Utiliser des points de terminaison de service de réseau virtuel et des règles pour les serveurs de base de donnéesUse virtual network service endpoints and rules for database servers

Les règles de réseau virtuel constituent une fonctionnalité de sécurité du pare-feu. Elles permettent de déterminer si le serveur de vos bases de données uniques et de votre pool élastique Azure SQL Database, ou de vos bases de données SQL Data Warehouse, doit accepter les communications provenant de sous-réseaux spécifiques de réseaux virtuels.Virtual network rules are one firewall security feature that controls whether the database server for your single databases and elastic pool in Azure SQL Database or for your databases in SQL Data Warehouse accepts communications that are sent from particular subnets in virtual networks. Cet article explique pourquoi la fonctionnalité de règle de réseau virtuel est parfois la meilleure solution qui s’offre à vous pour autoriser en toute sécurité les communications à destination de vos instances Azure SQL Database et SQL Data Warehouse.This article explains why the virtual network rule feature is sometimes your best option for securely allowing communication to your Azure SQL Database and SQL Data Warehouse.

Important

Cet article s’applique à un serveur SQL Azure et aux bases de données SQL Database et SQL Data Warehouse créées sur le serveur SQL Azure.This article applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Par souci de simplicité, la base de données SQL est utilisée pour faire référence à SQL Database et SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse. Cet article ne s'applique pas au déploiement d'une instance managée dans Azure SQL Database car aucun point de terminaison de service ne lui est associé.This article does not apply to a managed instance deployment in Azure SQL Database because it does not have a service endpoint associated with it.

Pour créer une règle de réseau virtuel, il doit d’abord exister un point de terminaison de service de réseau virtuel pour la règle à référencer.To create a virtual network rule, there must first be a virtual network service endpoint for the rule to reference.

Création d’une règle de réseau virtuelHow to create a virtual network rule

Si vous créez uniquement une règle de réseau virtuel, vous pouvez passer directement à la procédure et à l’explication donnée plus loin dans cet article.If you only create a virtual network rule, you can skip ahead to the steps and explanation later in this article.

Informations sur les règles de réseau virtuelDetails about virtual network rules

Cette section fournit des informations sur les règles de réseau virtuel.This section describes several details about virtual network rules.

Une seule région géographiqueOnly one geographic region

Chaque point de terminaison de service de réseau virtuel s’applique à une seule région Azure.Each Virtual Network service endpoint applies to only one Azure region. Le point de terminaison ne permet pas à d’autres régions d’accepter les communications provenant du sous-réseau.The endpoint does not enable other regions to accept communication from the subnet.

Une règle de réseau virtuel est limitée à la région à laquelle s’applique son point de terminaison sous-jacent.Any virtual network rule is limited to the region that its underlying endpoint applies to.

Niveau serveur, et non niveau base de donnéesServer-level, not database-level

Chaque règle de réseau virtuel s’applique à tout le serveur Azure SQL Database, et pas seulement à une base de données particulière sur le serveur.Each virtual network rule applies to your whole Azure SQL Database server, not just to one particular database on the server. En d’autres termes, la règle de réseau virtuel s’applique au niveau du serveur, et non au niveau de la base de données.In other words, virtual network rule applies at the server-level, not at the database-level.

  • En revanche, les règles IP peuvent être appliquées à tout niveau.In contrast, IP rules can apply at either level.

Rôles d’administration de la sécuritéSecurity administration roles

Il existe une séparation des rôles de sécurité dans l’administration des points de terminaison de service de réseau virtuel.There is a separation of security roles in the administration of Virtual Network service endpoints. Chacun des rôles suivants doit réaliser une action :Action is required from each of the following roles:

  • Administrateur réseau :   Activez le point de terminaison.Network Admin:   Turn on the endpoint.
  • Administrateur de base de données :   mettre à jour la liste de contrôle d’accès (ACL) pour ajouter le sous-réseau donné au serveur SQL Database.Database Admin:   Update the access control list (ACL) to add the given subnet to the SQL Database server.

Alternative RBAC :RBAC alternative:

Les rôles d’administrateur de réseau et d’administrateur de base de données disposent de plus de fonctionnalités que nécessaires pour gérer les règles de réseau virtuel.The roles of Network Admin and Database Admin have more capabilities than are needed to manage virtual network rules. Seule une partie de ces fonctionnalités est réellement nécessaire.Only a subset of their capabilities is needed.

