Use os pontos de extremidade e regras de serviço de rede virtual para os servidores do banco de dadosUse virtual network service endpoints and rules for database servers

As regras da rede virtual são um recurso de segurança do firewall que controla se o servidor do banco de dados para seus bancos de dados individuais e o pool elástico no Banco de Dados SQL do Azure ou os bancos de dados no SQL Data Warehouse aceitam comunicações enviadas de sub-redes particulares nas redes virtuais.Virtual network rules are one firewall security feature that controls whether the database server for your single databases and elastic pool in Azure SQL Database or for your databases in SQL Data Warehouse accepts communications that are sent from particular subnets in virtual networks. Este artigo explica por que o recurso de regra da rede virtual, às vezes, é a melhor opção para permitir a comunicação segura com seu Banco de Dados SQL do Azure e com o SQL Data Warehouse.This article explains why the virtual network rule feature is sometimes your best option for securely allowing communication to your Azure SQL Database and SQL Data Warehouse.

Importante

Este artigo se aplica ao SQL Server do Azure e aos bancos de dados SQL Database e SQL Data Warehouse criados no servidor SQL do Azure.This article applies to Azure SQL server, and to both SQL Database and SQL Data Warehouse databases that are created on the Azure SQL server. Para simplificar, o banco de dados SQL é usado quando se refere ao Banco de Dados SQL e ao SQL Data Warehouse.For simplicity, SQL Database is used when referring to both SQL Database and SQL Data Warehouse. Este artigo não se aplica a uma implantação de instância gerenciada no Banco de Dados SQL do Azure porque não tem um ponto de extremidade de serviço associado.This article does not apply to a managed instance deployment in Azure SQL Database because it does not have a service endpoint associated with it.

Para criar uma regra de rede virtual, primeiro deve haver um ponto de extremidade de serviço de rede virtual para a regra referenciar.To create a virtual network rule, there must first be a virtual network service endpoint for the rule to reference.

Como criar uma regra da rede virtualHow to create a virtual network rule

Se você só criar uma regra da rede virtual, poderá pular para as etapas e explicação posteriores neste artigo.If you only create a virtual network rule, you can skip ahead to the steps and explanation later in this article.

Detalhes sobre as regras da rede virtualDetails about virtual network rules

Esta seção descreve vários detalhes sobre as regras da rede virtual.This section describes several details about virtual network rules.

Apenas uma região geográficaOnly one geographic region

Cada ponto de extremidade de serviço de rede virtual se aplica a apenas uma região do Azure.Each Virtual Network service endpoint applies to only one Azure region. O ponto de extremidade não permite que outras regiões aceitem a comunicação da sub-rede.The endpoint does not enable other regions to accept communication from the subnet.

Qualquer regra da rede virtual é limitada à região à qual seu ponto de extremidade subjacente se aplica.Any virtual network rule is limited to the region that its underlying endpoint applies to.

Nível de servidor, não o nível de banco de dadosServer-level, not database-level

Cada regra da rede virtual se aplica a todo o seu servidor de banco de dados SQL do Azure, não apenas a um determinado banco de dados no servidor.Each virtual network rule applies to your whole Azure SQL Database server, not just to one particular database on the server. Em outras palavras, a regra da rede virtual se aplica no nível de servidor, não no nível do banco de dados.In other words, virtual network rule applies at the server-level, not at the database-level.

  • Por outro lado, as regras de IP podem ser aplicadas em qualquer nível.In contrast, IP rules can apply at either level.

Funções de administração de segurançaSecurity administration roles

Há uma separação de funções de segurança na administração de pontos de extremidade de serviço de rede virtual.There is a separation of security roles in the administration of Virtual Network service endpoints. A ação é necessária em cada uma das seguintes funções:Action is required from each of the following roles:

  • Administrador de Rede:   Ative o ponto de extremidade.Network Admin:   Turn on the endpoint.
  • Administrador do banco de dados:   atualize a ACL (lista de controle de acesso) para adicionar a sub-rede fornecida ao servidor do Banco de Dados SQL.Database Admin:   Update the access control list (ACL) to add the given subnet to the SQL Database server.

