Azure SQL veritabanı yönetilen örneği 'nde ortak uç noktayı yapılandırmaConfigure public endpoint in Azure SQL Database managed instance

Yönetilen örnek için genel uç nokta, yönetilen örneğiniz için sanal ağdışından veri erişimi sağlar.Public endpoint for a managed instance enables data access to your managed instance from outside the virtual network. Yönetilen örneğinize Power BI, Azure App Service veya şirket içi ağ gibi çok kiracılı Azure hizmetlerinden erişebilirsiniz.You are able to access your managed instance from multi-tenant Azure services like Power BI, Azure App Service, or an on-premise network. Yönetilen bir örnekteki ortak uç noktayı kullanarak, VPN işleme sorunlarından kaçınmanıza yardımcı olabilecek bir VPN kullanmanız gerekmez.By using the public endpoint on a managed instance, you do not need to use a VPN, which can help avoid VPN throughput issues.

Bu makalede aşağıdakileri nasıl yapacağınızı öğreneceksiniz:In this article, you'll learn how to:

  • Azure portal yönetilen örneğiniz için ortak uç noktayı etkinleştirinEnable public endpoint for your managed instance in the Azure portal
  • PowerShell kullanarak yönetilen örneğiniz için ortak uç noktayı etkinleştirmeEnable public endpoint for your managed instance using PowerShell
  • Yönetilen örnek ağ güvenlik grubunuzu yönetilen örnek genel uç noktasına giden trafiğe izin verecek şekilde yapılandırınConfigure your managed instance network security group to allow traffic to the managed instance public endpoint
  • Yönetilen örnek genel uç nokta bağlantı dizesi alObtain the managed instance public endpoint connection string

İzinlerPermissions

Yönetilen örnekteki verilerin duyarlılığı nedeniyle, yönetilen örnek genel uç noktasını etkinleştirme yapılandırması iki adımlı bir işlem gerektirir.Due to the sensitivity of data that is in a managed instance, the configuration to enable managed instance public endpoint requires a two-step process. Bu güvenlik ölçüsü, görev ayrımı (SoD) olarak uyar:This security measure adheres to separation of duties (SoD):

  • Yönetilen örnek üzerinde genel bitiş noktasının etkinleştirilmesi, yönetilen örnek Yöneticisi tarafından yapılmalıdır. Yönetilen örnek Yöneticisi, SQL yönetilen örnek kaynağınızın genel bakış sayfasında bulunabilir.Enabling public endpoint on a managed instance needs to be done by the managed instance admin. The managed instance admin can be found on Overview page of your SQL managed instance resource.
  • Ağ Yöneticisi tarafından gerçekleştirilmesi gereken bir ağ güvenlik grubu kullanılarak trafiğe izin verme. Daha fazla bilgi için bkz. ağ güvenlik grubu izinleri.Allowing traffic using a network security group that needs to be done by a network admin. For more information, see network security group permissions.

Azure portal yönetilen bir örnek için genel uç noktayı etkinleştirmeEnabling public endpoint for a managed instance in the Azure portal

  1. Azure portal şurada başlatın:https://portal.azure.com/.Launch the Azure portal at https://portal.azure.com/.
  2. Yönetilen örnekle birlikte kaynak grubunu açın ve üzerinde genel uç noktasını yapılandırmak istediğiniz SQL yönetilen örneğini seçin.Open the resource group with the managed instance, and select the SQL managed instance that you want to configure public endpoint on.
  3. Güvenlik ayarları ' na, sanal ağ sekmesini seçin.On the Security settings, select the Virtual network tab.
  4. Sanal ağ yapılandırması sayfasında, yapılandırmayı güncelleştirmek için Etkinleştir ' i ve ardından Kaydet simgesini seçin.In the Virtual network configuration page, select Enable and then the Save icon to update the configuration.

mi-VNET-config. png

PowerShell kullanarak yönetilen örnek için genel uç noktayı etkinleştirmeEnabling public endpoint for a managed instance using PowerShell

Ortak uç noktayı etkinleştirEnable public endpoint

Aşağıdaki PowerShell komutlarını çalıştırın.Run the following PowerShell commands. Abonelik KIMLIĞINI abonelik Kimliğinizle değiştirin.Replace subscription-id with your subscription ID. Ayrıca, RG-Name öğesini yönetilen örneğinizin kaynak grubuyla değiştirin ve mı-adını yönetilen örneğinizin adıyla değiştirin.Also replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance.

Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi = $mi | Set-AzSqlInstance -PublicDataEndpointEnabled $true -force

Ortak uç noktayı devre dışı bırakDisable public endpoint

PowerShell kullanarak genel uç noktasını devre dışı bırakmak için aşağıdaki komutu yürütür (Ayrıca, yapılandırdıysanız gelen bağlantı noktası 3342 için NSG 'yi kapatmayı unutmayın):To disable the public endpoint using PowerShell, you would execute the following command (and also do not forget to close the NSG for the inbound port 3342 if you have it configured):

Set-AzSqlInstance -PublicDataEndpointEnabled $false -force

Ağ güvenlik grubunda genel uç nokta trafiğine izin verAllow public endpoint traffic on the network security group

  1. Yönetilen örneğin yapılandırma sayfası hala açıksa genel bakış sekmesine gidin. Aksi takdirde, SQL yönetilen örnek kaynağına geri dönün.If you have the configuration page of the managed instance still open, navigate to the Overview tab. Otherwise, go back to your SQL managed instance resource. Sanal ağ /alt ağ bağlantısını seçin, bu Işlem sizi sanal ağ yapılandırması sayfasına götürür.Select the Virtual network/subnet link, which will take you to the Virtual network configuration page.

    mi-Overview. png

  2. Sanal ağınızın sol Yapılandırma bölmesinde alt ağlar sekmesini seçin ve yönetilen ÖRNEĞINIZIN güvenlik grubunu aklınızda olun.Select the Subnets tab on the left configuration pane of your Virtual network, and make note of the SECURITY GROUP for your managed instance.

    mi-VNET-subnet. png

  3. Yönetilen örneğinizi içeren kaynak grubunuza geri dönün.Go back to your resource group that contains your managed instance. Yukarıda belirtilen ağ güvenlik grubu adını görmeniz gerekir.You should see the Network security group name noted above. Ağ güvenlik grubu yapılandırma sayfasına gidilecek adı seçin.Select the name to go into the network security group configuration page.

  4. Gelen güvenlik kuralları sekmesini seçin ve aşağıdaki ayarlarla deny_all_inbound kuralından daha yüksek önceliğe sahip bir kural ekleyin :Select the Inbound security rules tab, and Add a rule that has higher priority than the deny_all_inbound rule with the following settings:

    AyarSetting Önerilen değerSuggested value AçıklamaDescription
    KaynakSource Herhangi bir IP adresi veya hizmet etiketiAny IP address or Service tag
    • Power BI gibi Azure hizmetleri için Azure Cloud Service etiketini seçinFor Azure services like Power BI, select the Azure Cloud Service Tag
    • Bilgisayarınız veya Azure sanal makinesi için NAT IP adresi kullanınFor your computer or Azure VM, use NAT IP address
    Kaynak bağlantı noktası aralıklarıSource port ranges * Kaynak bağlantı noktaları genellikle dinamik olarak ayrıldığı ve bu şekilde tahmin edilemeyenLeave this to * (any) as source ports are usually dynamically allocated and as such, unpredictable
    HedefineDestination AnyAny Yönetilen örnek alt ağına gelen trafiğe izin vermek için hedeften ayrılmayaLeaving destination as Any to allow traffic into the managed instance subnet
    Hedef bağlantı noktası aralıklarıDestination port ranges 33423342 Yönetilen örnek genel TDS uç noktası olan 3342 öğesine kapsam hedef bağlantı noktasıScope destination port to 3342, which is the managed instance public TDS endpoint
    ProtokolüProtocol TCPTCP Yönetilen örnek TDS için TCP protokolünü kullanırManaged instance uses TCP protocol for TDS
    EylemAction AllowAllow Ortak uç nokta aracılığıyla yönetilen örneğe gelen trafiğe izin verAllow inbound traffic to managed instance through the public endpoint
    ÖncelikPriority 13001300 Bu kuralın deny_all_inbound kuralından daha yüksek öncelikli olduğundan emin olunMake sure this rule is higher priority than the deny_all_inbound rule

    mi-NSG-Rules. png

    Not

    Bağlantı noktası 3342, yönetilen örneğe yönelik genel uç nokta bağlantıları için kullanılır ve bu noktada değiştirilemez.Port 3342 is used for public endpoint connections to managed instance, and cannot be changed at this point.

Yönetilen örnek genel uç nokta bağlantı dizesi alınıyorObtaining the managed instance public endpoint connection string

  1. Genel uç nokta için etkinleştirilen SQL yönetilen örnek yapılandırma sayfasına gidin.Navigate to the SQL managed instance configuration page that has been enabled for public endpoint. Ayarlar Yapılandırması altındaki bağlantı dizeleri sekmesini seçin.Select the Connection strings tab under the Settings configuration.

  2. Genel uç nokta ana bilgisayar adının < mi_name > biçiminde geldiğini unutmayın. Public. < dns_zone >. Database. Windows. net ve bağlantı için kullanılan bağlantı noktası 3342.Note that the public endpoint host name comes in the format <mi_name>.public.<dns_zone>.database.windows.net and that the port used for the connection is 3342.

    mi-public-Endpoint-Conn-String. png

Sonraki adımlarNext steps