Azure SQL Yönetilen Örneği'nde genel uç noktaları yapılandırma

  • Makale

Şunlar için geçerlidir:Azure SQL Yönetilen Örneği

Azure SQL Yönetilen Örneği için genel uç noktalar, yönetilen örneğinize sanal ağın dışından veri erişimi sağlar. Yönetilen örneğinize Power BI, Azure App Service veya şirket içi ağ gibi çok kiracılı Azure hizmetlerinden erişebilirsiniz. Yönetilen bir örnekte genel uç noktayı kullanarak VPN kullanmanız gerekmez ve bu da VPN aktarım hızı sorunlarını önlemeye yardımcı olabilir.

Bu makalede şunları öğreneceksiniz:

  • Yönetilen örneğiniz için genel uç noktayı etkinleştirme veya devre dışı bırakma
  • Yönetilen örnek ağ güvenlik grubunuzu (NSG) yönetilen örnek genel uç noktasına giden trafiğe izin verecek şekilde yapılandırın
  • Yönetilen örnek genel uç nokta bağlantı dizesini alma

İzinler

Yönetilen örnekte verilerin duyarlılığı nedeniyle, yönetilen örnek genel uç noktasını etkinleştirmek için yapılandırma iki adımlı bir işlem gerektirir. Bu güvenlik önlemi, görev ayrımlarına (SoD) bağlıdır:

  • Yönetilen örnek yöneticisinin yönetilen örnekte genel uç noktayı etkinleştirmesi gerekir. Yönetilen örnek yöneticisi, yönetilen örnek kaynağınızın Genel Bakış sayfasında bulunabilir.
  • Ağ yöneticisinin bir ağ güvenlik grubu (NSG) kullanarak yönetilen örneğe giden trafiğe izin verebilmesi gerekir. Daha fazla bilgi için ağ güvenlik grubu izinlerini gözden geçirin.

Genel uç noktayı etkinleştirme

Azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak SQL Yönetilen Örneğiniz için genel uç noktayı etkinleştirebilirsiniz.

Azure portalında SQL Yönetilen Örneğinizin genel uç noktasını etkinleştirmek için şu adımları izleyin:

  1. Azure Portal gidin.
  2. Yönetilen örnekle kaynak grubunu açın ve genel uç noktayı yapılandırmak istediğiniz SQL yönetilen örneğini seçin.
  3. Güvenlik ayarlarında Ağ sekmesini seçin.
  4. Sanal ağ yapılandırması sayfasında Etkinleştir'i ve ardından Kaydet simgesini seçerek yapılandırmayı güncelleştirin.

Screenshot shows the Virtual network page of SQL Managed Instance with the Public endpoint enabled.

Genel uç noktayı devre dışı bırakma

Azure portalını, Azure PowerShell'i ve Azure CLI'yı kullanarak SQL Yönetilen Örneğiniz için genel uç noktayı devre dışı bırakabilirsiniz.

Azure portalını kullanarak genel uç noktayı devre dışı bırakmak için şu adımları izleyin:

  1. Azure Portal gidin.
  2. Yönetilen örnekle kaynak grubunu açın ve genel uç noktayı yapılandırmak istediğiniz SQL yönetilen örneğini seçin.
  3. Güvenlik ayarlarında Ağ sekmesini seçin.
  4. Sanal ağ yapılandırması sayfasında Devre dışı bırak'ı ve ardından Kaydet simgesini seçerek yapılandırmayı güncelleştirin.

Ağ güvenlik grubunda genel uç nokta trafiğine izin ver

Ağ güvenlik grubu içinde genel trafiğe izin vermek için Azure portalını kullanın. Şu adımları izleyin:

  1. Azure portalında SQL Yönetilen Örneğinizin Genel Bakış sayfasına gidin.

  2. Sizi Sanal ağ yapılandırma sayfasına götüren Sanal ağ/alt ağ bağlantısını seçin.

    Screenshot shows the Virtual network configuration page where you can find your Virtual network/subnet value.

  3. Sanal ağınızın yapılandırma bölmesinde Alt Ağlar sekmesini seçin ve yönetilen örneğinizin GÜVENLIK GRUBU adını not edin.

    Screenshot shows the Subnet tab, where you can get the SECURITY GROUP for your managed instance.