Vous avez la possibilité d’utiliser le contrôle d’accès en fonction du rôle (RBAC) dans Azure pour créer un rôle personnalisé unique disposant uniquement des fonctionnalités nécessaires.You have the option of using role-based access control (RBAC) in Azure to create a single custom role that has only the necessary subset of capabilities. Le rôle personnalisé peut être utilisé au lieu d’impliquer l’administrateur de réseau ou l’administrateur de base de données. Votre surface d’exposition de sécurité est inférieure si vous assignez un rôle personnalisé à un utilisateur au lieu de lui assigner les deux principaux rôles d’administrateur.The custom role could be used instead of involving either the Network Admin or the Database Admin. The surface area of your security exposure is lower if you add a user to a custom role, versus adding the user to the other two major administrator roles.

Notes

Il peut arriver que la base de données Azure SQL et le sous-réseau de réseau virtuel se trouvent dans des abonnements différents.In some cases the Azure SQL Database and the VNet-subnet are in different subscriptions. Dans ce cas, vous devez vérifier les configurations suivantes :In these cases you must ensure the following configurations:

  • Les deux abonnements doivent se trouver dans le même locataire Azure Active Directory.Both subscriptions must be in the same Azure Active Directory tenant.
  • L’utilisateur dispose des autorisations requises pour lancer des opérations, telles que l’activation des points de terminaison de service et l’ajout d’un sous-réseau de réseau virtuel sur le serveur donné.The user has the required permissions to initiate operations, such as enabling service endpoints and adding a VNet-subnet to the given Server.
  • Le fournisseur Microsoft.Sql doit être inscrit pour les deux abonnements.Both subscriptions must have the Microsoft.Sql provider registered.

LimitesLimitations

Pour Azure SQL Database, la fonctionnalité de règle de réseau virtuel présente les limitations suivantes :For Azure SQL Database, the virtual network rules feature has the following limitations:

  • Dans le pare-feu pour votre base de données SQL Database, chaque règle de réseau virtuel fait référence à un sous-réseau.In the firewall for your SQL Database, each virtual network rule references a subnet. Tous ces sous-réseaux référencés doivent être hébergés dans la même région géographique qui héberge la base de données SQL Database.All these referenced subnets must be hosted in the same geographic region that hosts the SQL Database.

  • Chaque serveur Azure SQL Database peut avoir jusqu’à 128 entrées ACL pour un réseau virtuel donné.Each Azure SQL Database server can have up to 128 ACL entries for any given virtual network.

  • Les règles de réseau virtuel s’appliquent uniquement à des réseaux virtuels Azure Resource Manager, et non à des réseaux avec un modèle de déploiement classique.Virtual network rules apply only to Azure Resource Manager virtual networks; and not to classic deployment model networks.

  • L’activation des points de terminaison de service de réseau virtuel pour Azure SQL Database active également les points de terminaison des services Azure MySQL et PostgreSQL.Turning ON virtual network service endpoints to Azure SQL Database also enables the endpoints for the MySQL and PostgreSQL Azure services. Toutefois, avec les points de terminaison activés, les tentatives de connexion à partir des points de terminaison pour vos instances de MySQL ou PostgreSQL peuvent échouer.However, with endpoints ON, attempts to connect from the endpoints to your MySQL or PostgreSQL instances may fail.

    • Il est fort probable qu'une règle de réseau virtuel n'ait pas été configurée pour MySQL et PostgreSQL.The underlying reason is that MySQL and PostgreSQL likely do not have a virtual network rule configured. Vous devez configurer une règle de réseau virtuel pour Azure Database pour MySQL et PostgreSQL afin de permettre la connexion.You must configure a virtual network rule for Azure Database for MySQL and PostgreSQL and the connection will succeed.
  • Sur le pare-feu, les plages d’adresses IP s’appliquent aux éléments de mise en réseau suivants, contrairement aux règles de réseau virtuel :On the firewall, IP address ranges do apply to the following networking items, but virtual network rules do not:

Considérations en cas d’utilisation des points de terminaison de serviceConsiderations when using Service Endpoints

Lorsque vous utilisez des points de terminaison de service pour Azure SQL Database, passez en revue les considérations suivantes :When using service endpoints for Azure SQL Database, review the following considerations:

  • Une sortie à destination d’adresses IP publiques Azure SQL Database est nécessaire : Des groupes de sécurité réseau (NSG) doivent être ouverts aux adresses IP Azure SQL Database pour autoriser la connectivité.Outbound to Azure SQL Database Public IPs is required: Network Security Groups (NSGs) must be opened to Azure SQL Database IPs to allow connectivity. Vous pouvez pour ce faire utiliser des balises de service NSG pour Azure SQL Database.You can do this by using NSG Service Tags for Azure SQL Database.

