Partilhar via

Configurar pontos de extremidade públicos na Instância Gerenciada SQL do Azure

Aplica-se a:Instância Gerenciada do Azure SQL

Pontos de extremidade públicos para a Instância Gerenciada SQL do Azure permitem o acesso a dados à sua instância gerenciada SQL de fora da rede virtual. Você pode acessar sua instância gerenciada SQL a partir de serviços multilocatários do Azure, como Power BI, Serviço de Aplicativo do Azure ou uma rede local. Ao usar o ponto de extremidade público em uma instância gerenciada pelo SQL, você não precisa usar uma VPN, o que pode ajudar a evitar problemas de taxa de transferência de VPN.

Neste artigo, você aprenderá a:

  • Habilitar ou desabilitar um ponto de extremidade público para sua instância gerenciada SQL
  • Configure o grupo de segurança de rede (NSG) da sua instância gerida SQL para permitir o tráfego para a interface pública da instância gerida SQL.
  • Obter a cadeia de conexão do ponto de extremidade público da instância gerida do SQL

Permissões

Devido à sensibilidade dos dados em uma instância gerenciada pelo SQL, a configuração para habilitar o ponto de extremidade público da instância gerenciada pelo SQL requer um processo de duas etapas. Esta medida de segurança respeita a separação de funções (SoD):

  • O administrador da instância gerida do SQL precisa habilitar o endpoint público na instância gerida do SQL. O administrador da instância gerenciada do SQL pode ser encontrado na página Visão geral do recurso da instância gerenciada do SQL.
  • Um administrador de rede precisa permitir o tráfego para a instância gerenciada SQL usando um grupo de segurança de rede (NSG). Para obter mais informações, consulte permissões de grupo de segurança de rede.

Habilitar ponto de extremidade público

Você pode habilitar o ponto de extremidade público para sua Instância Gerenciada SQL usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Para habilitar o ponto de extremidade público para sua Instância Gerenciada SQL no portal do Azure, siga estas etapas:

  1. Vá para o portal do Azure.
  2. Abra o grupo de recursos com a instância gerenciada SQL e selecione a instância gerenciada SQL na qual você deseja configurar o ponto de extremidade público.
  3. Nas definições de Segurança, selecione o separador Rede.
  4. Na página Configuração de rede virtual, selecione Ativar e, em seguida, o ícone Salvar para atualizar a configuração.

A captura de ecrã mostra a página da Rede Virtual da Instância Gerida SQL com o Ponto de Extremidade Público habilitado.

Desativar ponto de extremidade público

Pode desativar o endpoint público para a sua Instância Gerida SQL utilizando o portal do Azure, o Azure PowerShell e a CLI do Azure.

Para desativar o ponto de extremidade público usando o Portal do Azure, siga estas etapas:

  1. Vá para o portal do Azure.
  2. Abra o grupo de recursos com a instância gerenciada SQL e selecione a instância gerenciada SQL na qual você deseja configurar o ponto de extremidade público.
  3. Nas definições de Segurança, selecione o separador Rede.
  4. Na página Configuração de rede virtual, selecione Desativar e, em seguida, o ícone Salvar para atualizar a configuração.

Permitir tráfego de ponto de extremidade público no grupo de segurança de rede

Use o portal do Azure para permitir o tráfego público dentro do grupo de segurança de rede. Siga estes passos:

  1. Vá para a página Visão Geral do para sua Instância Gerenciada do SQL no portal do Azure.

  2. Selecione o link Rede virtual/sub-rede, que o levará à página Configuração de rede virtual.

    Captura de tela mostra a página Configuração de rede virtual onde você pode encontrar seu valor de rede/sub-rede virtual.

  3. Selecione a guia Sub-redes no painel de configuração da sua rede virtual e anote o nome do GRUPO DE SEGURANÇA para sua instância gerenciada pelo SQL.

    A captura de tela mostra a guia Sub-rede, onde você pode obter o GRUPO DE SEGURANÇA para sua instância gerenciada pelo SQL.

  4. Volte para o grupo de recursos que contém sua instância gerenciada pelo SQL. Você deve ver o nome do grupo de segurança de rede anotado anteriormente. Selecione o nome do Grupo de Segurança de Rede para abrir a página de configuração do Grupo de Segurança de Rede.

  5. Selecione o separador Regras de segurança de entrada e Adicione uma regra que tenha prioridade maior do que a regra deny_all_inbound com as seguintes definições:

    Cenário Valor sugerido Descrição
    Origem Qualquer endereço IP ou etiqueta de serviço
    • Para serviços do Azure como o Power BI, selecione a Marca de Serviço de Nuvem do Azure
    • Para o seu computador ou máquina virtual do Azure, use o endereço IP NAT
    Intervalos de porta de origem * Deixe isso para * (qualquer), pois as portas de origem são normalmente alocadas dinamicamente e, como tal, imprevisíveis
    Destino Qualquer Deixar o destino como "Any" para permitir o tráfego para a sub-rede da instância gerida SQL
    Intervalos de portas de destino 3342 Limitar a porta de destino a 3342, que é o endpoint TDS público da instância SQL gerida.
    Protocolo TCP A Instância Gerenciada SQL usa o protocolo TCP para TDS
    Ação Permitir Permitir tráfego de entrada para instância SQL gerida através do ponto de extremidade público
    Prioridade 1300 Certifique-se de que esta regra tem prioridade mais elevada do que a regra deny_all_inbound

    A captura de tela exibe as regras de segurança de entrada com a sua nova regra public_endpoint_inbound acima da regra deny_all_inbound.

    Observação

    A porta 3342 é usada para conexões de ponto de extremidade público com instância gerenciada SQL e não pode ser alterada atualmente.

Confirme se o roteamento está configurado corretamente

Uma rota com o prefixo de endereço 0.0.0.0/0 instrui o Azure sobre como rotear o tráfego destinado a um endereço IP que não esteja dentro do prefixo de endereço de qualquer outra rota na tabela de rotas de uma sub-rede. Quando uma sub-rede é criada, o Azure cria uma rota padrão para o prefixo de endereço 0.0.0.0/0, com o Internet próximo tipo de salto.

Substituir essa rota padrão sem adicionar a(s) rota(s) necessária(s) para garantir que o tráfego de ponto de extremidade público seja roteado diretamente para a Internet pode causar problemas de roteamento assimétrico, uma vez que o tráfego de entrada não flui através do dispositivo virtual/gateway de rede virtual. Certifique-se de que todo o tráfego que chega à instância gerenciada SQL pela Internet pública também volte pela Internet pública, adicionando rotas específicas para cada origem ou definindo a rota padrão para o prefixo de endereço 0.0.0.0/0 de volta à Internet como tipo de próximo salto.

Consulte os detalhes sobre o impacto das alterações nesta rota padrão no prefixo de endereço 0.0.0.0/0.

Obter a cadeia de conexão de ponto de extremidade pública

  1. Navegue até à página de configuração da instância SQL gerida habilitada para o ponto de acesso público. Selecione o separador Cadeias de conexão na configuração Configurações.

  2. O nome do host de ponto de extremidade público vem no formato <mi_name>.public.<dns_zone>.database.windows.net, e a porta usada para a conexão é 3342. A seguir está um exemplo de uma cadeia de conexão que indica a porta de ponto de extremidade pública que pode ser usada em conexões do SQL Server Management Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    A captura de ecrã mostra as cadeias de conexão para os seus pontos de extremidade públicos e locais na VNet.

Próximo passo

Utilizar a Instância Gerenciada SQL do Azure com pontos de extremidade públicos de forma segura

  • Last updated on