Alternativa de RBAC:RBAC alternative:

As funções de Administrador de banco de dados e Administrador de rede têm mais recursos do que o necessário para gerenciar regras da rede virtual.The roles of Network Admin and Database Admin have more capabilities than are needed to manage virtual network rules. É necessário apenas um subconjunto de seus recursos.Only a subset of their capabilities is needed.

Você tem a opção de usar o controle de acesso baseado em função (RBAC) no Azure para criar uma única função personalizada que tem apenas o subconjunto necessário de recursos.You have the option of using role-based access control (RBAC) in Azure to create a single custom role that has only the necessary subset of capabilities. A função personalizada pode ser usada em vez de envolver o Administrador de rede ou o Administrador de banco de dados. A área da superfície da sua exposição de segurança é menor, se você adicionar um usuário a uma função personalizada, em vez de adicionar o usuário às outras duas funções de administrador principal.The custom role could be used instead of involving either the Network Admin or the Database Admin. The surface area of your security exposure is lower if you add a user to a custom role, versus adding the user to the other two major administrator roles.

Observação

Em alguns casos, o Banco de Dados SQL do Azure e a sub-rede da VNet estão em assinaturas diferentes.In some cases the Azure SQL Database and the VNet-subnet are in different subscriptions. Nesses casos, você deve garantir as seguintes configurações:In these cases you must ensure the following configurations:

  • Ambas as assinaturas devem estar associadas ao mesmo locatário do Azure Active Directory.Both subscriptions must be in the same Azure Active Directory tenant.
  • O usuário tem as permissões necessárias para iniciar operações, como habilitar pontos de extremidade de serviço e adicionar uma sub-rede da VNet ao servidor.The user has the required permissions to initiate operations, such as enabling service endpoints and adding a VNet-subnet to the given Server.
  • Ambas as assinaturas devem ter o provedor Microsoft.Sql registrado.Both subscriptions must have the Microsoft.Sql provider registered.

LimitaçõesLimitations

Para o Banco de Dados SQL do Azure, o recurso de regras da rede virtual tem as seguintes limitações:For Azure SQL Database, the virtual network rules feature has the following limitations:

  • No firewall do Banco de Dados SQL, cada regra da rede virtual faz referência a uma sub-rede.In the firewall for your SQL Database, each virtual network rule references a subnet. Todas essas sub-redes referenciadas devem ser hospedadas na mesma região geográfica que hospeda o Banco de Dados SQL.All these referenced subnets must be hosted in the same geographic region that hosts the SQL Database.

  • Cada servidor do banco de dados SQL do Azure pode ter até 128 entradas de ACL para qualquer rede virtual especificada.Each Azure SQL Database server can have up to 128 ACL entries for any given virtual network.

  • As regras de rede virtual se aplicam somente a redes virtuais Azure Resource Manager; e não para redes de modelo de implantação clássica .Virtual network rules apply only to Azure Resource Manager virtual networks; and not to classic deployment model networks.

  • A ativação de pontos de extremidade de serviço de rede virtual no Banco de Dados SQL do Azure também habilita os pontos de extremidade para os serviços MySQL e PostgreSQL do Azure.Turning ON virtual network service endpoints to Azure SQL Database also enables the endpoints for the MySQL and PostgreSQL Azure services. No entanto, com os pontos de extremidade ativados, as tentativas de conexão dos pontos de extremidade com as instâncias do MySQL ou PostgreSQL provavelmente falharão.However, with endpoints ON, attempts to connect from the endpoints to your MySQL or PostgreSQL instances may fail.