ExpressRouteExpressRoute

Si vous utilisez ExpressRoute localement, pour le Peering public ou Microsoft, vous devez identifier les adresses IP NAT (traduction d’adresses réseau) utilisées.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Pour le peering public, chaque circuit ExpressRoute utilise par défaut deux adresses IP NAT qui sont appliquées au trafic de service Azure lorsque le trafic entre dans le réseau principal de Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Pour le peering Microsoft, les adresses IP NAT qui sont utilisées sont fournies par le client ou par le fournisseur de services.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Pour autoriser l’accès à vos ressources de votre service, vous devez autoriser ces adresses IP publiques dans le paramètre de pare-feu IP de ressource.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Pour trouver les adresses IP de votre circuit ExpressRoute de peering public, ouvrez un ticket de support avec ExpressRoute via le portail Azure.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Découvrez d’autres informations sur le peering public et Microsoft NAT pour ExpressRoute.Learn more about NAT for ExpressRoute public and Microsoft peering.

Pour permettre la communication entre votre circuit et Azure SQL Database, vous devez créer des règles de réseau IP pour les adresses IP publiques de votre processus NAT.To allow communication from your circuit to Azure SQL Database, you must create IP network rules for the public IP addresses of your NAT.

Impact de l’utilisation des points de terminaison de service de réseau virtuel avec le stockage AzureImpact of using VNet Service Endpoints with Azure storage

Stockage Azure a implémenté la même fonctionnalité qui vous permet de limiter la connectivité à votre compte Stockage Azure.Azure Storage has implemented the same feature that allows you to limit connectivity to your Azure Storage account. Si vous choisissez d’utiliser cette fonctionnalité avec un compte Stockage Azure qui est utilisé par Azure SQL Server, vous risquez de rencontrer des problèmes.If you choose to use this feature with an Azure Storage account that is being used by Azure SQL Server, you can run into issues. Vous trouverez ci-dessous une liste et une présentation des fonctionnalités Azure SQL Database et Azure SQL Data Warehouse qui sont concernées par ce problème.Next is a list and discussion of Azure SQL Database and Azure SQL Data Warehouse features that are impacted by this.

Azure SQL Data Warehouse PolyBaseAzure SQL Data Warehouse PolyBase

La technologie PolyBase est couramment utilisée pour charger des données dans Azure SQL Data Warehouse à partir de comptes Stockage Azure.PolyBase is commonly used to load data into Azure SQL Data Warehouse from Azure Storage accounts. Si le compte Stockage Azure à partir duquel vous chargez des données limite l’accès à un ensemble de sous-réseaux de réseau virtuel, la connectivité entre PolyBase et le compte sera interrompue.If the Azure Storage account that you are loading data from limits access only to a set of VNet-subnets, connectivity from PolyBase to the Account will break. Pour autoriser les scénarios d’importation et d’exportation PolyBase dans lesquels Azure SQL Data Warehouse se connecte de manière sécurisée à Stockage Azure au réseau virtuel, suivez les étapes indiquées ci-dessous :For enabling both PolyBase import and export scenarios with Azure SQL Data Warehouse connecting to Azure Storage that's secured to VNet, follow the steps indicated below:

Conditions préalables requisesPrerequisites

  • Installez Azure PowerShell en vous aidant de ce guide.Install Azure PowerShell using this guide.
  • Si vous disposez d’un compte de stockage d’objets blob ou v1 universel, vous devez commencer par le mettre à niveau avec un compte v2 universel en vous aidant de ce guide.If you have a general-purpose v1 or blob storage account, you must first upgrade to general-purpose v2 using this guide.
  • Vous devez avoir activé Autoriser les services Microsoft approuvés à accéder à ce compte de stockage sous le menu de paramètres Pare-feux et réseaux virtuels du compte Stockage Azure.You must have Allow trusted Microsoft services to access this storage account turned on under Azure Storage account Firewalls and Virtual networks settings menu. Pour plus d’informations, consultez ce guide.Refer to this guide for more information.

