Tutorial: conecte-se a um servidor de SQL do Azure por meio de um Ponto de Extremidade Privado do Azure usando o portal do Azure

Um ponto de extremidade privado do Azure é o bloco de construção básico para o Link Privado no Azure. Ele permite que recursos do Azure, como VMs (máquinas virtuais), se comuniquem de modo privado e seguro com recursos do Link Privado, como o SQL Server do Azure.

Neste tutorial, você aprenderá a:

• Criar uma rede virtual e um bastion host.
• Crie uma máquina virtual.
• Criar um SQL Server do Azure e um ponto de extremidade privado.
• Testar a conectividade com o ponto de extremidade privado do SQL Server.

Se você não tiver uma assinatura do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

• Uma assinatura do Azure

Entrar no Azure

Entre no portal do Azure.

Criar uma rede virtual e um host do Azure Bastion

O seguinte procedimento cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host do Bastion:

1. No portal do Azure, pesquise e selecione Redes virtuais.

2. Na página Redes virtuais, selecione + Criar.

3. Na guia Informações Básicas em Criar rede virtual, insira ou selecione as informações a seguir:

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione Criar novo. Insira test-rg para o nome. Selecione .
   Detalhes da instância
   Nome	Insira vnet-1.
   Região	Selecione Leste dos EUA 2.

   

4. Selecione Avançar para prosseguir para a guia Segurança.

5. Na seção Azure Bastion, selecione Habilitar o Bastion.

   O Bastion usa seu navegador para se conectar a VMs em sua rede virtual por meio do SSH (secure shell) ou protocolo RDP usando os endereços IP privados deles. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, confira O que é o Azure Bastion?.

   Observação

   Os preços por hora começam a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para saber mais, confira Preços e SKUs. Se estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos que você exclua esse recurso após terminar de usá-lo.

6. Em Azure Bastion, digite ou selecione as seguintes informações:

   Configuração	Valor
   Nome do host do Azure Bastion	Insira bastion.
   Endereço IP público do Azure Bastion	Selecione Criar um endereço IP público. Insira public-ip-bastion em Nome. Selecione .

   

7. Selecione Avançar para prosseguir para a guia Endereços IP.

8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão.

9. Em Editar sub-rede, insira ou selecione as seguintes informações:

   Configuração	Valor
   Detalhes da sub-rede
   Modelo de sub-rede	Mantenha o padrão como Padrão.
   Nome	Insira sub-rede-1.
   Endereço inicial	Deixe o padrão de 10.0.0.0.
   Tamanho da sub-rede	Deixe o padrão de /24 (256 endereços).

   

10. Selecione Salvar.

11. Selecione Examinar + criar na parte inferior da página. Quando a validação for aprovada na validação, selecione Criar.

Criar máquina virtual de teste

O procedimento a seguir cria uma máquina virtual de teste (VM) chamada vm-1 na rede virtual.

1. No portal, pesquise e selecione Máquinas virtuais.

2. Em Máquinas virtuais, selecione + Criar e, em seguida, Máquina virtual do Azure.

3. Na guia Informações Básicas em Criar uma máquina virtual, insira ou selecione as informações a seguir:

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Detalhes da instância
   Nome da máquina virtual	Insira vm-1.
   Região	Selecione Leste dos EUA 2.
   Opções de disponibilidade	Selecione Nenhuma redundância de infraestrutura necessária.
   Tipo de segurança	Deixe o padrão de Standard.
   Imagem	Selecione Ubuntu Server 22.04 LTS - x64 Gen2.
   Arquitetura de VMs;	Mantenha o padrão x64.
   Tamanho	Selecione um tamanho.
   Conta de administrador
   Tipo de autenticação	Selecione Senha.
   Nome de Usuário	insira azureuser.
   Senha	Digite uma senha.
   Confirmar senha	Digitar novamente a senha.
   Regras de porta de entrada
   Porta de entrada públicas	Selecione Nenhum.

4. Selecione a guia Rede na parte superior da página.

5. Insira ou selecione as seguintes informações na guia Rede:

   Configuração	Valor
   Interface de rede
   Rede virtual	Selecione vnet-1.
   Sub-rede	Selecione sub-rede-1 (10.0.0.0/24).
   IP público	Selecione Nenhum.
   Grupo de segurança de rede da NIC	Selecione Avançado.
   Configurar um grupo de segurança de rede	Selecione Criar novo. Insira nsg-1 no nome. Deixe os demais valores como padrão e selecione OK.

6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

7. Examine as configurações e selecione Criar.

Observação

Máquinas virtuais em uma rede virtual com um bastion host não precisam de endereços IP públicos. O Bastion fornece o IP público e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas no bastion. Para obter mais informações, confira dissociar um endereço IP público de uma VM do Azure.

Observação

O Azure fornece um IP de acesso de saída padrão para VMs que não receberam um endereço IP público ou que estão no pool de back-end de um balanceador de carga do Azure básico interno. O mecanismo de IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desabilitado quando um dos seguintes eventos acontece:

• Um endereço IP público é atribuído à VM.
• A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
• Um recurso do Gateway da NAT do Azure é atribuído à sub-rede da VM.

As VMs criadas por conjuntos de dimensionamento de máquinas virtuais no modo de orquestração flexível não têm acesso de saída padrão.

Para mais informações sobre conexões de saída no Azure, confira Acesso de saída padrão no Azure e Usar SNAT (conversão de endereços de rede de origem) para conexões de saída.

Criar um SQL Server do Azure e um ponto de extremidade privado

Nesta seção, você criará um SQL Server no Azure.

1. Na caixa de pesquisa na parte superior do portal, insira SQL. Selecione Bancos de dados SQL nos resultados da pesquisa.