    • O motivo subjacente é que o MySQL e o PostgreSQL provavelmente não têm uma regra da rede virtual configurada.The underlying reason is that MySQL and PostgreSQL likely do not have a virtual network rule configured. Você precisará configurar uma regra da rede virtual para o Banco de Dados do Azure para MySQL e PostgreSQL e então a conexão será bem-sucedida.You must configure a virtual network rule for Azure Database for MySQL and PostgreSQL and the connection will succeed.
  • No firewall, os intervalos de endereços IP se aplicam aos seguintes itens de rede, mas as regras da rede virtual não:On the firewall, IP address ranges do apply to the following networking items, but virtual network rules do not:

Considerações ao usar pontos de extremidade de serviçoConsiderations when using Service Endpoints

Ao usar pontos de extremidade de serviço para o Banco de Dados SQL do Azure, veja as considerações a seguir:When using service endpoints for Azure SQL Database, review the following considerations:

  • É necessária uma saída para IPs públicos do Banco de Dados SQL do Azure: os NSGs (Grupos de Segurança de Rede) devem estar abertos para IPs do Banco de Dados SQL do Azure para permitir a conectividade.Outbound to Azure SQL Database Public IPs is required: Network Security Groups (NSGs) must be opened to Azure SQL Database IPs to allow connectivity. Você pode fazer isso usando o NSG Marcas de Serviço para o Banco de Dados SQL do Azure.You can do this by using NSG Service Tags for Azure SQL Database.

ExpressRouteExpressRoute

Se você estiver usando ExpressRoute de suas instalações, para emparelhamento público ou emparelhamento da Microsoft, será necessário identificar os endereços IP NAT usados.If you are using ExpressRoute from your premises, for public peering or Microsoft peering, you will need to identify the NAT IP addresses that are used. Para emparelhamento público, cada circuito do ExpressRoute usará dois endereços IP de NAT, que serão aplicados ao tráfego do serviço do Azure quando o tráfego entrar no backbone da rede do Microsoft Azure.For public peering, each ExpressRoute circuit by default uses two NAT IP addresses applied to Azure service traffic when the traffic enters the Microsoft Azure network backbone. Para emparelhamento da Microsoft, os endereços IP de NAT usados são fornecidos pelo cliente ou são fornecidos pelo provedor de serviço.For Microsoft peering, the NAT IP address(es) that are used are either customer provided or are provided by the service provider. Para permitir o acesso aos recursos do serviço, você deve permitir estes endereços IP públicos na configuração do firewall de IP do recurso.To allow access to your service resources, you must allow these public IP addresses in the resource IP firewall setting. Para localizar os endereços IP do circuito do ExpressRoute de emparelhamento público, abra um tíquete de suporte com o ExpressRoute por meio do Portal do Azure.To find your public peering ExpressRoute circuit IP addresses, open a support ticket with ExpressRoute via the Azure portal. Saiba mais sobre NAT para emparelhamento público de ExpressRoute e emparelhamento da Microsoft.Learn more about NAT for ExpressRoute public and Microsoft peering.

Para permitir a comunicação do seu circuito com o Banco de Dados SQL do Azure, você deve criar regras de rede IP para os endereços IP públicos do seu NAT.To allow communication from your circuit to Azure SQL Database, you must create IP network rules for the public IP addresses of your NAT.

Impacto de usar pontos de extremidade de serviço de VNet com Armazenamento do AzureImpact of using VNet Service Endpoints with Azure storage

O Armazenamento do Azure implementou o mesmo recurso que permite que você limite a conectividade à sua conta de Armazenamento do Azure.Azure Storage has implemented the same feature that allows you to limit connectivity to your Azure Storage account. Se optar por usar esse recurso com uma conta de Armazenamento do Azure que está sendo usada pelo Azure SQL Server, você poderá encontrar problemas.If you choose to use this feature with an Azure Storage account that is being used by Azure SQL Server, you can run into issues. Em seguida, há uma lista e uma discussão dos recursos do Banco de Dados SQL do Azure e do SQL Data Warehouse do Azure afetados por isso.Next is a list and discussion of Azure SQL Database and Azure SQL Data Warehouse features that are impacted by this.

