Configurare l'endpoint pubblico nell'istanza gestita di database SQL di AzureConfigure public endpoint in Azure SQL Database managed instance

L'endpoint pubblico per un' istanza gestita consente l'accesso ai dati all'istanza gestita dall'esterno della rete virtuale.Public endpoint for a managed instance enables data access to your managed instance from outside the virtual network. È possibile accedere all'istanza gestita da servizi di Azure multi-tenant, ad esempio Power BI, app Azure servizio o una rete locale.You are able to access your managed instance from multi-tenant Azure services like Power BI, Azure App Service, or an on-premise network. Usando l'endpoint pubblico in un'istanza gestita, non è necessario usare una VPN, che può aiutare a evitare problemi di velocità effettiva della VPN.By using the public endpoint on a managed instance, you do not need to use a VPN, which can help avoid VPN throughput issues.

L'articolo spiega come:In this article, you'll learn how to:

  • Abilitare l'endpoint pubblico per l'istanza gestita nel portale di AzureEnable public endpoint for your managed instance in the Azure portal
  • Abilitare l'endpoint pubblico per l'istanza gestita tramite PowerShellEnable public endpoint for your managed instance using PowerShell
  • Configurare il gruppo di sicurezza di rete dell'istanza gestita per consentire il traffico all'endpoint pubblico dell'istanza gestitaConfigure your managed instance network security group to allow traffic to the managed instance public endpoint
  • Ottenere la stringa di connessione dell'endpoint pubblico dell'istanza gestitaObtain the managed instance public endpoint connection string

AutorizzazioniPermissions

A causa della riservatezza dei dati presenti in un'istanza gestita, la configurazione per abilitare l'endpoint pubblico dell'istanza gestita richiede un processo in due passaggi.Due to the sensitivity of data that is in a managed instance, the configuration to enable managed instance public endpoint requires a two-step process. Questa misura di sicurezza si attiene alla separazione dei compiti (SoD):This security measure adheres to separation of duties (SoD):

  • L'abilitazione dell'endpoint pubblico in un'istanza gestita deve essere eseguita dall'amministratore dell'istanza gestita. L'amministratore dell'istanza gestita è disponibile nella pagina Panoramica della risorsa istanza gestita di SQL.Enabling public endpoint on a managed instance needs to be done by the managed instance admin. The managed instance admin can be found on Overview page of your SQL managed instance resource.
  • Consentire il traffico tramite un gruppo di sicurezza di rete che deve essere eseguito da un amministratore di rete. Per altre informazioni, vedere autorizzazioni del gruppo di sicurezza di rete.Allowing traffic using a network security group that needs to be done by a network admin. For more information, see network security group permissions.

Abilitazione dell'endpoint pubblico per un'istanza gestita nel portale di AzureEnabling public endpoint for a managed instance in the Azure portal

  1. Avviare il portale di Azurehttps://portal.azure.com/.Launch the Azure portal at https://portal.azure.com/.
  2. Aprire il gruppo di risorse con l'istanza gestita e selezionare l' istanza di SQL gestita in cui si vuole configurare l'endpoint pubblico.Open the resource group with the managed instance, and select the SQL managed instance that you want to configure public endpoint on.
  3. In impostazioni sicurezza selezionare la scheda rete virtuale .On the Security settings, select the Virtual network tab.
  4. Nella pagina Configurazione rete virtuale selezionare Abilita e quindi l'icona Salva per aggiornare la configurazione.In the Virtual network configuration page, select Enable and then the Save icon to update the configuration.

mi-vnet-config.png

Abilitazione dell'endpoint pubblico per un'istanza gestita tramite PowerShellEnabling public endpoint for a managed instance using PowerShell

Abilita endpoint pubblicoEnable public endpoint

Eseguire i comandi di PowerShell seguenti.Run the following PowerShell commands. Sostituire Subscription-ID con l'ID sottoscrizione.Replace subscription-id with your subscription ID. Sostituire anche RG-Name con il gruppo di risorse per l'istanza gestita e sostituire mi-Name con il nome dell'istanza gestita.Also replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Disabilitare l'endpoint pubblicoDisable public endpoint

Per disabilitare l'endpoint pubblico usando PowerShell, eseguire il comando seguente (e non dimenticare di chiudere NSG per la porta in ingresso 3342 se è stato configurato):To disable the public endpoint using PowerShell, you would execute the following command (and also do not forget to close the NSG for the inbound port 3342 if you have it configured):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Consenti traffico endpoint pubblico nel gruppo di sicurezza di reteAllow public endpoint traffic on the network security group

