Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
Azure SQL Managed Instance
A Instância Gerenciada SQL do Azure pode fornecer conectividade de usuário sobre pontos de extremidade públicos. Este artigo explica como tornar essa configuração mais segura.
Cenários
A Instância Gerenciada SQL do Azure fornece um ponto de extremidade local de rede virtual para permitir a conectividade de dentro de sua rede virtual. A opção padrão é fornecer isolamento máximo. No entanto, há cenários em que você precisa fornecer uma conexão de ponto de extremidade pública:
- A instância gerenciada SQL deve integrar-se com ofertas de plataforma como serviço (PaaS) somente multilocatário.
- Você precisa de uma taxa de transferência de dados maior do que é possível quando você está usando uma VPN.
- As políticas da empresa proíbem PaaS dentro de redes corporativas.
O ponto de extremidade público sempre usa o tipo de conexão proxy , independentemente da configuração do tipo de conexão.
Implantar uma instância gerenciada SQL para acesso público ao ponto de extremidade
Embora não seja obrigatório, o modelo de implantação comum para uma instância gerenciada SQL com acesso público ao ponto de extremidade é criar a instância em uma rede virtual isolada dedicada. Nessa configuração, a rede virtual é usada apenas para isolamento de cluster virtual. Não importa se o espaço de endereço IP da instância gerenciada SQL se sobrepõe ao espaço de endereço IP de uma rede corporativa.
Proteja os dados em movimento
O tráfego de dados da Instância Gerenciada SQL será sempre criptografado se o driver do cliente oferecer suporte à criptografia. Os dados enviados entre a instância gerenciada do SQL e outras máquinas virtuais ou serviços do Azure nunca saem do backbone do Azure. Se houver uma conexão entre a instância gerenciada do SQL e uma rede local, recomendamos que você use a Rota Expressa do Azure. O ExpressRoute ajuda a evitar a movimentação de dados pela Internet pública. Para conectividade local de instância gerenciada SQL, somente emparelhamento privado pode ser usado.
Bloquear a conectividade de entrada e saída
O diagrama a seguir mostra as configurações de segurança recomendadas:
Uma instância gerenciada SQL tem um endereço de ponto de extremidade público dedicado a um cliente. Esse ponto de extremidade compartilha o endereço IP com o ponto de extremidade de gerenciamento, mas usa uma porta diferente. Semelhante a um ponto de extremidade local de rede virtual, o ponto de extremidade público pode mudar após determinadas operações de gerenciamento. Sempre determine o endereço público do ponto de extremidade resolvendo o registro FQDN do ponto de extremidade. Por exemplo, ao configurar regras de firewall no nível do aplicativo.
Para garantir que o tráfego para a instância gerenciada SQL seja proveniente de fontes confiáveis, recomendamos conectar-se de fontes com endereços IP conhecidos. Use um grupo de segurança de rede para limitar o acesso ao ponto de extremidade público da instância gerenciada SQL na porta 3342.
Quando os clientes precisarem iniciar uma conexão a partir de uma rede local, certifique-se de que o endereço de origem seja traduzido para um conjunto conhecido de endereços IP. Se você não puder fazer isso (por exemplo, uma força de trabalho móvel sendo um cenário típico), recomendamos que você use conexões VPN ponto a site e um ponto de extremidade local de rede virtual.
Se as conexões forem iniciadas a partir do Azure, recomendamos que o tráfego venha de um endereço IP virtual atribuído conhecido (por exemplo, uma máquina virtual). Para facilitar o gerenciamento de endereços IP virtuais (VIP), convém usar prefixos de endereços IP públicos.