PolyBase do Armazém de Dados do Azure SQLAzure SQL Data Warehouse PolyBase

O PolyBase é comumente usado para carregar dados no SQL Data Warehouse do Azure de contas do Armazenamento do Azure.PolyBase is commonly used to load data into Azure SQL Data Warehouse from Azure Storage accounts. Se a conta de Armazenamento do Azure da qual você está carregando dados limitar o acesso somente a um conjunto de sub-redes de VNet, a conectividade do PolyBase com a conta será interrompida.If the Azure Storage account that you are loading data from limits access only to a set of VNet-subnets, connectivity from PolyBase to the Account will break. Para habilitar cenários de importação e exportação do PolyBase com o SQL Data Warehouse do Azure que se conectam ao Armazenamento do Azure protegido para VNet, siga as etapas indicadas abaixo:For enabling both PolyBase import and export scenarios with Azure SQL Data Warehouse connecting to Azure Storage that's secured to VNet, follow the steps indicated below:

Pré-requisitosPrerequisites

Observação

Este artigo foi atualizado para usar o novo módulo Az do Azure PowerShell.This article has been updated to use the new Azure PowerShell Az module. Você ainda pode usar o módulo AzureRM, que continuará a receber as correções de bugs até pelo menos dezembro de 2020.You can still use the AzureRM module, which will continue to receive bug fixes until at least December 2020. Para saber mais sobre o novo módulo Az e a compatibilidade com o AzureRM, confira Apresentação do novo módulo Az do Azure PowerShell.To learn more about the new Az module and AzureRM compatibility, see Introducing the new Azure PowerShell Az module. Para obter instruções de instalação do módulo Az, confira Instalar o Azure PowerShell.For Az module installation instructions, see Install Azure PowerShell.

Importante

O módulo Azure Resource Manager do PowerShell ainda tem suporte do banco de dados SQL do Azure, mas todo o desenvolvimento futuro é para o módulo AZ. Sql.The PowerShell Azure Resource Manager module is still supported by Azure SQL Database, but all future development is for the Az.Sql module. Para esses cmdlets, consulte AzureRM. SQL.For these cmdlets, see AzureRM.Sql. Os argumentos para os comandos no módulo AZ e nos módulos AzureRm são substancialmente idênticos.The arguments for the commands in the Az module and in the AzureRm modules are substantially identical.

  1. Instalar o Azure PowerShell usando este guia.Install Azure PowerShell using this guide.
  2. Se você tiver uma conta de armazenamento de blobs ou de uso geral v1, será necessário primeiro atualizar para uso geral v2 usando este guia.If you have a general-purpose v1 or blob storage account, you must first upgrade to general-purpose v2 using this guide.
  3. É necessário ativar Permitir que os serviços confiáveis da Microsoft acessem essa conta de armazenamento no menu de configurações Firewalls e redes virtuais da conta do Armazenamento do Azure.You must have Allow trusted Microsoft services to access this storage account turned on under Azure Storage account Firewalls and Virtual networks settings menu. Confira este guia para saber mais.Refer to this guide for more information.

EtapasSteps

  1. No PowerShell, Registre seu SQL Server do Azure hospedando sua instância do SQL data warehouse do azure com Azure Active Directory (AAD):In PowerShell, register your Azure SQL Server hosting your Azure SQL Data Warehouse instance with Azure Active Directory (AAD):

    Connect-AzAccount
    Select-AzSubscription -SubscriptionId your-subscriptionId
    Set-AzSqlServer -ResourceGroupName your-database-server-resourceGroup -ServerName your-SQL-servername -AssignIdentity
    
    1. Crie uma Conta de armazenamento de uso geral v2 usando este guia.Create a general-purpose v2 Storage Account using this guide.

