إعدادات اتصال Azure Synapse Analytics

تشرح هذه المقالة كيفية تكوين إعدادات الاتصال في Azure Synapse Analytics، بما في ذلك مجموعات SQL المخصصة وتجمعات SQL بدون خادم حيثما كان ذلك مناسبا.

للحصول على سلاسل الاتصال بتجمعات Azure Synapse Analytics، راجع الاتصال ب Synapse SQL.

تختلف إعدادات الاتصال وتجربة بوابة Azure لتجمع SQL المخصص حسب ما إذا كان التجمع يتم نشره في مجموعات SQL مخصصة مستقلة (سابقا SQL DW) أو في مساحة عمل Azure Synapse Analytics. على النقيض من ذلك، تتوفر مجموعات SQL بدون خادم فقط في مساحات عمل Synapse وتتبع نفس إعدادات الاتصال التي تنشأ في مجموعات SQL المخصصة في مساحة العمل.

مجموعات SQL المخصصة وبدون خادم في مساحة العمل

الوصول إلى الشبكة العامة

إشعار

تنطبق هذه الإعدادات على مجموعات SQL المخصصة وتجمعات SQL بدون خوادم التي تم إنشاؤها في مساحة عمل Azure Synapse. هذه التعليمات لا تنطبق على مجموعات SQL المخصصة المرتبطة بتجمع SQL مخصص مستقل (سابقا SQL DW).

يمكنك استخدام ميزة الوصول إلى الشبكة العامة للسماح باتصال الشبكة العامة الواردة بمساحة عمل Azure Synapse.

• عند تعطيلالوصول إلى الشبكات العامة، لا يمكنك الاتصال بمساحة عملك سوى باستخدام نقاط النهاية الخاصة.
• وعند تمكينالوصول إلى الشبكات العامة، يمكنك الاتصال بمساحة عملك باستخدام الشبكات العامة أيضًا. يمكنك إدارة هذه الميزة في أثناء إنشاء مساحة العمل وبعد الإنشاء.

هام

تتوفر هذه الميزة فقط لمساحات عمل Azure Synapse المقترنة بالشبكة الظاهرية المُدارة في Azure Synapse Analytics. ومع ذلك، لا يزال بإمكانك فتح مساحات عملك في Synapse للشبكات العامة بغض النظر عن اقترانها بشبكة ظاهرية مُدارة.

عند تعطيل الوصول إلى الشبكة العامة، لن يتم حظر الوصول إلى وضع GIT في Synapse Studio وتثبيت التغييرات طالما أن المستخدم لديه إذن كاف للوصول إلى مستودع Git المتكامل أو فرع Git المقابل. ومع ذلك، لن يعمل زر النشر لأنه تم حظر الوصول إلى الوضع المباشر بواسطة إعدادات جدار الحماية. عند تعطيل الوصول إلى الشبكة العامة، لا يزال بإمكان وقت تشغيل التكامل المستضاف ذاتيا الاتصال ب Synapse. لا ندعم حاليا إنشاء ارتباط خاص بين وقت تشغيل التكامل المستضاف ذاتيا ولوحة تحكم Synapse.

لن يؤدي تحديد الخيار تعطيل إلى تطبيق أي قواعد جدار حماية قد تقوم بتكوينها. بالإضافة إلى ذلك، ستظهر قواعد جدار الحماية باللون الرمادي في إعداد الشبكة في مدخل Synapse. تتم إعادة تطبيق تكوينات جدار الحماية عند تمكين الوصول إلى الشبكة العامة مرة أخرى.

تلميح

عند العودة إلى التمكين، انتظر لبعض الوقت قبل تحرير قواعد جدار الحماية.

تكوين الوصول إلى الشبكات العامة عند إنشاء مساحة عملك

1. حدد علامة التبويب الشبكات عند إنشاء مساحة العمل في مدخل Azure.

