Konfigurieren eines öffentlichen Endpunkts in Azure SQL Managed Instance

GILT FÜR: Azure SQL Managed Instance

Der öffentliche Endpunkt für eine verwaltete Instanz ermöglicht den Datenzugriff auf Ihre verwaltete Instanz von außerhalb des virtuellen Netzwerks. Sie können von mehrinstanzenfähigen Azure-Diensten wie Power BI, Azure App Service oder einem lokalen Netzwerk aus auf Ihre verwaltete Instanz zugreifen. Bei Verwendung des öffentlichen Endpunkts auf einer verwalteten Instanz müssen Sie kein VPN verwenden, was VPN-Durchsatzprobleme vermeiden kann.

In diesem Artikel lernen Sie Folgendes:

  • Aktivieren des öffentlichen Endpunkts für Ihre verwaltete Instanz im Azure-Portal
  • Aktivieren des öffentlichen Endpunkts für Ihre verwaltete Instanz mit PowerShell
  • Konfigurieren der Netzwerksicherheitsgruppe Ihrer verwalteten Instanz, um Datenverkehr zum öffentlichen Endpunkt der verwalteten Instanz zuzulassen
  • Abrufen der Verbindungszeichenfolge des öffentlichen Endpunkts der verwalteten Instanz

Berechtigungen

Aufgrund der Vertraulichkeit der Daten in einer verwalteten Instanz erfordert die Konfiguration zum Aktivieren des öffentlichen Endpunkts einer verwalteten Instanz einen zweistufigen Prozess. Diese Sicherheitsmaßnahme entspricht der Aufgabentrennung (Separation of Duties, SoD):

  • Das Aktivieren des öffentlichen Endpunkts in einer verwalteten Instanz muss vom Administrator der verwalteten Instanz ausgeführt werden. Den Administrator der verwalteten Instanz finden Sie auf der Seite Übersicht Ihrer verwalteten Instanzenressource.
  • Zulassen von Datenverkehr über eine Netzwerksicherheitsgruppe, das von einem Netzwerkadministrator durchgeführt werden muss. Weitere Informationen finden Sie unter Berechtigungen.

Aktivieren des öffentlichen Endpunkts für eine verwaltete Instanz im Azure-Portal

  1. Starten Sie das Azure-Portal unter https://portal.azure.com/..
  2. Öffnen Sie die Ressourcengruppe mit der verwalteten Instanz, und wählen Sie die verwaltete SQL-Instanz aus, für die Sie den öffentlichen Endpunkt konfigurieren möchten.
  3. Wählen Sie in den Einstellungen für die Sicherheit die Registerkarte Virtuelles Netzwerk aus.
  4. Wählen Sie auf der Seite „Konfiguration von virtuellen Netzwerken“ die Option Aktivieren und dann das Symbol Speichern aus, um die Konfiguration zu aktualisieren.

Screenshot: Seite für virtuelles Netzwerk von SQL Managed Instance mit aktivierter Option „Öffentlicher Endpunkt“

Aktivieren des öffentlichen Endpunkts für eine verwaltete Instanz mit PowerShell

Aktivieren des öffentlichen Endpunkts

Führen Sie die folgenden PowerShell-Befehle aus: Ersetzen Sie subscription-id durch Ihre Abonnement-ID. Ersetzen Sie außerdem rg-name durch die Ressourcengruppe für Ihre verwaltete Instanz und mi-name durch den Namen Ihrer verwalteten Instanz.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Deaktivieren des öffentlichen Endpunkts

Um den öffentlichen Endpunkt mithilfe von PowerShell zu deaktivieren, führen Sie den folgenden Befehl aus (und vergessen Sie auch nicht, die NSG für den eingehenden Port 3342 zu schließen, wenn Sie ihn konfiguriert haben):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Zulassen von Datenverkehr auf dem öffentlichen Endpunkt in der Netzwerksicherheitsgruppe

  1. Wenn die Konfigurationsseite der verwalteten Instanz noch geöffnet ist, navigieren Sie zur Registerkarte Übersicht. Andernfalls wechseln Sie zurück zu Ihrer Verwaltete SQL-Instanz-Ressource. Wählen Sie den Link Virtuelles Netzwerk/Subnetz aus, sodass Sie zu der Konfigurationsseite „Virtuelles Netzwerk“ gelangen.

