Configurer des points de terminaison publics dans Azure SQL Managed Instance

S’applique à : Azure SQL Managed Instance

Un point de terminaison public pour Azure SQL Managed Instance permet l’accès aux données de votre instance gérée depuis un emplacement extérieur au réseau virtuel. Vous pouvez accéder à votre instance gérée à partir de services Azure multi-locataire, tels que Power BI et Azure App Service, ou d’un réseau local. Comme vous utilisez le point de terminaison public sur une instance gérée, vous n’avez pas besoin de recourir à un VPN, ce qui peut aider à éviter les problèmes de débit VPN.

Dans cet article, vous apprendrez comment :

  • Activer ou désactiver le point de terminaison public pour votre instance gérée
  • Configurer votre groupe de sécurité réseau d’instance gérée pour autoriser le trafic vers le point de terminaison public de l’instance gérée
  • Obtenir la chaîne de connexion du point de terminaison public de l’instance gérée

Autorisations

En raison de la sensibilité des données qui se trouvent sur une instance gérée, la configuration permettant d’activer le point de terminaison public de ce type d’instance repose sur un processus en deux étapes. Cette mesure de sécurité est conforme à la séparation des tâches :

  • L’administrateur de l’instance gérée doit activer le point de terminaison public sur l’instance gérée. Cet administrateur est indiqué sur la page Vue d’ensemble de votre ressource d’instance gérée.
  • Un administrateur réseau doit autoriser le trafic vers l’instance gérée à l’aide d’un groupe de sécurité réseau (NSG). Pour en savoir plus, consultez la liste des permissions du groupe de sécurité réseau.

Activer un point de terminaison public

Vous pouvez activer le point de terminaison public pour SQL Managed Instance à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.

Pour activer le point de terminaison public pour SQL Managed Instance dans le Portail Azure, procédez comme suit :

  1. Accédez au portail Azure.
  2. Ouvrez le groupe de ressources avec l’instance gérée, puis sélectionnez l’instance gérée SQL sur laquelle vous souhaitez configurer le point de terminaison.
  3. Dans les paramètres de Sécurité, sélectionnez l’onglet Mise en réseau.
  4. Dans la page de configuration du réseau virtuel, sélectionnez Activer, puis cliquez sur l’icône Enregistrer afin de mettre à jour la configuration.

Capture d’écran représentant une page Réseau virtuel de SQL Managed Instance, sur laquelle l’option Point de terminaison public est activée.

Désactiver un point de terminaison public

Vous pouvez désactiver le point de terminaison public pour SQL Managed Instance à l’aide du Portail Azure, d’Azure PowerShell ou d’Azure CLI.

Pour désactiver le point de terminaison public à l’aide du Portail Azure, procédez comme suit :

  1. Accédez au portail Azure.
  2. Ouvrez le groupe de ressources avec l’instance gérée, puis sélectionnez l’instance gérée SQL sur laquelle vous souhaitez configurer le point de terminaison.
  3. Dans les paramètres de Sécurité, sélectionnez l’onglet Mise en réseau.
  4. Dans la page de configuration du réseau virtuel, sélectionnez Activer, puis l’icône Enregistrer afin de mettre à jour la configuration.

Autoriser le trafic du point de terminaison public sur le groupe de sécurité réseau

Utilisez le Portail Azure pour autoriser le trafic public au sein du groupe de sécurité réseau. Procédez comme suit :

  1. Accédez à la page Vue d’ensemble de votre instance SQL Managed Instance dans le portail Azure.

  2. Sélectionnez le lien Réseau/sous-réseau virtuel, qui vous permet d’accéder à la page Configuration du réseau virtuel.

    Capture d'écran représentant la page de configuration du réseau virtuel dans laquelle vous pouvez trouver la valeur de votre réseau/sous-réseau virtuel.

  3. Sélectionnez l’onglet Sous-réseaux figurant dans le volet de configuration du réseau virtuel, sur la gauche, et notez le GROUPE DE SÉCURITÉ de votre instance gérée.

