Configurare endpoint pubblici in istanza gestita di Database SQL di AzureConfigure public endpoint in Azure SQL Database managed instance

Endpoint pubblico per un istanza gestita offre accesso ai dati a istanza gestita all'esterno di rete virtuale.Public endpoint for a managed instance enables data access to your managed instance from outside the virtual network. Si è in grado di accedere all'istanza gestita da servizi di Azure multi-tenant, ad esempio Power BI, servizio App di Azure o una rete locale.You are able to access your managed instance from multi-tenant Azure services like Power BI, Azure App Service, or an on-premise network. Tramite l'endpoint pubblico in un'istanza gestita, non devi usare una VPN, che consentono di evitare problemi di velocità effettiva della VPN.By using the public endpoint on a managed instance, you do not need to use a VPN, which can help avoid VPN throughput issues.

L'articolo spiega come:In this article, you'll learn how to:

  • Abilitare un endpoint pubblico per l'istanza gestita nel portale di AzureEnable public endpoint for your managed instance in the Azure portal
  • Abilitare un endpoint pubblico per l'istanza gestita usando PowerShellEnable public endpoint for your managed instance using PowerShell
  • Configurare il gruppo di sicurezza di rete di istanza gestita per consentire il traffico all'endpoint pubblico di istanza gestitaConfigure your managed instance network security group to allow traffic to the managed instance public endpoint
  • Ottenere la stringa di connessione dell'endpoint pubblico di istanza gestitaObtain the managed instance public endpoint connection string

AutorizzazioniPermissions

A causa della riservatezza dei dati che si trova in un'istanza gestita, la configurazione per abilitare endpoint pubblico con istanza gestita richiede un processo in due passaggi.Due to the sensitivity of data that is in a managed instance, the configuration to enable managed instance public endpoint requires a two-step process. Questa misura di sicurezza è conforme alla separazione dei compiti:This security measure adheres to separation of duties (SoD):

  • Abilitazione dell'endpoint pubblico in un'istanza gestita deve essere eseguita dall'amministratore istanza gestita. L'amministratore dell'istanza gestita sono disponibili nella Panoramica risorsa di istanza gestita di pagina di SQL.Enabling public endpoint on a managed instance needs to be done by the managed instance admin. The managed instance admin can be found on Overview page of your SQL managed instance resource.
  • Consentire il traffico usando un gruppo di sicurezza di rete che deve essere eseguita da un amministratore di rete. Per altre informazioni, vedere autorizzazioni del gruppo di sicurezza di rete.Allowing traffic using a network security group that needs to be done by a network admin. For more information, see network security group permissions.

Abilitazione dell'endpoint pubblico per un'istanza gestita nel portale di AzureEnabling public endpoint for a managed instance in the Azure portal

  1. Avviare il portale di Azure all'indirizzo https://portal.azure.com/.Launch the Azure portal at https://portal.azure.com/.
  2. Aprire il gruppo di risorse con istanza gestita e selezionare il istanza gestita di SQL che si desidera configurare endpoint pubblici in.Open the resource group with the managed instance, and select the SQL managed instance that you want to configure public endpoint on.
  3. Nel sicurezza impostazioni, selezionare la rete virtuale scheda.On the Security settings, select the Virtual network tab.
  4. Nella pagina Configurazione rete virtuale, selezionare abilitare e quindi la salvare icona per aggiornare la configurazione.In the Virtual network configuration page, select Enable and then the Save icon to update the configuration.

mi-vnet-config.png

Abilitazione dell'endpoint pubblico per un'istanza gestita usando PowerShellEnabling public endpoint for a managed instance using PowerShell

Abilitare l'endpoint pubblicoEnable public endpoint

Eseguire i comandi di PowerShell seguenti.Run the following PowerShell commands. Sostituire id-sottoscrizione con l'ID sottoscrizione.Replace subscription-id with your subscription ID. Sostituire anche rg-name con il gruppo di risorse per l'istanza gestita e sostituisci nome-istanza gestita con il nome dell'istanza gestita.Also replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Disabilitare l'endpoint pubblicoDisable public endpoint

Per disabilitare l'endpoint pubblico con PowerShell, si eseguirà il comando seguente (e anche non dimenticare di chiudere il gruppo di sicurezza per la porta in ingresso 3342 se è stato configurato):To disable the public endpoint using PowerShell, you would execute the following command (and also do not forget to close the NSG for the inbound port 3342 if you have it configured):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Consentire il traffico di endpoint pubblica nel gruppo di sicurezza di reteAllow public endpoint traffic on the network security group