  4. Yönetilen örneğinizi içeren kaynak grubuna geri dönün. Daha önce belirtilen Ağ güvenlik grubu adını görmeniz gerekir. Ağ Güvenlik Grubu yapılandırma sayfasını açmak için Ağ güvenlik grubu adını seçin.

  5. Gelen güvenlik kuralları sekmesini seçin ve Aşağıdaki ayarlarla deny_all_inbound kuralından daha yüksek önceliğe sahip bir kural ekleyin:

    Ayar Önerilen değer Description
    Kaynak Herhangi bir IP adresi veya Hizmet etiketi
    • Power BI gibi Azure hizmetleri için Azure Bulut Hizmeti Etiketi'ni seçin
    • Bilgisayarınız veya Azure sanal makineniz için NAT IP adresini kullanın
    Kaynak bağlantı noktası aralıkları * Kaynak bağlantı noktaları genellikle dinamik olarak ayrıldığı ve bu nedenle öngörülemeyen olduğu için bunu * (herhangi biri) olarak bırakın
    Hedef Tümü Yönetilen örnek alt a bilgisayarına gelen trafiğe izin vermek için hedefi Herhangi Biri olarak bırakma
    Hedef bağlantı noktası aralıkları 3342 Yönetilen örnek genel TDS uç noktası olan 3342'ye kapsam hedef bağlantı noktası
    Protokol TCP SQL Yönetilen Örneği, TDS için TCP protokollerini kullanır
    Eylem İzin Ver Genel uç nokta üzerinden yönetilen örneğe gelen trafiğe izin ver
    Öncelik 1300 Bu kuralın deny_all_inbound kuralından daha yüksek öncelikli olduğundan emin olun

    Screenshot shows the Inbound security rules with your new public_endpoint_inbound rule above the deny_all_inbound rule.

    Not

    3342 numaralı bağlantı noktası yönetilen örneğe genel uç nokta bağlantıları için kullanılır ve şu anda değiştirilemez.

Yönlendirmenin düzgün yapılandırıldığını onaylayın

Adres ön eki 0.0.0.0/0 olan bir rota, Azure’a bir alt ağın rota tablosundaki başka bir rotanın adres ön eki dahilinde olmayan bir IP adresini hedefleyen trafiği nasıl yönlendireceğini söyler. Bir alt ağ oluşturulduğunda, Azure 0.0.0.0/0 adres ön eki için sonraki atlama türü İnternet olan bir varsayılan yol oluşturur.

Genel uç nokta trafiğinin doğrudan İnternet'e yönlendirildiğinden emin olmak için gerekli yolları eklemeden bu varsayılan yolun geçersiz kılınması, gelen trafik Sanal gereç/Sanal ağ geçidi üzerinden akmadığından asimetrik yönlendirme sorunlarına neden olabilir. Genel İnternet üzerinden yönetilen örneğe ulaşan tüm trafiğin genel İnternet üzerinden geri döndüğünden emin olmak için her kaynak için belirli yollar ekleyin veya varsayılan yolu sonraki atlama türü olarak 0.0.0.0/0 adres ön ekine yeniden ayarlayın .

0.0.0.0/0 adres ön ekinde değişikliklerin bu varsayılan yol üzerindeki etkisi hakkında daha fazla ayrıntıya bakın.

Genel uç nokta bağlantı dizesini alma

  1. Genel uç nokta için etkinleştirilen yönetilen örnek yapılandırma sayfasına gidin. Ayarlar yapılandırması altında Bağlantı dizeleri sekmesini seçin.

  2. Genel uç nokta ana bilgisayar adı mi_name> biçiminde <gelir.genel.<>dns_zone.database.windows.net ve bağlantı için kullanılan bağlantı noktasının 3342 olduğunu. SQL Server Management Studio veya Azure Data Studio bağlantılarında kullanılabilecek genel uç nokta bağlantı noktasını belirten bağlantı dizesinin sunucu değeri örneği aşağıda verilmiştir: <mi_name>.public.<dns_zone>.database.windows.net,3342

    Screenshot shows the connection strings for your public and VNet-local endpoints.

Sonraki adımlar

Azure SQL Yönetilen Örneği'ni genel uç noktayla güvenli bir şekilde kullanma hakkında bilgi edinin.