2. Nos bancos de dados SQL, selecione + Criar.

3. Na guia Informações Básicas de Criar Banco de Dados SQL, insira ou selecione as seguintes informações:

   Configuração	Valor
   Detalhes do projeto
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Detalhes do banco de dados
   Nome do banco de dados	Insira sql-db.
   Servidor	Selecione Criar novo. Insira sql-server-1 em Nome do servidor (os nomes dos servidores devem ser exclusivos, substitua sql-server-1 por um valor exclusivo). Selecione Leste dos EUA 2 (EUA) em Localização. Selecione Usar autenticação SQL. Insira as credenciais e a senha de um administrador do servidor. Selecione OK.
   Deseja usar o pool elástico SQL?	Selecione Não.
   Ambiente de carga de trabalho	Deixe o padrão de Produção.
   Redundância do armazenamento de backup
   Redundância do armazenamento de backup	Selecione Armazenamento de backup redundante localmente.

4. Selecione Avançar: Rede.

5. Na guia Rede de Criar Banco de Dados SQL, insira ou selecione as seguintes informações:

   Configuração	Valor
   Conectividade de rede
   Método de conectividade	Selecione Ponto de extremidade privado.
   Pontos de extremidade privados
   Selecione + Adicionar ponto de extremidade privado.
   Criar ponto de extremidade privado
   Subscription	Selecione sua assinatura.
   Resource group	Selecione test-rg.
   Location	Selecione Leste dos EUA 2.
   Nome	Insira private-endpoint-sql.
   Sub-recurso de destino	Selecione SqlServer.
   Rede
   Rede virtual	Selecione vnet-1.
   Sub-rede	Selecione sub-rede-1.
   Integração de DNS privado
   Integrar com a zona DNS privado	Selecione Sim na barra superior.
   Zona DNS privada	Deixe o padrão de privatelink.database.windows.net.

6. Selecione OK.

7. Selecione Examinar + criar.

8. Selecione Criar.

Importante

Ao adicionar uma conexão de ponto de extremidade privado, o roteamento público para o SQL Server do Azure não é bloqueado por padrão. A configuração "Negar acesso à rede pública" na folha "Firewall e redes virtuais" é deixada desmarcada por padrão. Para desabilitar o acesso à rede pública, marque-a.

Desabilitar o acesso público ao SQL Server lógico do Azure

Para esse cenário, suponha que você gostaria de desabilitar todo o acesso público ao SQL Server do Azure e permitir apenas conexões de sua rede virtual.

1. Na caixa de pesquisa na parte superior do portal, insira SQL Server. Selecione SQL Servers nos resultados da pesquisa.

2. Selecione sql-server-1.

3. Na página Rede, selecione a guia Acesso público e, em seguida, selecione Desabilitar para Acesso à rede pública.

4. Selecione Salvar.

Testar a conectividade com o ponto de extremidade privado

Nesta seção, você usará a máquina virtual criada nas etapas anteriores para se conectar ao SQL Server no ponto de extremidade privado.

1. Na caixa de pesquisa na parte superior do portal insira Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

2. Selecione vm-1.

3. Em Operações, selecione Bastion.

4. Insira o nome de usuário e a senha da máquina virtual.

5. Selecione Conectar.

6. Para verificar a resolução de nomes do ponto de extremidade privado, insira o seguinte comando na janela do terminal:

   nslookup sql-server-1.database.windows.net
   

   Você recebe uma mensagem semelhante ao exemplo a seguir. O endereço IP retornado é o endereço IP privado do ponto de extremidade privado.

   Server:    127.0.0.53
   Address:   127.0.0.53#53
   
   Non-authoritative answer:
   sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
   Name:sql-server-8675.privatelink.database.windows.net
   Address: 10.1.0.4
   

7. Instale as ferramentas de linha de comando do SQL Server em Instalar as ferramentas de linha de comando do SQL Server sqlcmd e bcp no Linux. Prossiga com as próximas etapas após a conclusão da instalação.

8. Use os seguintes comandos para se conectar ao servidor SQL criado nas etapas anteriores.

   • Substitua <server-admin> pelo nome de usuário administrador que você inseriu durante a criação do servidor SQL.

   • Substitua <admin-password> pela senha de administrador inserida durante a criação do servidor SQL.

   • Substitua sql-server-1 pelo nome do servidor SQL.

   sqlcmd -S sql-server-1.database.windows.net -U '<server-admin>' -P '<admin-password>'
   

9. Um prompt de comando SQL é exibido na entrada bem-sucedida. Insira Sair para sair da ferramenta sqlcmd.

Limpar os recursos

Quando terminar de usar os recursos criados, você poderá excluir o grupo de recursos e todos os recursos dele:

1. No portal do Azure, procure por Grupos de recursos e selecione essa opção.

2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

3. Na página test-rg, selecione Excluir grupo de recursos .

4. Insira test-rg em Inserir o nome do grupo de recursos para confirmar a exclusão e, em seguida, selecione Excluir.

Próximas etapas

Neste tutorial, você aprendeu a criar:

• Uma rede virtual e um bastion host.

• Uma máquina virtual.

• SQL Server do Azure com um ponto de extremidade privado.

Você usou a máquina virtual para testar a conectividade de maneira privada e segura com o SQL Server no ponto de extremidade privado.

Como próxima etapa, talvez você também esteja interessado no cenário de arquitetura de um aplicativo Web com conectividade privada com o banco de dados SQL do Azure, que conecta um aplicativo Web fora da rede virtual ao ponto de extremidade privado de um banco de dados.

Aplicativo Web com conectividade privada com o banco de dados SQL do Azure