Important

Le module PowerShell Azure Resource Manager est toujours pris en charge par Azure SQL Database, mais tous les développements futurs sont destinés au module Az.Sql.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Le module AzureRM continue à recevoir des résolutions de bogues jusqu’à au moins décembre 2020.The AzureRM module will continue to receive bug fixes until at least December 2020. Les arguments des commandes dans le module Az sont sensiblement identiques à ceux des modules AzureRm.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical. Pour en savoir plus sur leur compatibilité, consultez Présentation du nouveau module Az Azure PowerShell.For more about their compatibility, see Introducing the new Azure PowerShell Az module.

ÉtapesSteps

  1. Dans PowerShell, enregistrez le serveur SQL Azure qui héberge votre instance d'Azure SQL Data Warehouse auprès d'Azure Active Directory (AAD) :In PowerShell, register your Azure SQL Server hosting your Azure SQL Data Warehouse instance with Azure Active Directory (AAD):

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId <subscriptionId>
    Set-AzSqlServer -ResourceGroupName your-database-server-resourceGroup -ServerName your-SQL-servername -AssignIdentity
    
  2. Créez un compte de stockage v2 universel en vous aidant de ce guide.Create a general-purpose v2 Storage Account using this guide.

    Notes

    • Si vous disposez d’un compte de stockage d’objets blob ou v1 universel, vous devez d’abord le mettre à niveau avec v2 en vous aidant de ce guide.If you have a general-purpose v1 or blob storage account, you must first upgrade to v2 using this guide.
    • Pour examiner les problèmes connus liés à Azure Data Lake Storage Gen2, consultez ce guide.For known issues with Azure Data Lake Storage Gen2, please refer to this guide.
  3. Sous votre compte de stockage, accédez à Contrôle d’accès (IAM) , puis cliquez sur Ajouter une attribution de rôle.Under your storage account, navigate to Access Control (IAM), and click Add role assignment. Attribuez le rôle RBAC de Contributeur aux données blob du stockage au serveur SQL Azure qui héberge l'instance d'Azure SQL Data Warehouse que vous avez enregistrée auprès d'Azure Active Directory (AAD), comme à l'étape 1.Assign Storage Blob Data Contributor RBAC role to your Azure SQL Server hosting your Azure SQL Data Warehouse which you've registered with Azure Active Directory (AAD) as in step#1.

    Notes

    Seuls les membres dotés du privilège Propriétaire peuvent effectuer cette étape.Only members with Owner privilege can perform this step. Pour découvrir les divers rôles intégrés pour les ressources Azure, consultez ce guide.For various built-in roles for Azure resources, refer to this guide.

  4. Connectivité PolyBase au compte Stockage Azure :Polybase connectivity to the Azure Storage account:

    1. Créez une clé principale de base de données si vous n’en avez pas déjà créée une :Create a database master key if you haven't created one earlier:

      CREATE MASTER KEY [ENCRYPTION BY PASSWORD = 'somepassword'];
      
    2. Créez des informations d’identification incluses dans l’étendue de la base de données avec IDENTITY = 'Managed Service Identity'  :Create database scoped credential with IDENTITY = 'Managed Service Identity':

      CREATE DATABASE SCOPED CREDENTIAL msi_cred WITH IDENTITY = 'Managed Service Identity';
      

      Notes

      • Il est inutile de spécifier SECRET avec la clé d’accès Stockage Azure, car ce mécanisme utilise l’identité managée en arrière-plan.There is no need to specify SECRET with Azure Storage access key because this mechanism uses Managed Identity under the covers.
      • Le nom d’IDENTITY doit être 'Managed Service Identity' pour que la connectivité PolyBase entre le compte Stockage Azure et le réseau virtuel fonctionne de manière sécurisée.IDENTITY name should be 'Managed Service Identity' for PolyBase connectivity to work with Azure Storage account secured to VNet.
    3. Créez la source de données externe avec le schéma abfss:// pour vous connecter à votre compte de stockage v2 universel en utilisant PolyBase :Create external data source with abfss:// scheme for connecting to your general-purpose v2 storage account using PolyBase:

      CREATE EXTERNAL DATA SOURCE ext_datasource_with_abfss WITH (TYPE = hadoop, LOCATION = 'abfss://myfile@mystorageaccount.dfs.core.windows.net', CREDENTIAL = msi_cred);
      

