Genel uç noktalarla güvenli bir şekilde Azure SQL veritabanı yönetilen örneği kullanmaUse an Azure SQL Database managed instance securely with public endpoints

Azure SQL veritabanı yönetilen örnekleri, genel uç noktalarüzerinden Kullanıcı bağlantısı sağlayabilir.Azure SQL Database managed instances can provide user connectivity over public endpoints. Bu makalede, bu yapılandırmanın nasıl daha güvenli hale kullanılacağı açıklanmaktadır.This article explains how to make this configuration more secure.

SenaryolarScenarios

SQL veritabanı yönetilen örneği, sanal ağının içinden bağlantıya izin veren özel bir uç nokta sağlar.A SQL Database managed instance provides a private endpoint to allow connectivity from inside its virtual network. Varsayılan seçenek, maksimum yalıtımı sağlamaktır.The default option is to provide maximum isolation. Ancak, genel uç nokta bağlantısı sağlamanız gereken senaryolar vardır:However, there are scenarios where you need to provide a public endpoint connection:

  • Yönetilen örnek, tek kiracılı hizmet olarak platform (PaaS) teklifleriyle tümleştirmelidir.The managed instance must integrate with multi-tenant-only platform-as-a-service (PaaS) offerings.
  • VPN kullanırken mümkün olandan daha yüksek miktarda veri alışverişi yapmanız gerekir.You need higher throughput of data exchange than is possible when you're using a VPN.
  • Şirket ilkeleri, şirket ağları içinde PaaS 'yi yasaklar.Company policies prohibit PaaS inside corporate networks.

Ortak uç nokta erişimi için yönetilen bir örnek dağıtmaDeploy a managed instance for public endpoint access

Zorunlu olmasa da, genel uç nokta erişimiyle yönetilen bir örnek için ortak dağıtım modeli, örneği ayrılmış bir yalıtılmış sanal ağda oluşturmaktır.Although not mandatory, the common deployment model for a managed instance with public endpoint access is to create the instance in a dedicated isolated virtual network. Bu yapılandırmada, sanal ağ yalnızca sanal küme yalıtımı için kullanılır.In this configuration, the virtual network is used only for virtual cluster isolation. Yönetilen örneğin IP adresi alanının bir kurumsal ağın IP adresi alanıyla örtüştüğü ne olursa olsun.It doesn't matter if the managed instance's IP address space overlaps with a corporate network's IP address space.

Hareket halindeki verileri güvenli hale getirmeSecure data in motion

İstemci sürücüsü şifrelemeyi destekliyorsa, yönetilen örnek veri trafiği her zaman şifrelenir.Managed instance data traffic is always encrypted if the client driver supports encryption. Yönetilen örnek ile diğer Azure sanal makineleri veya Azure hizmetleri arasında gönderilen veriler hiçbir şekilde Azure 'un omurgasını bırakır.Data sent between the managed instance and other Azure virtual machines or Azure services never leaves Azure's backbone. Yönetilen örnek ve şirket içi ağ arasında bağlantı varsa, Azure ExpressRoute 'u Microsoft eşlemesiyle kullanmanızı öneririz.If there's a connection between the managed instance and an on-premises network, we recommend you use Azure ExpressRoute with Microsoft peering. ExpressRoute, verileri genel İnternet üzerinden taşımadan kaçınmanıza yardımcı olur.ExpressRoute helps you avoid moving data over the public internet. Yönetilen örnek özel bağlantısı için yalnızca özel eşleme kullanılabilir.For managed instance private connectivity, only private peering can be used.

Gelen ve giden bağlantıyı kilitleLock down inbound and outbound connectivity

Aşağıdaki diyagramda önerilen güvenlik yapılandırması gösterilmektedir:The following diagram shows the recommended security configurations:

Gelen ve giden bağlantıyı kilitlemek için güvenlik yapılandırması

Yönetilen bir örnek adanmış bir genel uç nokta adresinesahiptir.A managed instance has a dedicated public endpoint address. İstemci tarafı giden güvenlik duvarında ve ağ güvenlik grubu kurallarında, giden bağlantıyı sınırlamak için bu genel uç nokta IP adresini ayarlayın.In the client-side outbound firewall and in the network security group rules, set this public endpoint IP address to limit outbound connectivity.

Yönetilen örneğe giden trafiğin güvenilen kaynaklardan geldiğinden emin olmak için, iyi bilinen IP adreslerine sahip kaynaklardan bağlanmanız önerilir.To ensure traffic to the managed instance is coming from trusted sources, we recommend connecting from sources with well-known IP addresses. 3342 numaralı bağlantı noktasında yönetilen örnek genel uç noktasına erişimi sınırlandırmak için bir ağ güvenlik grubu kullanın.Use a network security group to limit access to the managed instance public endpoint on port 3342.

İstemcilerin şirket içi bir ağdan bağlantı başlatması gerektiğinde, kaynak adresin iyi bilinen bir IP adresi kümesine çevrildiğinden emin olun.When clients need to initiate a connection from an on-premises network, make sure the originating address is translated to a well-known set of IP addresses. Bunu yapmazsanız (örneğin, bir mobil iş gücünün tipik bir senaryo olması halinde), noktadan sıteye VPN bağlantıları ve özel uç noktakullanmanızı öneririz.If you can't do so (for example, a mobile workforce being a typical scenario), we recommend you use point-to-site VPN connections and a private endpoint.

Azure 'dan bağlantı başlatılırsa, trafiğin iyi bilinen bir atanan sanal IP adresinden (örneğin, bir sanal makine) gelmesini öneririz.If connections are started from Azure, we recommend that traffic come from a well-known assigned virtual IP address (for example, a virtual machine). Sanal IP (VIP) adreslerini yönetmeyi daha kolay hale getirmek için genel IP adresi öneklerinikullanmak isteyebilirsiniz.To make managing virtual IP (VIP) addresses easier, you might want to use public IP address prefixes.

Sonraki adımlarNext steps