Configurar pontos de extremidade públicos na Instância Gerenciada SQL do Azure

Aplica-se a:Instância Gerenciada SQL do Azure

Os pontos de extremidade públicos da Instância Gerenciada SQL do Azure permitem o acesso a dados à sua instância gerenciada de fora da rede virtual. Você pode acessar sua instância gerenciada a partir de serviços multilocatários do Azure, como Power BI, Serviço de Aplicativo do Azure ou uma rede local. Ao usar o ponto de extremidade público em uma instância gerenciada, você não precisa usar uma VPN, o que pode ajudar a evitar problemas de taxa de transferência de VPN.

Neste artigo, vai aprender a:

  • Habilitar ou desabilitar um ponto de extremidade público para sua instância gerenciada
  • Configure seu NSG (grupo de segurança de rede) de instância gerenciada para permitir o tráfego para o ponto de extremidade público da instância gerenciada
  • Obter a cadeia de conexão de ponto de extremidade pública da instância gerenciada

Permissões

Devido à sensibilidade dos dados que em uma instância gerenciada, a configuração para habilitar o ponto de extremidade público da instância gerenciada requer um processo de duas etapas. Esta medida de segurança respeita a separação de funções (SoD):

  • O administrador da instância gerenciada precisa habilitar o ponto de extremidade público na instância gerenciada. O administrador da instância gerenciada pode ser encontrado na página Visão geral do recurso de instância gerenciada.
  • Um administrador de rede precisa permitir o tráfego para a instância gerenciada usando um NSG (grupo de segurança de rede). Para obter mais informações, consulte as permissões do grupo de segurança de rede.

Habilitar ponto de extremidade público

Você pode habilitar o ponto de extremidade público para sua Instância Gerenciada SQL usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Para habilitar o ponto de extremidade público para sua Instância Gerenciada SQL no portal do Azure, siga estas etapas:

  1. Aceda ao portal do Azure.
  2. Abra o grupo de recursos com a instância gerenciada e selecione a instância gerenciada SQL na qual você deseja configurar o ponto de extremidade público.
  3. Nas configurações de segurança, selecione a guia Rede.
  4. Na página Configuração de rede virtual, selecione Ativar e, em seguida, o ícone Salvar para atualizar a configuração.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Desativar ponto de extremidade público

Você pode desabilitar o ponto de extremidade público para sua Instância Gerenciada SQL usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

Para desabilitar o ponto de extremidade público usando o portal do Azure, siga estas etapas:

  1. Aceda ao portal do Azure.
  2. Abra o grupo de recursos com a instância gerenciada e selecione a instância gerenciada SQL na qual você deseja configurar o ponto de extremidade público.
  3. Nas configurações de segurança, selecione a guia Rede.
  4. Na página Configuração de rede virtual, selecione Desativar e, em seguida, o ícone Salvar para atualizar a configuração.

Permitir tráfego de ponto de extremidade público no grupo de segurança de rede

Use o portal do Azure para permitir o tráfego público dentro do grupo de segurança de rede. Siga estes passos:

  1. Vá para a página Visão geral da sua Instância Gerenciada SQL no portal do Azure.

  2. Selecione o link Rede virtual/sub-rede, que o levará à página Configuração de rede virtual.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Selecione a guia Sub-redes no painel de configuração da sua rede virtual e anote o nome do GRUPO DE SEGURANÇA para sua instância gerenciada.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Volte para o grupo de recursos que contém sua instância gerenciada. Você deve ver o nome do grupo de segurança de rede anotado anteriormente. Selecione o nome do grupo de segurança de rede para abrir a página de configuração do grupo de segurança de rede.

  5. Selecione a guia Regras de segurança de entrada e Adicione uma regra que tenha prioridade maior do que a regra de deny_all_inbound com as seguintes configurações:

    Definição Valor sugerido Description
    Origem Qualquer endereço IP ou etiqueta de serviço
    • Para serviços do Azure como o Power BI, selecione a Marca de Serviço de Nuvem do Azure
    • Para o seu computador ou máquina virtual do Azure, use o endereço IP NAT
    Intervalos de portas de origem * Deixe isso para * (qualquer), pois as portas de origem são normalmente alocadas dinamicamente e, como tal, imprevisíveis
    Destino Any Deixando o destino como Qualquer para permitir o tráfego na sub-rede da instância gerenciada
    Intervalos de portas de destino 3342 Porta de destino do escopo para 3342, que é o ponto de extremidade TDS público da instância gerenciada
    Protocolo TCP A Instância Gerenciada SQL usa o protocolo TCP para TDS
    Ação Permitir Permitir tráfego de entrada para instância gerenciada por meio do ponto de extremidade público
    Prioridade 1300 Certifique-se de que esta regra tem prioridade mais elevada do que a regra deny_all_inbound

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Nota

    A porta 3342 é usada para conexões de ponto de extremidade público com instância gerenciada e não pode ser alterada atualmente.

Confirme se o roteamento está configurado corretamente

Um rota com o Prefixo de endereço 0.0.0.0/0 diz ao Azure como encaminhar o tráfego destinado a um endereço IP que está fora do prefixo de endereço de outra rota qualquer na tabela de rotas de uma sub-rede. Quando uma sub-rede é criada, o Azure cria uma rota padrão para o prefixo de endereço 0.0.0.0/0, com o tipo de salto seguinte da Internet .

Substituir essa rota padrão sem adicionar a(s) rota(s) necessária(s) para garantir que o tráfego de ponto de extremidade público seja roteado diretamente para a Internet pode causar problemas de roteamento assimétrico, uma vez que o tráfego de entrada não flui através do dispositivo virtual/gateway de rede virtual. Certifique-se de que todo o tráfego que chega à instância gerenciada pela Internet pública também volte pela Internet pública, adicionando rotas específicas para cada origem ou definindo a rota padrão para o prefixo de endereço 0.0.0.0/0 de volta à Internet como tipo de próximo salto.

Veja mais detalhes sobre o impacto das alterações nessa rota padrão em 0.0.0.0/0 prefixo de endereço.

Obter a cadeia de conexão de ponto de extremidade pública

  1. Navegue até a página de configuração da instância gerenciada que foi habilitada para o ponto de extremidade público. Selecione a guia Cadeias de conexão na configuração Configurações .

  2. O nome do host de ponto de extremidade público vem no formato <mi_name>.pública.<dns_zone.database.windows.net> e que a porta usada para a conexão é 3342. Aqui está um exemplo de um valor de servidor da cadeia de conexão denotando a porta de ponto de extremidade pública que pode ser usada em conexões do SQL Server Management Studio ou do Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Próximos passos

Saiba mais sobre como usar a Instância Gerenciada SQL do Azure com segurança com o ponto de extremidade público.