2. ضمن الشبكة الظاهرية المُدارة، حدد تمكين لربط مساحة العمل بالشبكة الظاهرية المُدارة ومنح إذن بالوصول إلى الشبكات العامة.

3. ضمن الوصول إلى الشبكات العامة، حدد تعطيل لرفض وصول الجمهور إلى مساحة العمل. حدد تمكين إذا أردت السماح للجمهور بالوصول إلى مساحة العمل.

   

4. أكمل باقي تدفق إنشاء مساحة العمل.

تكوين الوصول إلى الشبكات العامة بعد إنشاء مساحة العمل

1. حدد مساحة عملك في Synapse في مدخل Azure.

2. حدد الشبكات من التنقل الأيمن.

3. حدد معطل لرفض وصول الجمهور إلى مساحة العمل. حدد مُمكّن إذا أردت السماح للجمهور بالوصول إلى مساحة العمل.

   

4. عند تعطيل قواعد جدار الحماية، تصبح غير نشطة للإشارة إلى أن قواعد جدار الحماية غير متاحة للاستخدام. ويتم الاحتفاظ بتكوينات قاعدة جدار الحماية.

5. حدد حفظ لحفظ التغيير. يُرسل إعلام يؤكد حفظ إعداد الشبكة بنجاح.

الحد الأدنى من إصدار TLS

لا تقبل نقطة نهاية SQL بلا خادم ونقطة نهاية التطوير إلا TLS 1.2 وما فوق.

منذ ديسمبر 2021، مطلوب حد أدنى من TLS 1.2 لتجمعات SQL المخصصة المدارة بمساحة العمل في مساحات عمل Synapse الجديدة. يمكنك رفع هذا المطلب أو خفضه باستخدام الحد الأدنى من TLS REST API لكل من مساحات عمل Synapse الجديدة أو مساحات العمل الموجودة، بحيث يمكن للمستخدمين الذين لا يمكنهم استخدام إصدار عميل TLS أعلى في مساحات العمل الاتصال. يمكن للعملاء أيضاً رفع الحد الأدنى من إصدار TLS لتلبية احتياجاتهم الأمنية.

هام

سيبدأ Azure في إيقاف إصدارات TLS القديمة (TLS 1.0 و1.1) بدءا من نوفمبر 2024. استخدم TLS 1.2 أو أعلى. بعد 31 مارس 2025، لن تتمكن من تعيين الحد الأدنى من إصدار TLS لاتصالات عميل Azure Synapse Analytics أقل من TLS 1.2. بعد هذا التاريخ، ستفشل محاولات تسجيل الدخول من الاتصالات باستخدام إصدار TLS أقل من 1.2. لمزيد من المعلومات، راجع الإعلان: سينتهي دعم Azure ل TLS 1.0 وTLS 1.1.

نهج Azure

نهج Azure لمنع التعديلات على إعدادات الشبكة في مساحة عمل Synapse غير متوفر حاليا.

مجموعات SQL مخصصة مستقلة (سابقا SQL DW)

الشبكات والاتصال

يمكنك تغيير هذه الإعدادات في الخادم المنطقي. يمكن لخادم SQL المنطقي استضافة كل من قواعد بيانات Azure SQL وتجمعات SQL المخصصة المستقلة غير الموجودة في مساحة عمل Azure Synapse Analytics.

هام

تنطبق هذه الإعدادات على تجمعات SQL المخصصة المستقلة (المعروفة سابقا ب SQL DW) المقترنة بالخادم المنطقي، وليس في مساحة عمل Azure Synapse Analytics. لا تنطبق هذه الإرشادات على تجمعات SQL المخصصة في مساحة عمل Azure Synapse analytics.

تغيير الوصول إلى الشبكة العامة

من الممكن تغيير الوصول إلى الشبكة العامة لتجمع SQL المخصص المستقل عبر مدخل Microsoft Azure وAzure PowerShell وAzure CLI.

إشعار

تسري هذه الإعدادات مباشرة بعد تطبيقها. قد يواجه عملاؤك فقدان الاتصال إذا لم يستوفوا متطلبات كل إعداد.

