Configuración de un punto de conexión público en Instancia administrada de Azure SQL

SE APLICA A: Migración a Azure SQL Managed Instance

El punto de conexión público para una instancia administrada habilita el acceso a datos de su instancia administrada desde fuera de la red virtual. Puede acceder a su instancia administrada desde servicios de Azure de varios inquilinos, como Power BI, Azure App Service o una red local. Al usar el punto de conexión público en una instancia administrada, no es necesario que use una VPN, lo que puede contribuir a evitar problemas de rendimiento de la VPN.

En este artículo, aprenderá a:

  • Habilitar un punto de conexión público para su instancia administrada en Azure Portal.
  • Habilitar un punto de conexión público para su instancia administrada usando PowerShell.
  • Configurar un grupo de seguridad de red en la instancia administrada para permitir el tráfico al punto de conexión público de la instancia administrada.
  • Obtener la cadena de conexión del punto de conexión público en la instancia administrada.

Permisos

Debido a la confidencialidad de los datos de una instancia administrada, la configuración para habilitar el punto de conexión público de la instancia administrada requiere un proceso de dos pasos. Esta medida de seguridad se ajusta a la separación de tareas (SoD):

  • El administrador de la instancia administrada debe habilitar el punto de conexión público en la instancia administrada. Dicho administrador se puede encontrar en la página Introducción del recurso de la instancia administrada.
  • Un administrador de red debe permitir el tráfico usando un grupo de seguridad de red. Para más información, vea los permisos para el grupo de seguridad de red.

Habilitar un punto de conexión público para una instancia administrada en Azure Portal

  1. Inicie Azure Portal en https://portal.azure.com/..
  2. Abra el grupo de recursos con la instancia administrada y seleccione la instancia administrada de SQL en la que quiera configurar el punto de conexión público.
  3. En la configuración de seguridad, seleccione la pestaña Red virtual.
  4. En la página de configuración de la red virtual, seleccione Habilitar y después el icono Guardar para actualizar la configuración.

Screenshot shows a Virtual network page of SQL managed instance with the Public endpoint enabled.

Habilitar un punto de conexión público para una instancia administrada usando PowerShell

Habilitar el punto de conexión público

Ejecute los comandos de PowerShell siguientes. Reemplace subscription-id por su identificador de suscripción. Reemplace también rg-name por el grupo de recursos de la instancia administrada y mi-name por el nombre de la instancia administrada.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Deshabilitar el punto de conexión público

Para deshabilitar el punto de conexión público con PowerShell, deberá ejecutar el comando siguiente (además, no olvide cerrar el NSG para el puerto de entrada 3342 si lo tiene configurado):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Permitir el tráfico del punto de conexión público en el grupo de seguridad de red

  1. Si todavía tiene abierta la página de configuración de la instancia administrada, vaya a la pestaña Introducción. En caso contrario, vuelva a su recurso Instancia administrada de SQL. Seleccione el vínculo Red virtual/subred, que le llevará a la página de configuración de la red virtual.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  2. Seleccione la pestaña Subredes en el panel de configuración izquierdo de la red virtual y anote el GRUPO DE SEGURIDAD de su instancia administrada.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  3. Vuelva al grupo de recursos que contiene la instancia administrada. Debería ver el nombre del grupo de seguridad de red anotado anteriormente. Seleccione el nombre que va a introducir en la página de configuración del grupo de seguridad de red.

  4. Seleccione la pestaña Reglas de seguridad de entrada y agregue una regla que tenga mayor prioridad que la regla deny_all_inbound con la siguiente configuración:

    Configuración Valor sugerido Descripción
    Origen Cualquier dirección IP o etiqueta de servicio
    • En servicios de Azure como Power BI, seleccione la etiqueta de servicio en la nube de Azure.
    • Para el equipo o la máquina virtual de Azure, use la dirección IP de NAT.
    Intervalos de puertos de origen * Deje esta opción en * (cualquiera), puesto que los puertos de origen suelen asignarse de forma dinámica y, por lo tanto, son impredecibles.
    Destino Any Deje la opción Destino en Cualquiera para permitir el tráfico en la subred de la instancia administrada.
    Intervalos de puertos de destino 3342 Establezca el puerto de destino en 3342, que es el punto de conexión TDS público de la instancia administrada.
    Protocolo TCP Instancia administrada de SQL utiliza el protocolo TCP para TDS.
    Acción Allow Permite el tráfico entrante en la instancia administrada mediante el punto de conexión público.
    Prioridad 1300 Asegúrese de que esta regla tiene más prioridad que la regla deny_all_inbound.

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Nota:

    El puerto 3342 se usa para las conexiones del punto de conexión público a la instancia administrada y no se puede cambiar en este momento.

Obtener la cadena de conexión del punto de conexión público en la instancia administrada

  1. Vaya a la página de configuración de la instancia administrada que se ha habilitado para el punto de conexión público. Seleccione la pestaña Cadenas de conexión en Configuración.

  2. El nombre de host del punto de conexión público debe tener el formato <mi_name>.public.<dns_zone>.database.windows.net y el puerto usado para la conexión debe ser 3342. A continuación se muestra un ejemplo de un valor de servidor de la cadena de conexión que indica el puerto del punto de conexión público que se puede usar en las conexiones de SQL Server Management Studio o Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and private endpoints.

Pasos siguientes

Información acerca del uso de Instancia administrada de Azure SQL de forma segura con puntos de conexión públicos.