      Notes

      • Si des tables externes sont déjà associées au compte de stockage d’objets blob ou v1 universel, vous devez dans un premier temps supprimer ces tables externes et dans un deuxième temps supprimer la source de données externe correspondante.If you already have external tables associated with general-purpose v1 or blob storage account, you should first drop those external tables and then drop corresponding external data source. Créez ensuite la source de données externe en faisant en sorte que le schéma abfss:// se connecte au compte de stockage v2 universel comme indiqué ci-dessus, puis recréez toutes les tables externes en utilisant cette nouvelle source de données externe.Then create external data source with abfss:// scheme connecting to general-purpose v2 storage account as above and re-create all the external tables using this new external data source. Vous pouvez utiliser l’Assistant Générer et publier des scripts pour générer des scripts de création pour toutes les tables externes.You could use Generate and Publish Scripts Wizard to generate create-scripts for all the external tables for ease.
      • Pour plus d’informations sur le schéma abfss://, consultez ce guide.For more information on abfss:// scheme, refer to this guide.
      • Pour plus d’informations sur CREATE EXTERNAL DATA SOURCE, consultez ce guide.For more information on CREATE EXTERNAL DATA SOURCE, refer to this guide.
    4. Exécutez des requêtes comme vous le faites habituellement en utilisant des tables externes.Query as normal using external tables.

Audit d’objets blob Azure SQL DatabaseAzure SQL Database Blob Auditing

L’audit d’objets blob transfère des journaux d’audit à votre propre compte de stockage.Blob auditing pushes audit logs to your own storage account. Si ce compte de stockage utilise la fonctionnalité de points de terminaison de service de réseau virtuel, la connectivité entre Azure SQL Database et le compte de stockage est arrêtée.If this storage account uses the VNet Service endpoints feature then connectivity from Azure SQL Database to the storage account will break.

Ajout d’une règle de pare-feu de réseau virtuel à votre serveur sans activer les points de terminaison de service de réseau virtuelAdding a VNet Firewall rule to your server without turning On VNet Service Endpoints

Il y a longtemps, avant que cette fonctionnalité ne soit améliorée, vous deviez activer les points de terminaison de service VNet avant de pouvoir implémenter une règle de réseau virtuel dynamique dans le pare-feu.Long ago, before this feature was enhanced, you were required to turn VNet service endpoints On before you could implement a live VNet rule in the Firewall. Les points de terminaison associaient un sous-réseau/réseau virtuel donné à une base de données Azure SQL Database.The endpoints related a given VNet-subnet to an Azure SQL Database. Depuis janvier 2018, vous pouvez éviter cette opération en définissant l’indicateur IgnoreMissingVNetServiceEndpoint.But now as of January 2018, you can circumvent this requirement by setting the IgnoreMissingVNetServiceEndpoint flag.

La simple définition d’une règle de pare-feu ne permet pas de sécuriser le serveur.Merely setting a Firewall rule does not help secure the server. Vous devez également activer les points de terminaison de service Vnet pour que la sécurité entre en vigueur.You must also turn VNet service endpoints On for the security to take effect. Quand vous activez les points de terminaison de service, votre sous-réseau/réseau virtuel est arrêté pendant qu’il passe de l’état désactivé à l’état activé.When you turn service endpoints On, your VNet-subnet experiences downtime until it completes the transition from Off to On. Cela est particulièrement vrai dans le contexte de grands réseaux virtuels.This is especially true in the context of large VNets. Vous pouvez utiliser l’indicateur IgnoreMissingVNetServiceEndpoint pour réduire ou éliminer le temps d’arrêt pendant la transition.You can use the IgnoreMissingVNetServiceEndpoint flag to reduce or eliminate the downtime during transition.

Vous pouvez définir l’indicateur IgnoreMissingVNetServiceEndpoint en utilisant PowerShell.You can set the IgnoreMissingVNetServiceEndpoint flag by using PowerShell. Pour plus d’informations, consultez Utiliser PowerShell pour créer un point de terminaison de service de réseau virtuel et une règle pour Azure SQL Database.For details, see PowerShell to create a Virtual Network service endpoint and rule for Azure SQL Database.

Erreurs 40914 et 40615Errors 40914 and 40615

L’erreur de connexion 40914 est liée aux règles de réseau virtuel, comme spécifié dans le volet Pare-feu du portail Azure.Connection error 40914 relates to virtual network rules, as specified on the Firewall pane in the Azure portal. L’erreur 40615 est similaire, à ceci près qu’elle est liée aux règles des adresses IP sur le pare-feu.Error 40615 is similar, except it relates to IP address rules on the Firewall.