تكوين الوصول العام في مدخل Microsoft Azure

لتمكين الوصول إلى الشبكة العامة للخادم المنطقي الذي يستضيف تجمع SQL المخصص المستقل:

1. انتقل إلى مدخل Microsoft Azure، وانتقل إلى الخادم المنطقي في Azure.
2. ضمن Security، حدد صفحة Networking .
3. اختر علامة التبويب الوصول العام ، ثم قم بتعيين الوصول إلى الشبكة العامة إلى تحديد الشبكات.

من هذه الصفحة، يمكنك إضافة قاعدة شبكة ظاهرية، بالإضافة إلى تكوين قواعد جدار الحماية لنقطة النهاية العامة.

اختر علامة التبويب Private access لتكوين نقطة نهاية خاصة.

تكوين الوصول العام في PowerShell

من الممكن تغيير الوصول إلى الشبكة العامة باستخدام Azure PowerShell.

هام

تحل Az الوحدة النمطية AzureRMمحل . كل التطوير المستقبلي مخصص للوحدة النمطية Az.Sql . يتطلب البرنامج النصي التالي الوحدة النمطية Azure PowerShell.

يوضح البرنامج النصي PowerShell التالي كيفية Get وخاصية Setالوصول إلى الشبكة العامة على مستوى الخادم. توفير كلمة مرور قوية لاستبدالها <strong password> في نموذج البرنامج النصي PowerShell التالي.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

تكوين الوصول العام في Azure CLI

من الممكن تغيير إعدادات الشبكة العامة باستخدام Azure CLI.

يوضح البرنامج النصي CLI التالي كيفية تغيير إعداد الوصول إلى الشبكة العامة في Bash shell:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

رفض الوصول إلى الشبكة العامة

الإعداد الافتراضي للوصول إلى الشبكة العامة هو Disable. يمكن للعملاء اختيار الاتصال بقاعدة بيانات باستخدام نقاط النهاية العامة (مع قواعد جدار الحماية على مستوى الخادم المستندة إلى IP أو مع قواعد جدار حماية الشبكة الظاهرية)، أو نقاط النهاية الخاصة (باستخدام Azure Private Link)، كما هو موضح في نظرة عامة على الوصول إلى الشبكة.

عند تعيين الوصول إلى الشبكة العامة إلى تعطيل، يسمح بالاتصالات من نقاط النهاية الخاصة فقط. سيتم رفض كافة الاتصالات من نقاط النهاية العامة مع رسالة خطأ مشابهة ل:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

عند تعيين الوصول إلى الشبكة العامة إلى تعطيل، سيتم رفض أي محاولات لإضافة أي قواعد جدار حماية أو إزالتها أو تحريرها برسالة خطأ مشابهة لما يلي:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

تأكد من تعيين الوصول إلى الشبكة العامة إلى الشبكات المحددة لتتمكن من إضافة أي قواعد جدار حماية ل Azure Synapse Analytics أو إزالتها أو تحريرها.

إصدار TLS الحد الأدنى

يسمح إعداد الإصدار الأدنى لأمان طبقة النقل (TLS) للعملاء باختيار إصدار TLS المستخدم. من الممكن تغيير الحد الأدنى من إصدار TLS باستخدام مدخل Azure وAzure PowerShell وAzure CLI.

بعد الاختبار للتأكد من أن تطبيقاتك تدعمه، نوصي بتعيين الحد الأدنى من إصدار TLS إلى 1.3. يتضمن هذا الإصدار إصلاحات للثغرات الأمنية في الإصدارات السابقة وهو أعلى إصدار مدعوم من TLS لتجمعات SQL المخصصة المستقلة.

تغييرات الإيقاف القادمة

أعلنت Azure أن الدعم لإصدارات TLS القديمة (TLS 1.0 و1.1) ينتهي في 31 أغسطس 2025. لمزيد من المعلومات، راجع إهمال TLS 1.0 و1.1.