  1. Se si dispone di pagina di configurazione dell'istanza gestita ancora aperto, passare al Panoramica scheda. In caso contrario, tornare indietro per la istanza gestita di SQL risorsa.If you have the configuration page of the managed instance still open, navigate to the Overview tab. Otherwise, go back to your SQL managed instance resource. Selezionare il rete virtuale/subnet collegamento, che consente di accedere alla pagina di configurazione di rete virtuale.Select the Virtual network/subnet link, which will take you to the Virtual network configuration page.

    mi-overview.png

  2. Selezionare il subnet scheda nel riquadro sinistro di configurazione della rete virtuale e assicurarsi di annotare il gruppo di sicurezza per l'istanza gestita.Select the Subnets tab on the left configuration pane of your Virtual network, and make note of the SECURITY GROUP for your managed instance.

    mi-vnet-subnet.png

  3. Tornare al gruppo di risorse che contiene istanza gestita.Go back to your resource group that contains your managed instance. Dovrebbero vedere le gruppo di sicurezza di rete nome indicato in precedenza.You should see the Network security group name noted above. Selezionare il nome per passare alla pagina di configurazione gruppo di sicurezza di rete.Select the name to go into the network security group configuration page.

  4. Selezionare il regole di sicurezza in ingresso scheda, e Add una regola con priorità più alta rispetto il deny_all_inbound regola con le impostazioni seguenti:Select the Inbound security rules tab, and Add a rule that has higher priority than the deny_all_inbound rule with the following settings:

    ImpostazioneSetting Valore consigliatoSuggested value DescrizioneDescription
    OrigineSource Qualsiasi indirizzo IP o un tag di servizioAny IP address or Service tag
    • Per i servizi di Azure, come Power BI, selezionare il Tag di servizio Cloud di AzureFor Azure services like Power BI, select the Azure Cloud Service Tag
    • Per il computer o macchina virtuale di Azure, usare l'indirizzo IP NATFor your computer or Azure VM, use NAT IP address
    Intervalli di porte di origineSource port ranges * Lasciare questa opzione per * (qualsiasi) come le porte di origine sono in genere imprevedibili allocata in modo dinamico e come tale,Leave this to * (any) as source ports are usually dynamically allocated and as such, unpredictable
    DestinazioneDestination QualsiasiAny Lasciando destinazione as Any per consentire il traffico nella subnet dell'istanza gestitaLeaving destination as Any to allow traffic into the managed instance subnet
    Intervalli di porte di destinazioneDestination port ranges 33423342 Porta di destinazione di ambito per 3342, ovvero l'endpoint TDS pubblico istanza gestitaScope destination port to 3342, which is the managed instance public TDS endpoint
    ProtocolloProtocol TCPTCP Protocollo TCP utilizza istanza gestita TDSManaged instance uses TCP protocol for TDS
    AzioneAction CONSENTIAllow Consentire il traffico in ingresso all'istanza gestita tramite l'endpoint pubblicoAllow inbound traffic to managed instance through the public endpoint
    PrioritàPriority 13001300 Assicurarsi che questa regola è prioritario rispetto a quelli di deny_all_inbound regolaMake sure this rule is higher priority than the deny_all_inbound rule

    mi-nsg-rules.png

    Nota

    Porta 3342 viene usata per endpoint pubblico con le connessioni a istanza gestita e non possono essere modificate a questo punto.Port 3342 is used for public endpoint connections to managed instance, and cannot be changed at this point.

Come ottenere la stringa di connessione dell'endpoint pubblico di istanza gestitaObtaining the managed instance public endpoint connection string

  1. Passare alla pagina Configurazione istanza gestita di SQL che è stata abilitata per endpoint pubblico.Navigate to the SQL managed instance configuration page that has been enabled for public endpoint. Selezionare il stringhe di connessione scheda sotto il impostazioni configurazione.Select the Connection strings tab under the Settings configuration.

  2. Notare che include il nome host dell'endpoint pubblico nel formato < mi_name >. pubblica. < dns_zone >. database.windows.net e che la porta usata per la connessione sia 3342.Note that the public endpoint host name comes in the format <mi_name>.public.<dns_zone>.database.windows.net and that the port used for the connection is 3342.

    mi-public-endpoint-conn-string.png

Passaggi successiviNext steps