Partilhar via


Tutorial: Conectar-se a um servidor SQL do Azure usando um Ponto de Extremidade Privado do Azure usando o portal do Azure

O ponto de extremidade privado do Azure é o bloco de construção fundamental para o Link Privado no Azure. Ele permite que os recursos do Azure, como máquinas virtuais (VMs), se comuniquem de forma privada e segura com recursos de Link Privado, como o servidor SQL do Azure.

Diagrama de recursos criados no início rápido do ponto de extremidade privado.

Neste tutorial, irá aprender a:

  • Crie uma rede virtual e um host bastião.
  • Cria uma máquina virtual.
  • Crie um servidor SQL do Azure e um ponto de extremidade privado.
  • Teste a conectividade com o ponto de extremidade privado do SQL Server.

Se não tiver uma subscrição do Azure, crie uma conta gratuita antes de começar.

Pré-requisitos

  • Uma subscrição do Azure

Iniciar sessão no Azure

Inicie sessão no portal do Azure.

Criar uma rede virtual e um host do Azure Bastion

O procedimento a seguir cria uma rede virtual com uma sub-rede de recurso, uma sub-rede do Azure Bastion e um host Bastion:

  1. No portal, pesquise e selecione Redes virtuais.

  2. Na página Redes virtuais, selecione + Criar.

  3. Na guia Noções básicas de Criar rede virtual, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione Criar novo.
    Digite test-rg para o nome.
    Selecione OK.
    Detalhes da instância
    Nome Digite vnet-1.
    País/Região Selecione E.U.A. Leste 2.

    Captura de ecrã do separador Noções básicas para criar uma rede virtual no portal do Azure.

  4. Selecione Avançar para prosseguir para a guia Segurança .

  5. Na seção Azure Bastion, selecione Habilitar Azure Bastion.

    Bastion usa seu navegador para se conectar a VMs em sua rede virtual através de Secure Shell (SSH) ou Remote Desktop Protocol (RDP) usando seus endereços IP privados. As VMs não precisam de endereços IP públicos, software cliente ou configuração especial. Para obter mais informações, consulte O que é o Azure Bastion?.

    Nota

    O preço por hora começa a partir do momento em que o Bastion é implantado, independentemente do uso de dados de saída. Para obter mais informações, consulte Preços e SKUs. Se você estiver implantando o Bastion como parte de um tutorial ou teste, recomendamos excluir esse recurso depois de terminar de usá-lo.

  6. No Azure Bastion, insira ou selecione as seguintes informações:

    Definição Value
    Nome do host do Azure Bastion Entre no bastião.
    Endereço IP público do Azure Bastion Selecione Criar um endereço IP público.
    Digite public-ip-bastion em Name.
    Selecione OK.

    Captura de ecrã das opções para ativar um anfitrião do Azure Bastion como parte da criação de uma rede virtual no portal do Azure.

  7. Selecione Avançar para prosseguir para a guia Endereços IP .

  8. Na caixa de espaço de endereço em Sub-redes, selecione a sub-rede padrão .

  9. Em Editar sub-rede, insira ou selecione as seguintes informações:

    Definição Value
    Finalidade da sub-rede Deixe o padrão de Default.
    Nome Digite subnet-1.
    IPv4
    Intervalo de endereços IPv4 Deixe o padrão de 10.0.0.0/16.
    Endereço inicial Deixe o padrão de 10.0.0.0.
    Tamanho Deixe o padrão de /24 (256 endereços).

    Captura de ecrã dos detalhes de configuração de uma sub-rede.

  10. Selecione Guardar.

  11. Selecione Rever + criar na parte inferior da janela. Quando a validação for aprovada, selecione Criar.

Criar máquina virtual de teste

O procedimento a seguir cria uma máquina virtual (VM) de teste chamada vm-1 na rede virtual.