    Screenshot: Konfigurationsseite für virtuelles Netzwerk zum Suchen des Werts des virtuellen Netzwerks bzw. Subnetzes

  2. Wählen Sie im linken Konfigurationsbereich Ihres virtuellen Netzwerks die Registerkarte Subnetze aus, und notieren Sie sich die SICHERHEITSGRUPPE für Ihre verwaltete Instanz.

    Screenshot: Registerkarte „Subnetz“ zum Abrufen der Sicherheitsgruppe für die verwaltete Instanz

  3. Wechseln Sie zurück zur Ressourcengruppe, die Ihre verwaltete Instanz enthält. Daraufhin sollte der oben notierte Name der Netzwerksicherheitsgruppe angezeigt werden. Wählen Sie den Namen aus, um die Konfigurationsseite der Netzwerksicherheitsgruppe zu öffnen.

  4. Wählen Sie die Registerkarte Eingangssicherheitsregeln zum Hinzufügen einer Regel mit den folgenden Einstellungen aus, die höhere Priorität aufweist als die Regel deny_all_inbound:

    Einstellung Vorgeschlagener Wert BESCHREIBUNG
    Quelle Beliebige IP-Adresse oder beliebiges Diensttag
    • Wählen Sie für Azure-Dienste wie Power BI das Azure Cloud-Diensttag aus
    • Verwenden Sie für Ihren Computer oder Ihre Azure-VM (virtueller Computer) die NAT-IP-Adresse.
    Quellportbereiche * Behalten Sie für diese Option „*“ (beliebig) bei, da Quellports in der Regel dynamisch zugeordnet werden und als solche unvorhersehbar sind
    Ziel Any Behalten Sie für das Ziel „Beliebig“ bei, um in das Subnetz der verwalteten Instanz eingehenden Datenverkehr zuzulassen
    Zielportbereiche 3342 Legen Sie den Zielport auf 3342 fest, den öffentlichen TDS-Endpunkt der verwalteten Instanz
    Protokoll TCP SQL Managed Instance verwendet das TCP-Protokoll für TDS
    Aktion Allow Lassen Sie eingehenden Datenverkehr zur verwalteten Instanz über den öffentlichen Endpunkt zu
    Priority 1300 Stellen Sie sicher, dass diese Regel höhere Priorität hat als die Regel deny_all_inbound

    Screenshot: Sicherheitsregeln für eingehenden Datenverkehr mit der neuen Regel „public_endpoint_inbound“ über der Regel „deny_all_inbound“

    Hinweis

    Port 3342 wird für Verbindungen des öffentlichen Endpunkts mit der verwalteten Instanz verwendet und kann an dieser Stelle nicht geändert werden.

Abrufen der Verbindungszeichenfolge des öffentlichen Endpunkts der verwalteten Instanz

  1. Navigieren Sie zur Konfigurationsseite der verwalteten Instanz, die für den öffentlichen Endpunkt aktiviert wurde. Wählen Sie die Registerkarte Verbindungszeichenfolgen im Konfigurationsabschnitt Einstellungen aus.

  2. Beachten Sie, dass der Hostname des öffentlichen Endpunkts das Format <mi_name>.public.<dns_zone>.database.windows.net hat und der Port 3342 für die Verbindung verwendet wird. Hier ist ein Beispiel für einen Serverwert der Verbindungszeichenfolge, der den Port des öffentlichen Endpunkts angibt, der in SQL Server Management Studio- oder Azure Data Studio-Verbindungen verwendet werden kann: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot: Verbindungszeichenfolgen für die öffentlichen und privaten Endpunkte

Nächste Schritte

Erfahren Sie mehr über die sichere Verwendung von Azure SQL Managed Instance mit einem öffentlichem Endpunkt.