  1. Se la pagina Configurazione dell'istanza gestita è ancora aperta, passare alla scheda Panoramica . In caso contrario, tornare alla risorsa istanza gestita di SQL .If you have the configuration page of the managed instance still open, navigate to the Overview tab. Otherwise, go back to your SQL managed instance resource. Selezionare il collegamento rete virtuale/subnet , che consente di passare alla pagina Configurazione rete virtuale.Select the Virtual network/subnet link, which will take you to the Virtual network configuration page.

    mi-overview.png

  2. Selezionare la scheda subnet nel riquadro di configurazione a sinistra della rete virtuale e prendere nota del gruppo di sicurezza per l'istanza gestita.Select the Subnets tab on the left configuration pane of your Virtual network, and make note of the SECURITY GROUP for your managed instance.

    mi-vnet-subnet.png

  3. Tornare al gruppo di risorse che contiene l'istanza gestita.Go back to your resource group that contains your managed instance. Verrà visualizzato il nome del gruppo di sicurezza di rete indicato in precedenza.You should see the Network security group name noted above. Selezionare il nome da visualizzare nella pagina di configurazione del gruppo di sicurezza di rete.Select the name to go into the network security group configuration page.

  4. Selezionare la scheda regole di sicurezza in ingresso e aggiungere una regola con una priorità più alta rispetto alla regola deny_all_inbound con le impostazioni seguenti:Select the Inbound security rules tab, and Add a rule that has higher priority than the deny_all_inbound rule with the following settings:

    ImpostazioneSetting Valore consigliatoSuggested value DescrizioneDescription
    OrigineSource Qualsiasi indirizzo IP o tag di servizioAny IP address or Service tag
    • Per i servizi di Azure come Power BI, selezionare il tag del servizio cloud di AzureFor Azure services like Power BI, select the Azure Cloud Service Tag
    • Per il computer o la macchina virtuale di Azure, usare l'indirizzo IP NATFor your computer or Azure VM, use NAT IP address
    Intervalli di porte di origineSource port ranges * Lasciarlo a * (qualsiasi) perché le porte di origine vengono in genere allocate in modo dinamico e come tali, imprevedibiliLeave this to * (any) as source ports are usually dynamically allocated and as such, unpredictable
    DestinazioneDestination AnyAny Uscita da destinazione per consentire il traffico nella subnet dell'istanza gestitaLeaving destination as Any to allow traffic into the managed instance subnet
    Intervalli di porte di destinazioneDestination port ranges 33423342 Porta di destinazione dell'ambito su 3342, ovvero l'endpoint TDS pubblico dell'istanza gestitaScope destination port to 3342, which is the managed instance public TDS endpoint
    ProtocolloProtocol TCPTCP Istanza gestita usa il protocollo TCP per TDSManaged instance uses TCP protocol for TDS
    AzioneAction AllowAllow Consentire il traffico in ingresso verso l'istanza gestita tramite l'endpoint pubblicoAllow inbound traffic to managed instance through the public endpoint
    PrioritàPriority 13001300 Verificare che questa regola abbia una priorità più alta rispetto alla regola deny_all_inboundMake sure this rule is higher priority than the deny_all_inbound rule

    mi-nsg-rules.png

    Nota

    La porta 3342 viene usata per le connessioni dell'endpoint pubblico all'istanza gestita e non può essere modificata in questo momento.Port 3342 is used for public endpoint connections to managed instance, and cannot be changed at this point.

Recupero della stringa di connessione dell'endpoint pubblico dell'istanza gestitaObtaining the managed instance public endpoint connection string

  1. Passare alla pagina di configurazione dell'istanza gestita di SQL abilitata per l'endpoint pubblico.Navigate to the SQL managed instance configuration page that has been enabled for public endpoint. Selezionare la scheda stringhe di connessione nella configurazione Impostazioni .Select the Connection strings tab under the Settings configuration.

  2. Si noti che il nome host dell'endpoint pubblico è nel formato < mi_name >. public. < dns_zone >. database. Windows. NET e che la porta usata per la connessione è 3342.Note that the public endpoint host name comes in the format <mi_name>.public.<dns_zone>.database.windows.net and that the port used for the connection is 3342.

    mi-public-endpoint-conn-string.png

Passaggi successiviNext steps