  1. No portal, procure e selecione Máquinas virtuais.

  2. Em Máquinas virtuais, selecione + Criar e, em seguida , Máquina virtual do Azure.

  3. Na guia Noções básicas de Criar uma máquina virtual, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da instância
    Virtual machine name Digite vm-1.
    País/Região Selecione E.U.A. Leste 2.
    Opções de disponibilidade Selecione Sem necessidade de redundância de infraestrutura.
    Tipo de segurança Deixe o padrão de Padrão.
    Image Selecione Ubuntu Server 22.04 LTS - x64 Gen2.
    Arquitetura VM Deixe o padrão de x64.
    Tamanho Selecione um tamanho.
    Conta de administrador
    Authentication type Selecione Senha.
    Username Digite azureuser.
    Palavra-passe Introduza uma palavra-passe.
    Confirme a palavra-passe Reintroduza a palavra-passe.
    Regras de porta de entrada
    Portas de entrada públicas Selecione Nenhuma.
  4. Selecione a guia Rede na parte superior da página.

  5. Insira ou selecione as seguintes informações na guia Rede :

    Definição Value
    Interface de Rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione sub-rede-1 (10.0.0.0/24).
    IP público Selecione Nenhuma.
    Grupo de segurança de rede NIC Selecione Avançadas.
    Configurar grupo de segurança de rede Selecione Criar novo.
    Digite nsg-1 para o nome.
    Deixe o restante nos padrões e selecione OK.
  6. Deixe o restante das configurações nos padrões e selecione Revisar + criar.

  7. Revise as configurações e selecione Criar.

Nota

As máquinas virtuais em uma rede virtual com um host bastion não precisam de endereços IP públicos. Bastion fornece o IP público, e as VMs usam IPs privados para se comunicar dentro da rede. Você pode remover os IPs públicos de qualquer VM em redes virtuais hospedadas por bastion. Para obter mais informações, consulte Dissociar um endereço IP público de uma VM do Azure.

Nota

O Azure fornece um IP de acesso de saída padrão para VMs que não recebem um endereço IP público ou estão no pool de back-end de um balanceador de carga básico interno do Azure. O mecanismo IP de acesso de saída padrão fornece um endereço IP de saída que não é configurável.

O IP de acesso de saída padrão é desativado quando um dos seguintes eventos acontece:

  • Um endereço IP público é atribuído à VM.
  • A VM é colocada no pool de back-end de um balanceador de carga padrão, com ou sem regras de saída.
  • Um recurso do Gateway NAT do Azure é atribuído à sub-rede da VM.

As VMs que você cria usando conjuntos de dimensionamento de máquina virtual no modo de orquestração flexível não têm acesso de saída padrão.

Para obter mais informações sobre conexões de saída no Azure, consulte Acesso de saída padrão no Azure e Usar SNAT (Conversão de Endereço de Rede de Origem) para conexões de saída.

Criar um servidor SQL do Azure e um ponto de extremidade privado

Nesta seção, você cria um servidor SQL no Azure.

  1. Na caixa de pesquisa na parte superior do portal, digite SQL. Selecione bancos de dados SQL nos resultados da pesquisa.

  2. Em bancos de dados SQL, selecione + Criar.

  3. Na guia Noções básicas de Criar Banco de Dados SQL, insira ou selecione as seguintes informações:

    Definição Value
    Detalhes do projeto
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Detalhes da base de dados
    Nome da base de dados Digite sql-db.
    Servidor Selecione Criar novo.
    Digite sql-server-1 em Nome do servidor (Os nomes de servidor devem ser exclusivos, substitua sql-server-1 por um valor exclusivo).
    Selecione (EUA) Leste dos EUA 2 em Local.
    Selecione Usar autenticação SQL.
    Introduza um início de sessão e uma palavra-passe de administrador do servidor.
    Selecione OK.
    Quer utilizar o conjunto de bases de dados elásticas SQL? Selecione Não.
    Ambiente de carga de trabalho Deixe o padrão de Produção.
    Redundância de armazenamento de cópias de segurança
    Redundância de armazenamento de cópias de segurança Selecione Armazenamento de backup com redundância local.
  4. Selecione Next: Networking.

  5. Na guia Rede de Criar Banco de Dados SQL, insira ou selecione as seguintes informações:

    Definição Value
    Conectividade de rede
    Método de conectividade Selecione Ponto de extremidade privado.
    Pontos Finais Privados
    Selecione +Adicionar ponto de extremidade privado.
    Criar ponto de extremidade privado
    Subscrição Selecione a sua subscrição.
    Grupo de recursos Selecione test-rg.
    Location Selecione E.U.A. Leste 2.
    Nome Insira private-endpoint-sql.
    Subrecurso de destino Selecione SqlServer.
    Rede
    Rede virtual Selecione vnet-1.
    Sub-rede Selecione sub-rede-1.
    Integração com DNS privado
    Integrar com zona DNS privada Selecione Yes (Sim).
    Zona DNS Privado Deixe o padrão de privatelink.database.windows.net.
  6. Selecione OK.