اعتبارا من نوفمبر 2024، لن تتمكن بعد الآن من تعيين الحد الأدنى من إصدار TLS لاتصالات عميل Azure Synapse Analytics أسفل TLS 1.2.

تكوين الحد الأدنى من إصدار TLS

يمكنك تكوين الحد الأدنى من إصدار TLS لاتصالات العميل باستخدام مدخل Azure أو Azure PowerShell أو Azure CLI.

تنبيه

• الإعداد الافتراضي لإصدار TLS الأدنى هو السماح بجميع الإصدارات. بعد فرض إصدار من TLS، لا يمكن العودة إلى الافتراضي.
• قد يتسبب فرض حد أدنى من TLS 1.3 في حدوث مشكلات للاتصالات من العملاء الذين لا يدعمون TLS 1.3 نظرا لعدم دعم جميع برامج التشغيل وأنظمة التشغيل TLS 1.3.

بالنسبة للعملاء الذين لديهم تطبيقات تعتمد على الإصدارات القديمة من TLS، نوصي بتعيين الحد الأدنى من إصدار TLS وفقا لمتطلبات تطبيقاتك. إذا كانت متطلبات التطبيق غير معروفة أو كانت أحمال العمل تعتمد على برامج التشغيل القديمة التي لم تعد يتم الاحتفاظ بها، نوصي بعدم تعيين أي إصدار TLS الحد الأدنى.

لمزيد من المعلومات، راجع اعتبارات TLS للاتصال بقاعدة البيانات.

بعد تعيين الحد الأدنى من إصدار TLS، سيفشل العملاء الذين يستخدمون إصدار TLS أقل من الحد الأدنى لإصدار TLS للخادم في المصادقة، مع ظهور الخطأ التالي:

Error 47072
Login failed with invalid TLS version

إشعار

يتم فرض الحد الأدنى من إصدار TLS في طبقة التطبيق. قد ترجع الأدوات التي تحاول تحديد دعم TLS في طبقة البروتوكول إصدارات TLS بالإضافة إلى الحد الأدنى المطلوب من الإصدار عند التشغيل مباشرة مقابل نقطة النهاية.

تكوين الحد الأدنى من إصدار TLS في مدخل Microsoft Azure

1. انتقل إلى مدخل Microsoft Azure، وانتقل إلى الخادم المنطقي في Azure.
2. ضمن Security، حدد صفحة Networking .
3. اختر علامة التبويب اتصال . حدد الحد الأدنى لإصدار TLS المطلوب لجميع قواعد البيانات المقترنة بالخادم، وحدد حفظ.

تكوين الحد الأدنى من إصدار TLS في PowerShell

من الممكن تغيير الحد الأدنى من إصدار TLS باستخدام Azure PowerShell.

هام

تحل Az الوحدة النمطية AzureRMمحل . كل التطوير المستقبلي مخصص للوحدة النمطية Az.Sql . يتطلب البرنامج النصي التالي الوحدة النمطية Azure PowerShell.

يوضح البرنامج النصي PowerShell التالي كيفية Get خاصية الحد الأدنى لإصدار TLS على مستوى الخادم المنطقي:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

إلى Set الخاصية الحد الأدنى لإصدار TLS على مستوى الخادم المنطقي، استبدل كلمة مرور <strong_password_here_password>مسؤول Sql ب ، ونفذ:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

تكوين الحد الأدنى من إصدار TLS في Azure CLI

من الممكن تغيير الحد الأدنى لإعدادات TLS باستخدام Azure CLI.

هام

تتطلب جميع البرامج النصية في هذا القسم Azure CLI.

يوضح البرنامج النصي CLI التالي كيفية تغيير إعداد الحد الأدنى من إصدار TLS في Bash shell:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

تحديد اتصالات العميل

يمكنك استخدام مدخل Microsoft Azure وسجلات تدقيق SQL لتحديد العملاء الذين يتصلون باستخدام TLS 1.0 و1.0.