Erreur 40914Error 40914

Texte du message : Impossible d’ouvrir le serveur « [nom-serveur] » demandé par la connexion.Message text: Cannot open server '[server-name]' requested by the login. Le client n’est pas autorisé à accéder au serveur.Client is not allowed to access the server.

Description de l’erreur : le client se trouve dans un sous-réseau qui dispose de points de terminaison de serveur de réseau virtuel.Error description: The client is in a subnet that has virtual network server endpoints. Mais le serveur Azure SQL Database n’a pas de règle de réseau virtuel qui accorde au sous-réseau le droit de communiquer avec la base de données SQL Database.But the Azure SQL Database server has no virtual network rule that grants to the subnet the right to communicate with the SQL Database.

Résolution de l’erreur : dans le volet Pare-feu du portail Azure, utilisez le contrôle des règles de réseau virtuel pour ajouter une règle de réseau virtuel pour le sous-réseau.Error resolution: On the Firewall pane of the Azure portal, use the virtual network rules control to add a virtual network rule for the subnet.

Erreur 40615Error 40615

Texte du message : Impossible d'ouvrir le serveur '{0}' demandé par la connexion.Message text: Cannot open server '{0}' requested by the login. Le client avec l'adresse IP '{1}' n'est pas autorisé à accéder au serveur.Client with IP address '{1}' is not allowed to access the server.

Description de l’erreur : Le client tente de se connecter à partir d’une adresse IP qui n’est pas autorisée à se connecter au serveur Azure SQL Database.Error description: The client is trying to connect from an IP address that is not authorized to connect to the Azure SQL Database server. Le pare-feu du serveur ne dispose d’aucune règle d’adresse IP qui autorise un client à communiquer à partir de l’adresse IP donnée vers la base de données SQL Database.The server firewall has no IP address rule that allows a client to communicate from the given IP address to the SQL Database.

Résolution de l’erreur : entrez l’adresse IP du client en tant que règle IP.Error resolution: Enter the client's IP address as an IP rule. Effectuez cette opération via le volet Pare-feu du portail Azure.Do this by using the Firewall pane in the Azure portal.

Le portail peut créer une règle de réseau virtuelPortal can create a virtual network rule

Cette section montre comment utiliser le Portail Azure pour créer une règle de réseau virtuel sur votre serveur Azure SQL Database.This section illustrates how you can use the Azure portal to create a virtual network rule in your Azure SQL Database. La règle donne l’instruction à votre serveur SQL Database d’accepter les communications provenant d’un sous-réseau spécifique qui a été marqué comme étant un point de terminaison de service de réseau virtuel.The rule tells your SQL Database to accept communication from a particular subnet that has been tagged as being a Virtual Network service endpoint.

Notes

Si vous envisagez d’ajouter un point de terminaison de service aux règles de pare-feu de réseau virtuel de votre serveur Azure SQL Database, commencez par vérifier que les points de terminaison de service sont activés pour le sous-réseau.If you intend to add a service endpoint to the VNet firewall rules of your Azure SQL Database server, first ensure that service endpoints are turned On for the subnet.

Si les points de terminaison de service ne sont pas activés pour le sous-réseau, le portail vous invite à les activer.If service endpoints are not turned on for the subnet, the portal asks you to enable them. Cliquez sur le bouton Activer sur le même panneau que celui où vous ajoutez la règle.Click the Enable button on the same blade on which you add the rule.

Alternative PowerShellPowerShell alternative

Un script peut également créer des règles de réseau virtuel à l’aide de la cmdlet PowerShell New-AzSqlServerVirtualNetworkRule ou az network vnet create.A script can also create virtual network rules using PowerShell cmdlet New-AzSqlServerVirtualNetworkRule or az network vnet create. Si cette option vous intéresse, consultez Utiliser PowerShell pour créer un point de terminaison de service de réseau virtuel et une règle pour Azure SQL Database.If interested, see PowerShell to create a Virtual Network service endpoint and rule for Azure SQL Database.

API REST de remplacementREST API alternative

En interne, les applets de commande PowerShell pour les actions de réseau virtuel SQL appellent des API REST.Internally, the PowerShell cmdlets for SQL VNet actions call REST APIs. Vous pouvez appeler les API REST directement.You can call the REST APIs directly.