    Observação

    • Se você tiver uma conta de armazenamento de blobs ou de uso geral v1, será necessário primeiro atualizar para v2 usando este guia.If you have a general-purpose v1 or blob storage account, you must first upgrade to v2 using this guide.
    • Para problemas conhecidos com o Azure Data Lake Storage Gen2, confira este guia.For known issues with Azure Data Lake Storage Gen2, please refer to this guide.
  2. Em sua conta de armazenamento, navegue até Controle de acesso (IAM) e clique em Adicionar atribuição de função.Under your storage account, navigate to Access Control (IAM), and click Add role assignment. Atribua a função de RBAC de colaborador de dados de blob de armazenamento à sua SQL Server do Azure hospedando sua SQL data warehouse do Azure que você registrou com o AAD (Azure active Direcotory) como na etapa 1.Assign Storage Blob Data Contributor RBAC role to your Azure SQL Server hosting your Azure SQL Data Warehouse which you've registered with Azure Active Direcotory (AAD) as in step#1.

    Observação

    Somente membros com o privilégio Proprietário podem executar essa etapa.Only members with Owner privilege can perform this step. Para várias funções internas de recursos do Azure, confira este guia.For various built-in roles for Azure resources, refer to this guide.

  3. Conectividade do Polybase com a conta de Armazenamento do Azure:Polybase connectivity to the Azure Storage account:

    1. Crie uma chave mestra de banco de dados se ainda não tiver criado uma anteriormente:Create a database master key if you haven't created one earlier:

      CREATE MASTER KEY [ENCRYPTION BY PASSWORD = 'somepassword'];
      
    2. Criar credencial com escopo de banco de dados com IDENTITY = 'Managed Service Identity' :Create database scoped credential with IDENTITY = 'Managed Service Identity':

      CREATE DATABASE SCOPED CREDENTIAL msi_cred WITH IDENTITY = 'Managed Service Identity';
      

      Observação

      • Não é necessário especificar SECRET com a chave de acesso de Armazenamento do Azure, porque esse mecanismo usa Identidade gerenciada nos bastidores.There is no need to specify SECRET with Azure Storage access key because this mechanism uses Managed Identity under the covers.
      • O nome IDENTITY deve ser 'Managed Service Identity' para que a conectividade do PolyBase funcione com a conta de armazenamento do Azure protegida para VNet.IDENTITY name should be 'Managed Service Identity' for PolyBase connectivity to work with Azure Storage account secured to VNet.
    3. Criar fonte de dados externa com o esquema abfss:// para conectar-se a sua conta de armazenamento de uso geral v2 usando o PolyBase:Create external data source with abfss:// scheme for connecting to your general-purpose v2 storage account using PolyBase:

      CREATE EXTERNAL DATA SOURCE ext_datasource_with_abfss WITH (TYPE = hadoop, LOCATION = 'abfss://myfile@mystorageaccount.dfs.core.windows.net', CREDENTIAL = msi_cred);
      

      Observação

      • Se você já tiver tabelas externas associadas à conta de armazenamento de blobs ou de uso geral v1, primeiro remova essas tabelas externas e, em seguida, remova a fonte de dados externa correspondente.If you already have external tables associated with general-purpose v1 or blob storage account, you should first drop those external tables and then drop corresponding external data source. Em seguida, crie a fonte de dados externa com o esquema abfss:// que se conecta à conta de armazenamento de uso geral v2 acima e recrie todas as tabelas externas usando essa nova fonte de dados externa.Then create external data source with abfss:// scheme connecting to general-purpose v2 storage account as above and re-create all the external tables using this new external data source. Use o Assistente para gerar e publicar scripts para gerar scripts de criação para todas as tabelas externas com facilidade.You could use Generate and Publish Scripts Wizard to generate create-scripts for all the external tables for ease.
      • Para saber mais sobre o esquema abfss://, confira este guia.For more information on abfss:// scheme, refer to this guide.
      • Para saber mais sobre CREATE EXTERNAL DATA SOURCE, confira este guia.For more information on CREATE EXTERNAL DATA SOURCE, refer to this guide.
    4. Consulte normalmente usando tabelas externas.Query as normal using external tables.

