Compartilhar via

Configurar pontos de extremidade público na Instância Gerenciada de SQL do Azure

Aplica-se a:Instância Gerenciada de SQL do Azure

Os pontos de extremidade públicos da Instância Gerenciada de SQL do Azure permitem o acesso a dados à instância gerenciada de SQL de fora da rede virtual. Você pode acessar sua instância gerenciada de SQL de serviços multilocatários do Azure, como o Power BI, o Serviço de Aplicativo do Azure ou uma rede local. Ao utilizar o endpoint público em uma instância gerenciada de SQL, você não precisa usar uma VPN, o que pode ajudar a evitar problemas de taxa de transferência da VPN.

Neste artigo, você aprenderá como:

  • Habilitar ou desabilitar um ponto de extremidade público para sua instância gerenciada de SQL
  • Configurar o NSG (grupo de segurança de rede) da instância gerenciada do SQL para permitir o tráfego para o ponto de extremidade público da instância gerenciada de SQL
  • Obter a string de conexão do ponto de extremidade público da instância gerenciada de SQL

Permissões

Devido à confidencialidade dos dados em uma instância gerenciada de SQL, a configuração para habilitar o ponto de extremidade público da instância gerenciada de SQL requer um processo de duas etapas. Essa medida de segurança segue a separação de direitos (SoD):

  • O administrador da instância gerenciada de SQL precisa habilitar o ponto de extremidade público na instância gerenciada de SQL. O administrador da instância gerenciada de SQL pode ser encontrado na página Visão geral do recurso da instância gerenciada de SQL.
  • Um administrador de rede precisa permitir o tráfego para a instância gerenciada de SQL usando um NSG (grupo de segurança de rede). Para obter mais informações, confira as permissões do grupo de segurança de rede.

Habilitar o ponto de extremidade público

Você pode habilitar o ponto de extremidade público para sua Instância Gerenciada de SQL do Azure usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Para habilitar o ponto de extremidade público para sua Instância Gerenciada de SQL no portal do Azure, siga estas etapas:

  1. Acesse o portal do Azure.
  2. Abra o grupo de recursos com a instância gerenciada de SQL e selecione a instância gerenciada de SQL na qual você deseja configurar o ponto de extremidade público.
  3. Nas configurações de Segurança, selecione a guia Rede.
  4. Na página de configuração de rede virtual, selecione Habilitar e, em seguida, o ícone Salvar para atualizar a configuração.

A captura de tela mostra uma página de rede virtual da instância gerenciada SQL com o ponto de extremidade público habilitado.

Desabilitar o ponto de extremidade público

Você pode desabilitar o ponto de extremidade público para sua Instância Gerenciada de SQL do Azure usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Para desabilitar o ponto de extremidade público usando o portal do Azure, siga estas etapas:

  1. Acesse o portal do Azure.
  2. Abra o grupo de recursos com a instância gerenciada de SQL e selecione a instância gerenciada de SQL na qual você deseja configurar o ponto de extremidade público.
  3. Nas configurações de Segurança, selecione a guia Rede.
  4. Na página de configuração de rede virtual, selecione Desabilitar e, em seguida, o ícone Salvar para atualizar a configuração.

Permitir tráfego de ponto de extremidade público no grupo de segurança de rede

Use o portal do Azure para permitir o tráfego público dentro do grupo de segurança de rede. Siga estas etapas:

  1. Acesse a página Visão geral da Instância Gerenciada de SQL no portal do Azure.

  2. Selecione o link Rede virtual/sub-rede, que leva você para a página Configuração de rede virtual.

    Captura de tela mostra a página Configuração de rede virtual, onde você pode encontrar o valor de rede virtual/sub-rede.

  3. Selecione a guia Sub-redes no painel de configuração da rede virtual e anote o nome do GRUPO DE SEGURANÇA para sua instância gerenciada de SQL.

    A captura de tela mostra a guia Sub-rede, na qual você pode obter o GRUPO DE SEGURANÇA para sua instância gerenciada de SQL.

  4. Volte para o grupo de recursos que contém sua instância gerenciada de SQL. Você deve ver o nome do grupo de segurança de rede indicado anteriormente. Selecione o nome do Grupo de segurança de rede para abrir a página de configuração do Grupo de Segurança de Rede.

  5. Selecione a guia Regras de segurança de entrada e Adicione uma regra que tenha prioridade maior do que a regra deny_all_inbound com as seguintes configurações:

    Configuração Valor sugerido Descrição
    Origem Qualquer endereço IP ou marca de serviço
    • Para serviços do Azure como Power BI, selecione a Marca de serviço de nuvem do Azure
    • Para seu computador ou máquina virtual do Azure, use o endereço IP de NAT
    Intervalos de portas de origem * Deixe isso como * (qualquer), já que as portas de origem geralmente são alocadas dinamicamente e, como tal, imprevisíveis
    Destino Qualquer Deixando o destino como Any para permitir o tráfego na sub-rede da SQL Managed Instance.
    Intervalos de portas de destino 3342 Limite a porta de destino ao valor 3342, que é o ponto de extremidade TDS público da instância gerenciada de SQL
    Protocolo TCP A Instância Gerenciada de SQL usa o protocolo TCP para TDS
    Ação Allow Permitir o tráfego de entrada para a Instância Gerenciada do SQL por meio do ponto de extremidade público
    Prioridade 1300 Verificar se essa regra é de prioridade mais alta do que a regra deny_all_inbound

    A captura de tela mostra as regras de segurança de entrada com sua nova regra public_endpoint_inbound acima da regra deny_all_inbound.

    Observação

    A porta 3342 é usada para conexões de ponto de extremidade público com a instância gerenciada de SQL e não pode ser alterada no momento.

Confirmar se o roteamento está configurado corretamente

Uma rota com o prefixo de endereço 0.0.0.0/0 instrui o Azure como rotear o tráfego destinado a um endereço IP que não esteja dentro do prefixo de endereço de qualquer outra rota na tabela de rotas de uma sub-rede. Quando uma sub-rede é criada, o Azure cria uma rota padrão para o prefixo de endereço 0.0.0.0/0, com o tipo do próximo salto Internet.

Substituir esta rota padrão sem adicionar as rotas necessárias para garantir que o tráfego do ponto de extremidade público é roteado diretamente para a Internet pode causar problemas de roteamento assimétrico, pois o tráfego de entrada não flui por meio do appliance virtual/gateway de rede virtual. Certifique-se de que todo o tráfego que chega à instância gerenciada de SQL pela Internet pública também saia pela Internet pública, adicionando rotas específicas para cada origem ou definindo a rota padrão para o prefixo de endereço 0.0.0.0/0 com Internet como tipo de próximo salto.

Veja mais detalhes sobre o impacto das alterações sobre essa rota padrão no prefixo padrão 0.0.0.0/0.

Obter a cadeia de conexão de ponto de extremidade público

  1. Navegue até a página de configuração da instância gerenciada de SQL que foi habilitada para o endpoint público. Selecione a guia Cadeias de conexão na definição Configurações.

  2. O nome do host do endpoint público vem no formato <mi_name>.public.<dns_zone>.database.windows.net e a porta usada para a conexão é 3342. Veja a seguir um exemplo de uma cadeia de conexão que indica a porta de ponto de extremidade pública que pode ser usada em conexões do SQL Server Management Studio ou do Azure Data Studio: <mi_name>.public.<dns_zone>.database.windows.net,3342

    A captura de tela mostra as cadeias de conexão para os pontos de extremidade públicos e locais da VNet.

Próxima etapa

Usar de forma segura a Instância Gerenciada de SQL do Azure com pontos de extremidade públicos