Conditions préalables requisesPrerequisites

Vous devez déjà disposer d’un sous-réseau étiqueté avec le nom de type de point de terminaison de service de réseau virtuel particulier approprié pour Azure SQL Database.You must already have a subnet that is tagged with the particular Virtual Network service endpoint type name relevant to Azure SQL Database.

Étapes dans le portail AzureAzure portal steps

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.

  2. Recherchez et sélectionnez Serveurs SQL, puis sélectionnez votre serveur.Search for and select SQL servers, then select your server. Sous Sécurité, sélectionnez Pare-feux et réseaux virtuels.Under Security, select Firewalls and virtual networks.

  3. Définissez le contrôle Autoriser l’accès aux services Azure sur DÉSACTIVÉ.Set the Allow access to Azure services control to OFF.

    Important

    Si vous laissez le contrôle défini sur ON (Activé), votre serveur Azure SQL Database accepte les communications en provenance de n’importe quel sous-réseau à l’intérieur de la limite Azure, c’est-à-dire en provenance de l’une des adresses IP reconnues comme celles comprises dans les plages définies pour les centres de données Azure.If you leave the control set to ON, your Azure SQL Database server accepts communication from any subnet inside the Azure boundary i.e. originating from one of the IP addresses that is recognized as those within ranges defined for Azure data centers. En termes de sécurité, le fait de laisser le contrôle ACTIVÉ peut avoir pour effet de multiplier excessivement les accès.Leaving the control set to ON might be excessive access from a security point of view. La fonctionnalité de points de terminaison de service de réseau virtuel Microsoft Azure, associée à la fonctionnalité de règle de réseau virtuel de SQL Database, peuvent ensemble réduire votre surface d’exposition de sécurité.The Microsoft Azure Virtual Network service endpoint feature, in coordination with the virtual network rule feature of SQL Database, together can reduce your security surface area.

  4. Cliquez sur le contrôle + Ajouter existant dans la section Réseaux virtuels.Click the + Add existing control, in the Virtual networks section.

    Cliquez sur Ajouter existant (point de terminaison de sous-réseau, en tant que règle SQL).

  5. Dans le nouveau volet Créer/mettre à jour, renseignez les contrôles avec les noms de vos ressources Azure.In the new Create/Update pane, fill in the controls with the names of your Azure resources.

    Conseil

    Vous devez inclure le préfixe d’adresse correct pour votre sous-réseau.You must include the correct Address prefix for your subnet. Vous pouvez trouver la valeur correspondante dans le portail.You can find the value in the portal. Accédez à Toutes les ressources > Tous les types > Réseaux virtuels.Navigate All resources > All types > Virtual networks. Le filtre affiche vos réseaux virtuels.The filter displays your virtual networks. Cliquez sur votre réseau virtuel, puis sur Sous-réseaux.Click your virtual network, and then click Subnets. La colonne PLAGE D’ADRESSES contient le préfixe d’adresse nécessaire.The ADDRESS RANGE column has the Address prefix you need.

    Renseignez les champs de la nouvelle règle.

  6. Cliquez sur le bouton OK en bas du volet.Click the OK button near the bottom of the pane.

  7. Le volet du pare-feu affiche la règle de réseau virtuel obtenue.See the resulting virtual network rule on the firewall pane.

    Le volet du pare-feu affiche la nouvelle règle.

Notes

Les états suivants s’appliquent aux règles :The following statuses or states apply to the rules:

  • Prêt : indique que l’opération que vous avez lancée a abouti.Ready: Indicates that the operation that you initiated has Succeeded.
  • Échec : indique que l’opération que vous avez lancée a échoué.Failed: Indicates that the operation that you initiated has Failed.
  • Supprimé : s’applique uniquement à l’opération de suppression et indique que la règle a été supprimée et qu’elle ne s’applique plus.Deleted: Only applies to the Delete operation, and indicates that the rule has been deleted and no longer applies.
  • En cours : indique que l’opération est en cours d’exécution.InProgress: Indicates that the operation is in progress. L’ancienne règle s’applique lorsque l’opération est à cet état.The old rule applies while the operation is in this state.

La fonctionnalité de règle de réseau virtuel pour Azure SQL Database est disponible depuis fin septembre 2017.The virtual network rule feature for Azure SQL Database became available in late September 2017.

Étapes suivantesNext steps