Auditoria de Blobs do Banco de Dados SQL do AzureAzure SQL Database Blob Auditing

A auditoria de blob envia por push logs de auditoria para sua própria conta de armazenamento.Blob auditing pushes audit logs to your own storage account. Se essa conta de armazenamento usar o recurso de pontos de extremidade do serviço VNet, a conectividade do Banco de Dados SQL do Azure para a conta de armazenamento será interrompida.If this storage account uses the VNet Service endpoints feature then connectivity from Azure SQL Database to the storage account will break.

Adicionando uma regra do Firewall VNet ao seu servidor sem ativar os pontos de extremidade do serviço da VNetAdding a VNet Firewall rule to your server without turning On VNet Service Endpoints

Há muito tempo antes que esse recurso fosse aprimorado, era necessário ativar os pontos de extremidade de serviço da VNet antes de implementar uma regra dinâmica da VNet no Firewall.Long ago, before this feature was enhanced, you were required to turn VNet service endpoints On before you could implement a live VNet rule in the Firewall. Os pontos de extremidade relacionados a determinada sub-rede da VNET de um Banco de Dados SQL do Azure.The endpoints related a given VNet-subnet to an Azure SQL Database. No entanto, a partir de janeiro de 2018, você pode contornar esse requisito definindo o sinalizador IgnoreMissingVNetServiceEndpoint.But now as of January 2018, you can circumvent this requirement by setting the IgnoreMissingVNetServiceEndpoint flag.

A simples configuração de uma regra de Firewall não ajuda a proteger o servidor.Merely setting a Firewall rule does not help secure the server. Você também precisa ativar os pontos de extremidade de serviço da VNET para que a segurança entre em vigor.You must also turn VNet service endpoints On for the security to take effect. Quando você ativa os pontos de extremidade de serviço, a sub-rede da VNET passa por um tempo de inatividade até concluir a transição de desativado para ativado.When you turn service endpoints On, your VNet-subnet experiences downtime until it completes the transition from Off to On. Isso é especialmente verdadeiro no contexto de VNETs grandes.This is especially true in the context of large VNets. Use o sinalizador IgnoreMissingVNetServiceEndpoint para reduzir ou eliminar o tempo de inatividade durante a transição.You can use the IgnoreMissingVNetServiceEndpoint flag to reduce or eliminate the downtime during transition.

Defina o sinalizador IgnoreMissingVNetServiceEndpoint usando o PowerShell.You can set the IgnoreMissingVNetServiceEndpoint flag by using PowerShell. Para obter detalhes, consulte PowerShell para criar um ponto de extremidade de serviço de rede virtual e regra para o banco de dados SQL do Azure.For details, see PowerShell to create a Virtual Network service endpoint and rule for Azure SQL Database.

Erros 40914 e 40615Errors 40914 and 40615

O erro de conexão 40914 está relacionado a regras da rede virtual, conforme especificado no painel Firewall no Portal do Azure.Connection error 40914 relates to virtual network rules, as specified on the Firewall pane in the Azure portal. O erro 40615 é semelhante, exceto pelo fato de que ele se relaciona com regras de endereço IP no Firewall.Error 40615 is similar, except it relates to IP address rules on the Firewall.

Erro 40914Error 40914

Texto da mensagem: Não é possível abrir o servidor ' [nome-do-servidor] ' solicitado pelo logon.Message text: Cannot open server '[server-name]' requested by the login. O cliente não tem permissão para acessar o servidor.Client is not allowed to access the server.

