Configuración de puntos de conexión públicos en Azure SQL Managed Instance

Se aplica a:Azure SQL Managed Instance

Los puntos de conexión públicos para una Azure SQL Managed Instance permiten el acceso a datos de su instancia administrada desde fuera de la red virtual. Puede acceder a su instancia administrada desde servicios de Azure de varios inquilinos, como Power BI, Azure App Service o una red local. Al usar el punto de conexión público en una instancia administrada, no es necesario que use una VPN, lo que puede contribuir a evitar problemas de rendimiento de la VPN.

En este artículo aprenderá a:

  • Activar o desactivar un punto de conexión público para su instancia administrada
  • Configurar un grupo de seguridad de red (NSG) en la instancia administrada para permitir el tráfico al punto de conexión público de la instancia administrada
  • Obtener la cadena de conexión del punto de conexión público en la instancia administrada.

Permisos

Debido a la confidencialidad de los datos de una instancia administrada, la configuración para habilitar el punto de conexión público de la instancia administrada requiere un proceso de dos pasos. Esta medida de seguridad se ajusta a la separación de tareas (SoD):

  • El administrador de la instancia administrada debe habilitar el punto de conexión público en la instancia administrada. El administrador de la instancia administrada se puede encontrar en la página Introducción del recurso de la instancia administrada.
  • Un administrador de red debe permitir el tráfico a la instancia administrada mediante un grupo de seguridad de red (NSG). Para más información, consulte permisos para el grupo de seguridad de red.

Habilitar el punto de conexión público

Puede habilitar el punto de conexión público para la instancia administrada de SQL mediante Azure Portal, Azure PowerShell o la CLI de Azure.

Para habilitar el punto de conexión público para su SQL Managed Instance en el Azure Portal, siga estos pasos:

  1. Vaya a Azure Portal.
  2. Abra el grupo de recursos con la instancia administrada y seleccione la instancia administrada de SQL en la que quiera configurar el punto de conexión público.
  3. En la configuración de seguridad, seleccione la pestaña Redes.
  4. En la página de configuración de la red virtual, seleccione Habilitar y después el icono Guardar para actualizar la configuración.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Deshabilitar el punto de conexión público

Puede deshabilitar el punto de conexión público para la instancia administrada de SQL mediante Azure Portal, Azure PowerShell y la CLI de Azure.

Para deshabilitar el punto de conexión público mediante Azure Portal, siga estos pasos:

  1. Vaya a Azure Portal.
  2. Abra el grupo de recursos con la instancia administrada y seleccione la instancia administrada de SQL en la que quiera configurar el punto de conexión público.
  3. En la configuración de seguridad, seleccione la pestaña Redes.
  4. En la página Configuración de la red virtual, seleccione Desactivar y, a continuación, el icono Guardar para actualizar la configuración.

Permitir el tráfico del punto de conexión público en el grupo de seguridad de red

Use Azure Portal para permitir el tráfico público dentro del grupo de seguridad de red. Siga estos pasos:

  1. Vaya a la página Información general de SQL Managed Instance en Azure Portal.

  2. Seleccione el vínculo Red virtual/subred, que le llevará a la página de configuración de la red virtual.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Seleccione la pestaña Subredes en el panel de configuración de su red virtual y anote el nombre del GRUPO DE SEGURIDAD de su instancia administrada.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Vuelva al grupo de recursos que contiene la instancia administrada. Debería ver el nombre del grupo de seguridad de red anotado anteriormente. Seleccione el nombre del grupo de seguridad de red para abrir la página de configuración del grupo de seguridad de red.

  5. Seleccione la pestaña Reglas de seguridad de entrada y agregue una regla que tenga mayor prioridad que la regla deny_all_inbound con la siguiente configuración:

    Configuración Valor sugerido Descripción
    Origen Cualquier dirección IP o etiqueta de servicio
    • En servicios de Azure como Power BI, seleccione la etiqueta de servicio en la nube de Azure.
    • Para el equipo o la máquina virtual de Azure, use la dirección IP de NAT.
    Intervalos de puertos de origen * Deje esta opción en * (cualquiera), puesto que los puertos de origen suelen asignarse de forma dinámica y, por lo tanto, son impredecibles
    Destino Any Deje la opción Destino en Cualquiera para permitir el tráfico en la subred de la instancia administrada.
    Intervalos de puertos de destino 3342 Establezca el puerto de destino en 3342, que es el punto de conexión TDS público de la instancia administrada.
    Protocolo TCP Instancia administrada de SQL utiliza el protocolo TCP para TDS.
    Acción Allow Permite el tráfico entrante en la instancia administrada mediante el punto de conexión público.
    Prioridad 1300 Asegúrese de que esta regla tiene más prioridad que la regla deny_all_inbound.

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Nota

    El puerto 3342 se usa para las conexiones del punto de conexión público a la instancia administrada y no se puede cambiar en este momento.

Confirme que el entorno está configurado correctamente

Una ruta con el prefijo de dirección 0.0.0.0/0 indica a Azure cómo enrutar el tráfico destinado a una dirección IP que no está dentro del prefijo de dirección de cualquier otra ruta en la tabla de rutas de una subred. Cuando se crea una subred, Azure crea un ruta predeterminada para el prefijo de dirección 0.0.0.0/0, con el tipo de próximo salto Internet.

Invalidar esta ruta predeterminada sin agregar las rutas necesarias para asegurarse de que el tráfico del punto de conexión público se enruta directamente a Internet puede provocar problemas de enrutamiento asimétrico, ya que el tráfico entrante no fluye a través de la puerta de enlace de red virtual o aplicación virtual. Asegúrese de que todo el tráfico que llega a la instancia administrada a través de la red pública de Internet también sale a través de la red pública de Internet agregando rutas específicas para cada origen o estableciendo la ruta predeterminada en el prefijo de dirección 0.0.0.0/0 en Internet como tipo de próximo salto.

Consulte los detalles sobre el impacto de los cambios en esta ruta predeterminada en el prefijo de dirección 0.0.0.0/0.

Obtener la cadena de conexión del punto de conexión público

  1. Vaya a la página de configuración de la instancia administrada que se ha habilitado para el punto de conexión público. Seleccione la pestaña Cadenas de conexión en Configuración.

  2. El nombre de host del punto de conexión público tiene el formato <mi_nombre>.public.<zona_dns>.database.windows.net y el puerto que se usa para la conexión es 3342. A continuación se muestra un ejemplo de un valor de servidor de la cadena de conexión que indica el puerto del punto de conexión público que se puede usar en las conexiones de SQL Server Management Studio o Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Pasos siguientes

Información acerca del uso de Instancia administrada de Azure SQL de forma segura con puntos de conexión públicos.