في مدخل Microsoft Azure، انتقل إلى Metrics ضمن Monitoring لمورد قاعدة البيانات، ثم قم بالتصفية حسب الاتصالات الناجحةوإصدارات = 1.0 TLS و 1.1:

يمكنك أيضا الاستعلام عن sys.fn_get_audit_file مباشرة داخل قاعدة البيانات لعرض client_tls_version_name في ملف التدقيق.

نهج الاتصال

يتم تعيين نهج الاتصال لـ SQL Synapse في Azure Synapse Analytics إلى افتراضي. لا يمكنك تغيير سياسة الاتصال لمجموعات SQL المخصصة أو بدون خادم في Azure Synapse Analytics.

يمكن لتسجيل الدخول لتجمعات SQL في Azure Synapse Analytics أن تصل إلى أي من عناوين IP الخاصة بالبوابة الفردية أو شبكات عناوين IP الخاصة بالبوابة في منطقة معينة. للاتصال المتسق، اسمح بنسبة استخدام الشبكة من وإلى جميع عناوين IP للبوابة الفردية والشبكات الفرعية لعنوان IP للبوابة في منطقة ما. راجع نطاقات IP Azure وعلامات الخدمة - السحابة العامة للحصول على قائمة بعناوين IP لمنطقتك للسماح بها.

• افتراضي: هذا هو نهج الاتصال الساري على جميع الخوادم بعد الإنشاء إلا إذا قمت بتغيير نهج الاتصال بشكل صريح إلى أو Proxy .Redirect النهج الافتراضي هو:
  • Redirect لكافة اتصالات العميل التي تنشأ داخل Azure (على سبيل المثال، من جهاز Azure الظاهري).
  • Proxy لكافة اتصالات العميل التي تنشأ خارج (على سبيل المثال، الاتصالات من محطة العمل المحلية).
• اعاده توجيه: ينشئ العملاء اتصالات مباشرة بالعقدة التي تستضيف قاعدة البيانات، ما يؤدي إلى تقليل زمن الانتقال وتحسين معدل النقل. لكي تستخدم الاتصالات هذا الوضع، يحتاج العملاء إلى:
  • السماح بالاتصال الصادر من العميل إلى جميع عناوين IP Azure SQL في المنطقة على المنافذ في نطاق 11000 إلى 11999. استخدم علامات الخدمة ل SQL لتسهيل إدارة ذلك. إذا كنت تستخدم Private Link، فشاهد استخدام نهج اتصال إعادة التوجيه مع نقاط النهاية الخاصة لنطاقات المنفذ للسماح بها.
  • السماح بالاتصال الصادر من العميل إلى عناوين IP لبوابة قاعدة بيانات Azure SQL على المنفذ 1433.
  • عند استخدام نهج اتصال إعادة التوجيه، راجع نطاقات IP Azure وعلامات الخدمة - السحابة العامة للحصول على قائمة بعناوين IP لمنطقتك للسماح بها.
• الوكيل: في هذا الوضع، يتم توصيل جميع الاتصالات عبر بوابات قاعدة بيانات Azure SQL، مما يؤدي إلى زيادة زمن الانتقال وتقليل معدل النقل. للاتصالات لاستخدام هذا الوضع، يحتاج العملاء إلى السماح بالاتصال الصادر من العميل إلى عناوين IP لبوابة قاعدة بيانات Azure SQL على المنفذ 1433.
  • عند استخدام نهج اتصال الوكيل، اسمح بعناوين IP لمنطقتك من قائمة عناوين IP للبوابة.

المحتوى ذو الصلة

• قواعد جدار حماية AZURE Synapse Analytics IP
• ما الفرق بين Azure Synapse (المعروف سابقا ب SQL DW) ومساحة عمل Azure Synapse Analytics
• ما هو خادم SQL المنطقي في قاعدة بيانات Azure SQL وAzure Synapse؟