Descrição do erro: o cliente está em uma sub-rede que tem pontos de extremidade de servidor de rede virtual.Error description: The client is in a subnet that has virtual network server endpoints. Mas o servidor de Banco de Dados SQL do Azure não tem nenhuma regra da rede virtual que conceda à sub-rede o direito de se comunicar com o Banco de Dados SQL.But the Azure SQL Database server has no virtual network rule that grants to the subnet the right to communicate with the SQL Database.

Resolução do erro: no painel Firewall do Portal do Azure, use o controle de regras de rede virtual para adicionar uma regra da rede virtual à sub-rede.Error resolution: On the Firewall pane of the Azure portal, use the virtual network rules control to add a virtual network rule for the subnet.

Erro 40615Error 40615

Texto da mensagem: Não é possível abrir o servidor '{0}' solicitado pelo logon.Message text: Cannot open server '{0}' requested by the login. O cliente com o endereço IP '{1}' não tem permissão para acessar o servidor.Client with IP address '{1}' is not allowed to access the server.

Descrição do erro: o cliente está tentando conectar-se de um endereço IP que não está autorizado a se conectar ao servidor do Banco de Dados SQL do Azure.Error description: The client is trying to connect from an IP address that is not authorized to connect to the Azure SQL Database server. O firewall do servidor não tem nenhuma regra de endereço IP que permita que um cliente se comunique do endereço IP fornecido para o Banco de Dados SQL.The server firewall has no IP address rule that allows a client to communicate from the given IP address to the SQL Database.

Resolução do erro: digite o endereço IP do cliente como uma regra de IP.Error resolution: Enter the client's IP address as an IP rule. Faça isso usando o painel Firewall no Portal do Azure.Do this by using the Firewall pane in the Azure portal.

Uma lista de várias mensagens de erro do banco de dados SQL está documentada aqui.A list of several SQL Database error messages is documented here.

O Portal pode criar uma regra da rede virtualPortal can create a virtual network rule

Esta seção ilustra como você pode usar o portal do Azure para criar uma regra de rede virtual no banco de dados SQL do Azure.This section illustrates how you can use the Azure portal to create a virtual network rule in your Azure SQL Database. A regra informa ao Banco de dados SQL do Microsoft Azure para aceitar a comunicação de uma sub-rede específica que foi marcada como sendo um ponto de extremidade de serviço de rede virtual.The rule tells your SQL Database to accept communication from a particular subnet that has been tagged as being a Virtual Network service endpoint.

Observação

Se você pretende adicionar um ponto de extremidade de serviço às regras de firewall de VNET do servidor do Banco de Dados SQL do Azure, verifique se os pontos de extremidade de serviço estão Ativados para a sub-rede.If you intend to add a service endpoint to the VNet firewall rules of your Azure SQL Database server, first ensure that service endpoints are turned On for the subnet.

Se os pontos de extremidade de serviço não estão ativados para a sub-rede, o portal pede para você habilitá-los.If service endpoints are not turned on for the subnet, the portal asks you to enable them. Clique no botão Habilitar na mesma folha em que você adicionou a regra.Click the Enable button on the same blade on which you add the rule.

Alternativa do PowerShellPowerShell alternative

Um script do PowerShell também pode criar regras da rede virtual.A PowerShell script can also create virtual network rules. O cmdlet crucial New-AzSqlServerVirtualNetworkRule.The crucial cmdlet New-AzSqlServerVirtualNetworkRule. Se estiver interessado, consulte PowerShell para criar um ponto de extremidade de serviço de rede virtual e regra para o banco de dados SQL do Azure.If interested, see PowerShell to create a Virtual Network service endpoint and rule for Azure SQL Database.

Alternativa de API RESTREST API alternative

Internamente, os cmdlets do PowerShell para ações de VNet do SQL chamam APIs REST.Internally, the PowerShell cmdlets for SQL VNet actions call REST APIs. É possível chamar as APIs REST diretamente.You can call the REST APIs directly.

