Configurare endpoint pubblici in Istanza gestita di SQL di Azure

  • Articolo

Si applica a:Istanza gestita di SQL di Azure SQL

Gli endpoint pubblici per Istanza gestita di SQL di Azure consentono l'accesso ai dati dell'istanza gestita dall'esterno della rete virtuale. È possibile accedere all'istanza gestita da servizi di Azure multi-tenant come Power BI, Servizio app di Azure o una rete locale. Se si usa l'endpoint pubblico in un'istanza gestita, non è necessario usare una VPN e questo può aiutare a evitare problemi di produttività della VPN.

In questo articolo vengono illustrate le operazioni seguenti:

  • Abilitare o disabilitare un endpoint pubblico per l'istanza gestita
  • Configurare il gruppo di sicurezza di rete (NSG) dell'istanza gestita per consentire il traffico verso l'endpoint pubblico dell'istanza gestita
  • Ottenere la stringa di connessione dell'endpoint pubblico dell'istanza gestita

Autorizzazioni

A causa dell'importanza dei dati in un'istanza gestita, la configurazione per abilitare l'endpoint pubblico dell'istanza gestita richiede un processo in due passaggi. Questa misura di sicurezza rispetta la separazione dei compiti (SoD):

  • L'amministratore dell'istanza gestita deve abilitare l'endpoint pubblico nell'istanza gestita. È possibile trovare l'amministratore dell'istanza gestita nella pagina Panoramica della risorsa dell'istanza gestita.
  • Un amministratore di rete deve consentire il traffico verso l'istanza gestita usando un gruppo di sicurezza di rete (NSG). Per altre informazioni, vedere Autorizzazioni del gruppo di sicurezza di rete.

Abilita endpoint pubblico

È possibile abilitare l'endpoint pubblico per Istanza gestita di SQL con il portale di Azure, Azure PowerShell o l'interfaccia della riga di comando di Azure.

Per abilitare l'endpoint pubblico per Istanza gestita di SQL nel portale di Azure, seguire questa procedura:

  1. Accedere al portale di Azure.
  2. Aprire il gruppo di risorse con l'istanza gestita e selezionare l'istanza gestita di SQL in cui si vuole configurare l'endpoint pubblico.
  3. Nelle impostazioni Sicurezza, selezionare la scheda Networking.
  4. Nella pagina Configurazione della rete virtuale, selezionare Abilita e quindi l'icona Salva per aggiornare la configurazione.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Disabilitare l'endpoint pubblico

È possibile disabilitare l'endpoint pubblico per Istanza gestita di SQL con il portale di Azure, Azure PowerShell e l'interfaccia della riga di comando di Azure.

Per disabilitare l'endpoint pubblico con il portale di Azure, seguire questa procedura:

  1. Accedere al portale di Azure.
  2. Aprire il gruppo di risorse con l'istanza gestita e selezionare l'istanza gestita di SQL in cui si vuole configurare l'endpoint pubblico.
  3. Nelle impostazioni Sicurezza, selezionare la scheda Networking.
  4. Nella pagina Configurazione rete virtuale, selezionare Disabilita e quindi l'icona Salva per aggiornare la configurazione.

Consentire il traffico dell'endpoint pubblico nel gruppo di sicurezza di rete

Usare il portale di Azure per consentire il traffico pubblico all'interno del gruppo di sicurezza di rete. Seguire questa procedura:

  1. Passare alla pagina Panoramica di Istanza gestita di SQL nel portale di Azure.

  2. Selezionare il collegamento Rete virtuale/subnet che consente di visualizzare la pagina Configurazione rete virtuale.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Selezionare la scheda Subnet nel riquadro di configurazione della rete virtuale e prendere nota del nome SECURITY GROUP per l'istanza gestita.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Tornare al gruppo di risorse che contiene l'istanza gestita. Verrà visualizzato il nome Gruppo di sicurezza di rete annotato in precedenza. Selezionare il nome Gruppo di sicurezza di rete per aprire la pagina di configurazione del Gruppo di sicurezza di rete.

  5. Selezionare la scheda Regole di sicurezza in ingresso e Aggiungere una regola con priorità più alta rispetto alla regola deny_all_inbound con le impostazioni seguenti:

    Impostazione Valore suggerito Descrizione
    Origine Qualsiasi indirizzo IP o tag del servizio
    • Per i servizi Azure come Power BI, selezionare il tag del servizio cloud di Azure
    • Per il computer o la macchina virtuale Azure, usare l'indirizzo IP NAT
    Intervalli porte di origine * Lasciare questa opzione su * (qualsiasi) perché le porte di origine vengono in genere allocate in modo dinamico e, di conseguenza, sono imprevedibili
    Destinazione Any Lasciare la destinazione come Qualsiasi per consentire il traffico nella subnet dell'istanza gestita
    Intervalli porte di destinazione 3342 Definire l'ambito della porta di destinazione a 3342, che è l'endpoint TDS pubblico dell'istanza gestita
    Protocollo TCP Istanza gestita di SQL usa il protocollo TCP per TDS
    Azione Consenti Consentire il traffico in ingresso all'istanza gestita tramite l'endpoint pubblico
    Priorità 1300 Assicurarsi che questa regola abbia priorità più alta rispetto alla regola deny_all_inbound

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Nota

    La porta 3342 viene usata per le connessioni dell'endpoint pubblico all'istanza gestita e non può essere modificata attualmente.

Confermare che il routing sia configurato correttamente

Una route con prefisso degli indirizzi 0.0.0.0/0 indica ad Azure come instradare il traffico destinato a un indirizzo IP che non è incluso nel prefisso degli indirizzi di qualsiasi altra route presente nella tabella di route della subnet. Quando si crea una subnet, Azure crea una route predefinita per il prefisso degli indirizzi 0.0.0.0/0, con tipo di hop successivo Internet.

La sostituzione di questa route predefinita senza aggiungere le route necessarie per garantire che il traffico dell'endpoint pubblico venga instradato direttamente a Internet può causare problemi di routing asimmetrico perché il traffico in ingresso non viene trasmesso tramite il gateway di appliance virtuale/rete virtuale. Assicurarsi che tutto il traffico che raggiunge l'istanza gestita tramite Internet pubblico venga anche restituito tramite Internet pubblico aggiungendo route specifiche per ogni origine o impostando la route predefinita sul prefisso degli indirizzi 0.0.0.0/0 su Internet come tipo di hop successivo.

Per altre informazioni dettagliate sull'impatto delle modifiche su questa route predefinita, vedere prefisso degli indirizzi 0.0.0.0/0.

Ottenere la stringa di connessione dell'endpoint pubblico

  1. Passare alla pagina di configurazione dell'istanza gestita che è stata abilitata per l'endpoint pubblico. Selezionare la scheda Stringhe di connessione nella configurazione Impostazioni.

  2. Il nome host dell'endpoint pubblico presenta il formato <mi_name>.public.<dns_zone>.database.windows.net e per la connessione viene usata la porta 3342. Di seguito è riportato un esempio di valore del server della stringa di connessione che indica la porta dell'endpoint pubblico che può essere usata nelle connessioni SQL Server Management Studio o Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Passaggi successivi

Informazioni sull'uso di Istanza gestita di SQL di Azure in modo sicuro con l'endpoint pubblico.