    Capture d'écran représentant l'onglet Sous-réseau, dans lequel vous pouvez accéder au GROUPE DE SÉCURITÉ de votre instance gérée.

  4. Revenez au groupe de ressources contenant votre instance gérée. Vous devez voir le nom du groupe de sécurité réseau indiqué précédemment, que vous avez noté. Sélectionnez le nom du Groupe de sécurité réseau pour ouvrir la page de configuration Groupe de sécurité réseau.

  5. Sélectionnez l’onglet Règles de sécurité de trafic entrant, et ajoutez une règle ayant une priorité plus élevée que la règle deny_all_inbound avec les paramètres suivants :

    Paramètre Valeur suggérée Description
    Source N’importe quelle adresse IP ou balise de service
    • Pour les services Azure tels que Power BI, sélectionnez la balise de service Azure Cloud
    • Pour votre ordinateur ou machine virtuelle Azure, utilisez l’adresse IP NAT.
    Plages de ports source * Laissez la valeur * (tout) pour cette option, car les ports sources sont généralement alloués de manière dynamique et, de ce fait, imprévisibles
    Destination Quelconque En conservant la valeur Tout pour le paramètre Destination, vous autorisez le trafic au sein du sous-réseau de l’instance gérée
    Plages de ports de destination 3342 Définissez la portée du port de destination sur 3342, qui est le point de terminaison TDS public de l’instance gérée
    Protocole TCP SQL Managed Instance utilise le protocole TCP pour TDS
    Action Allow Autorisez le trafic entrant vers une instance gérée par le biais du point de terminaison public
    Priorité 1 300 Assurez-vous que cette règle présente une priorité plus élevée que la règle deny_all_inbound

    Capture d'écran représentant les Règles de sécurité de trafic entrant, qui contiennent la nouvelle règle public_endpoint_inbound et la règle deny_all_inbound.

    Notes

    Le port 3342 est utilisé pour les connexions du point de terminaison public à l’instance gérée ; il ne peut pas être changé actuellement.

Confirmer que le routage est configuré correctement

Un itinéraire avec le préfixe d’adresse 0.0.0.0/0 indique à Azure la façon d’acheminer le trafic destiné à une adresse IP qui n’est pas dans le préfixe d’adresse de n’importe quel autre itinéraire de la table de routage d’un sous-réseau. Lors de la création d’un sous-réseau, Azure crée un itinéraire par défaut vers le préfixe d’adresse 0.0.0.0/0, avec Internet comme type de tronçon suivant.

La substitution de cet itinéraire par défaut sans ajouter la ou les itinéraires nécessaires pour garantir l’acheminement direct du trafic du point de terminaison public vers Internet peut entraîner des problèmes de routage asymétriques, car le trafic entrant ne transite pas par l’appliance virtuelle/la passerelle de réseau virtuel. Assurez-vous que tout le trafic atteignant l’instance gérée par l’Internet public revienne également sur l’Internet public en ajoutant des itinéraires spécifiques pour chaque source ou en définissant l’itinéraire par défaut sur le préfixe d’adresse 0.0.0.0/0 vers Internet comme type de tronçon suivant.

Pour plus d’informations sur l’impact des modifications sur cet itinéraire par défaut, consultez Préfixe d’adresse 0.0.0.0/0.

Obtenir la chaîne de connexion du point de terminaison public

  1. Accédez à la page de configuration de l’instance gérée qui a été activée pour le point de terminaison public. Sélectionnez l’onglet Chaînes de connexion sous la configuration Paramètres.

  2. Le nom d’hôte du point de terminaison public présente le format <mi_name>.public.<dns_zone>.database.windows.net et le port utilisé pour la connexion est 3342. Voici un exemple de valeur serveur de la chaîne de connexion qui dénote le port de point de terminaison public utilisable dans des connexions SQL Server Management Studio ou Azure Data Studio : <mi_name>.public.<dns_zone>.database.windows.net,3342

    Capture d’écran représentant les chaînes de connexion de vos points de terminaison publics et locaux de réseau virtuel.

Étapes suivantes

Découvrez comment Azure SQL Managed Instance en toute sécurité avec un point de terminaison public.