Pré-requisitosPrerequisites

Você já deve ter uma sub-rede que esteja marcada com o ponto de extremidade de serviço de rede virtual específico nome do tipo relevante para o banco de dados SQL do Azure.You must already have a subnet that is tagged with the particular Virtual Network service endpoint type name relevant to Azure SQL Database.

etapas do portal do AzureAzure portal steps

  1. Entre no Portal do Azure.Sign in to the Azure portal.

  2. Em seguida, navegue até o portal de servidores SQL>Firewall / Redes virtuais.Then navigate the portal to SQL servers > Firewall / Virtual Networks.

  3. Defina o controle Permitir acesso aos serviços do Azure como OFF.Set the Allow access to Azure services control to OFF.

    Importante

    Se você deixar o controle definido como ON, seu servidor de banco de dados SQL do Azure aceitará a comunicação de qualquer sub-rede dentro do limite do Azure, ou seja, proveniente de um dos endereços IP que é reconhecido como aqueles dentro de intervalos definidos para data centers do Azure.If you leave the control set to ON, your Azure SQL Database server accepts communication from any subnet inside the Azure boundary i.e. originating from one of the IP addresses that is recognized as those within ranges defined for Azure data centers. Deixar o controle definido como ON pode ocasionar acesso excessivo de um ponto de vista de segurança.Leaving the control set to ON might be excessive access from a security point of view. O recurso de ponto de extremidade de serviço de rede virtual do Microsoft Azure, em conjunto com o recurso de regra da rede virtual do Banco de dados SQL do Microsoft Azure, pode reduzir a área de superfície de segurança.The Microsoft Azure Virtual Network service endpoint feature, in coordination with the virtual network rule feature of SQL Database, together can reduce your security surface area.

  4. Clique no controle + Adicionar existente, na seção Redes virtuais.Click the + Add existing control, in the Virtual networks section.

    Clique em Adicionar existente (ponto de extremidade de sub-rede, como uma regra SQL).

  5. No novo painel Criar/Atualizar, preencha os controles com os nomes dos recursos do Azure.In the new Create/Update pane, fill in the controls with the names of your Azure resources.

    Dica

    Você deve incluir o prefixo de endereço correto para a sua sub-rede.You must include the correct Address prefix for your subnet. É possível encontrar o valor no portal.You can find the value in the portal. Navegue até Todos os recursos > Todos os tipos > Redes virtuais.Navigate All resources > All types > Virtual networks. O filtro exibe suas redes virtuais.The filter displays your virtual networks. Clique em sua rede virtual e, em seguida, clique em Sub-redes.Click your virtual network, and then click Subnets. A coluna INTERVALO DE ENDEREÇOS tem o prefixo de endereço de que você precisa.The ADDRESS RANGE column has the Address prefix you need.

    Preencha os campos para a nova regra.

  6. Clique no botão OK perto da parte inferior do painel.Click the OK button near the bottom of the pane.

  7. Consulte a regra da rede virtual resultante no painel de firewall.See the resulting virtual network rule on the firewall pane.

    Consulte a nova regra, no painel de firewall.

Observação

O status ou os estados a seguir se aplicam às regras:The following statuses or states apply to the rules:

  • Pronto: indica que a operação que você iniciou foi bem-sucedida.Ready: Indicates that the operation that you initiated has Succeeded.
  • Falha: indica que a operação que você iniciou falhou.Failed: Indicates that the operation that you initiated has Failed.
  • Excluída: só se aplica à operação de exclusão e indica que a regra foi excluída e não se aplica mais.Deleted: Only applies to the Delete operation, and indicates that the rule has been deleted and no longer applies.
  • Em andamento: indica que a operação está em andamento.InProgress: Indicates that the operation is in progress. A regra antiga é aplicável enquanto a operação está nesse estado.The old rule applies while the operation is in this state.

O recurso da regra da rede virtual para o Banco de Dados SQL do Azure se tornou disponível no final de setembro de 2017.The virtual network rule feature for Azure SQL Database became available in late September 2017.

Próximas etapasNext steps