  7. Selecione Rever + criar.

  8. Selecione Criar.

Importante

Ao adicionar uma conexão de ponto de extremidade privado, o roteamento público para seu servidor SQL do Azure não é bloqueado por padrão. A configuração "Negar acesso à rede pública" na folha "Firewall e redes virtuais" é deixada desmarcada por padrão. Para desativar o acesso à rede pública, verifique se isso está marcado.

Desativar o acesso público ao servidor lógico do SQL do Azure

Para esse cenário, suponha que você gostaria de desabilitar todo o acesso público ao seu servidor SQL do Azure e permitir apenas conexões de sua rede virtual.

  1. Na caixa de pesquisa na parte superior do portal, digite SQL server. Selecione SQL servers nos resultados da pesquisa.

  2. Selecione sql-server-1.

  3. em Segurança, selecione o separador Rede e, em seguida, selecione Desativar para acesso à rede pública.

  4. Selecione Guardar.

Testar a conectividade com o ponto de extremidade privado

Nesta seção, você usa a máquina virtual criada nas etapas anteriores para se conectar ao servidor SQL através do ponto de extremidade privado.

  1. Na caixa de pesquisa na parte superior do portal, digite Máquina virtual. Selecione Máquinas virtuais nos resultados da pesquisa.

  2. Selecione vm-1.

  3. Em Operações , selecione Bastion.

  4. Digite o nome de usuário e a senha da máquina virtual.

  5. Selecione Ligar.

  6. Para verificar a resolução de nomes do ponto de extremidade privado, digite o seguinte comando na janela do terminal:

    nslookup server-name.database.windows.net
    

    Você recebe uma mensagem semelhante ao exemplo a seguir. O endereço IP retornado é o endereço IP privado do ponto de extremidade privado.

    Server:    127.0.0.53
    Address:   127.0.0.53#53
    
    Non-authoritative answer:
    sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
    Name:sql-server-8675.privatelink.database.windows.net
    Address: 10.1.0.4
    
  7. Instale as ferramentas de linha de comando do SQL Server em Instale as ferramentas de linha de comando do SQL Server sqlcmd e bcp no Linux. Prossiga com as próximas etapas após a conclusão da instalação.

  8. Use os comandos a seguir para se conectar ao servidor SQL criado nas etapas anteriores.

    • Substitua <server-admin> pelo nome de usuário admin que você inseriu durante a criação do SQL Server.

    • Substitua <admin-password> pela senha admin que você inseriu durante a criação do SQL Server.

    • Substitua sql-server-1 pelo nome do seu servidor SQL.

    sqlcmd -S server-name.database.windows.net -U '<server-admin>' -P '<admin-password>'
    
  9. Um prompt de comando SQL é exibido ao entrar com êxito. Digite exit para sair da ferramenta sqlcmd .

Quando terminar de usar os recursos que criou, você poderá excluir o grupo de recursos e todos os seus recursos.

  1. No portal do Azure, procure e selecione Grupos de recursos.

  2. Na página Grupos de recursos, selecione o grupo de recursos test-rg.

  3. Na página test-rg, selecione Excluir grupo de recursos.

  4. Digite test-rg em Digite o nome do grupo de recursos para confirmar a exclusão e selecione Excluir.

Próximos passos

Neste tutorial, você aprendeu como criar:

  • Rede virtual e host bastião.

  • Máquina virtual.

  • Servidor SQL do Azure com ponto de extremidade privado.

Você usou a máquina virtual para testar a conectividade de forma privada e segura com o servidor SQL através do ponto de extremidade privado.

Como próxima etapa, você também pode estar interessado no aplicativo Web com conectividade privada para o cenário de arquitetura do Banco de Dados SQL do Azure, que conecta um aplicativo Web fora da rede virtual ao ponto de extremidade privado de um banco de dados.