.

Confirmer que le routage est configuré correctement

Un itinéraire avec le préfixe d’adresse 0.0.0.0/0 indique à Azure comment router le trafic destiné à une adresse IP qui n’est pas dans le préfixe d’adresse d’un autre itinéraire dans la table de routage d’un sous-réseau. Lors de la création d’un sous-réseau, Azure crée un itinéraire par défaut vers le préfixe d’adresse 0.0.0.0/0, avec Internet comme type de tronçon suivant.

La substitution de cette route par défaut sans ajouter les itinéraires nécessaires pour s’assurer que le trafic de point de terminaison public est acheminé directement vers Internet peut entraîner des problèmes de routage asymétrique, car le trafic entrant ne transite pas via l’appliance virtuelle/passerelle de réseau virtuel. Assurez-vous que tout le trafic qui atteint l’instance managée SQL via l’Internet public revient également sur Internet public en ajoutant des itinéraires spécifiques pour chaque source ou en définissant l’itinéraire par défaut sur le préfixe d’adresse 0.0.0.0/0 vers Internet comme type de tronçon suivant.

Pour plus d’informations sur l’impact des modifications sur cet itinéraire par défaut, consultez Préfixe d’adresse 0.0.0.0/0.

Obtenir la chaîne de connexion du point de terminaison public

  1. Accédez à la page de configuration de l’instance managée SQL activée pour le point de terminaison public. Sélectionnez l’onglet Chaînes de connexion sous la configuration Paramètres.

  2. Le nom d’hôte du point de terminaison public est au format <mi_name>.public.<dns_zone>.database.windows.netet le port utilisé pour la connexion est 3342. Voici un exemple de chaîne de connexion indiquant le port de point de terminaison public qui peut être utilisé dans les connexions SQL Server Management Studio : <mi_name>.public.<dns_zone>.database.windows.net,3342

    Capture d’écran représentant les chaînes de connexion de vos points de terminaison publics et locaux de réseau virtuel.

Étape suivante

Utiliser Azure SQL Managed Instance de manière sécurisée avec des points de terminaison publics

  • Last updated on