إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
نصيحة
Microsoft Fabric Data Warehouse هو مستودع علائقي على نطاق مؤسسي قائم على أساس بحيرة البيانات، مع بنية جاهزة للمستقبل، وذكاء اصطناعي مدمج، وميزات جديدة. إذا كنت جديدا في مستودع البيانات، ابدأ ب Fabric Data Warehouse. يمكن لأحمال عمل تجمع SQL المخصصة الحالية الترقية إلى Fabric للوصول إلى قدرات جديدة في علوم البيانات، والتحليلات اللحظية، والتقارير.
عندما تنشئ خادما منطقيا جديدا في Azure Synapse Analytics يسمى mysqlserver، على سبيل المثال، يمنع جدار الحماية على مستوى الخادم كل الوصول إلى نقطة النهاية العامة ل logical server. يدعم Azure Synapse قواعد جدار حماية IP على مستوى الخادم. مجموعات SQL المخصصة في مساحات Azure Synapse Analytics لا تستخدم خوادم SQL منطقية، ولديها جدار حماية على مستوى مساحة العمل.
- للحصول على معلومات حول قواعد جدار الحماية الخاص بالخوادم وقاعدة البيانات في قاعدة بيانات Azure SQL، راجع قاعدة بيانات Azure SQL قواعد جدار الحماية لبروتوكول الإنترنت
- للحصول على معلومات حول تكوين الشبكة ل مثيل Azure SQL المُدار، راجع ربط تطبيقك ب مثيل Azure SQL المُدار.
كيف يعمل جدار الحماية
يجب أن تمر محاولات الاتصال من الإنترنت وAzure عبر الجدار الناري قبل أن تصل إلى خادمك أو قاعدة بياناتك
قواعد جدار حماية عنوان على مستوى الخادم
تتيح هذه القواعد للعملاء الوصول إلى خادمك بالكامل، أي جميع قواعد البيانات التي يديرها الخادم. يتم تخزين القواعد في master قاعدة البيانات. الحد الأقصى لقواعد جدار الحماية على مستوى الخادم محدود ب 256 لقواعد الخادم. إذا كان لديك إعداد السماح لخدمات وموارد Azure بالوصول إلى هذا الخادم مفعلا، فهذا يعتبر قاعدة جدار حماية واحد للخادم.
يمكنك تكوين قواعد جدار حماية IP على مستوى الخادم باستخدام بوابة Azure أو PowerShell أو عبارات Transact-SQL.
إشعار
الحد الأقصى لقواعد جدار الحماية على مستوى الخادم محدود ب 256 عند التكوين باستخدام بوابة Azure.
- لاستخدام البوابة أو PowerShell، يجب أن تكون مالك الاشتراك أو مساهما بالاشتراك.
- لاستخدام Transact-SQL، يجب عليك الاتصال بقاعدة بيانات
masterكتسجيل دخول رئيسي على مستوى الخادم أو كمسؤول Microsoft Entra. (يجب أولا إنشاء قاعدة جدار حماية IP على مستوى الخادم من قبل مستخدم لديه صلاحيات على مستوى Azure.)
إشعار
افتراضيا، أثناء إنشاء خادم SQL منطقي جديد من بوابة Azure، يتم تعيين إعداد السماح لخدمات Azure والموارد بالوصول إلى هذا الخادم على No.
توصيات لكيفية وضع قواعد جدار الحماية
استخدم قواعد جدار حماية IP على مستوى الخادم عندما يكون لديك العديد من قواعد البيانات التي لها نفس متطلبات الوصول، ولا تريد تكوين كل قاعدة بيانات بشكل منفصل.
الاتصالات من الإنترنت
عندما يحاول الكمبيوتر الاتصال بخادمك من الإنترنت، يقوم الجدار الناري أولا بفحص عنوان IP الأصلي للطلب.
- إذا كان العنوان ضمن نطاق موجود في قواعد جدار حماية IP على مستوى الخادم، يتم منح الاتصال.
- قواعد جدار الحماية لبروتوكول الإنترنت على مستوى الخادم تنطبق على جميع قواعد البيانات التي يديرها الخادم.
- إذا لم يكن العنوان ضمن نطاق موجود في أي من قواعد جدار حماية IP على مستوى الخادم، فإن طلب الاتصال يفشل فيه.
Permissions
لإنشاء وإدارة قواعد جدار حماية IP، تحتاج إلى أحد الأدوار التالية:
- في دور SQL Server المساهم
- في دور مدير أمان SQL
- مالك المورد
إنشاء وإدارة قواعد جدار حماية IP
تنشئ أول إعداد جدار حماية على مستوى الخادم باستخدام بوابة
نصيحة
يمكنك استخدام Auditing for Azure Synapse Analytics لتدقيق تغييرات جدار الحماية على مستوى الخادم وقاعدة البيانات.
استخدم بوابة Azure لإدارة قواعد جدار الحماية الخاص ب IP على مستوى الخادم
لتعيين قاعدة جدار حماية IP على مستوى الخادم في بوابة Azure، اذهب إلى صفحة Overview في خادمك المنطقي.
اذهب إلى صفحة الشبكات .
أضف قاعدة في قسم قواعد جدار الحماية لإضافة عنوان IP للكمبيوتر الذي تستخدمه، ثم اختر الحفظ. يتم إنشاء قاعدة جدار حماية IP على مستوى الخادم لعنوان IP الحالي الخاص بك.
استخدم Transact-SQL لإدارة قواعد جدار حماية IP
| عرض الكتالوج أو إجراء التخزين | المستوى | وصف |
|---|---|---|
| sp_set_firewall_rule | الخادم | ينشئ أو يحدث قواعد جدار الحماية على مستوى الخادم |
| sp_delete_firewall_rule | الخادم | إزالة قواعد جدار حماية IP على مستوى الخادم |
لإضافة قاعدة جدار حماية IP على مستوى الخادم.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
لحذف قاعدة جدار حماية IP على مستوى الخادم، نفذ الإجراء المخزن sp_delete_firewall_rule . المثال التالي يحذف القاعدة ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
استخدم PowerShell لإدارة قواعد جدار حماية IP على مستوى الخادم
إشعار
تستخدم هذه المقالة وحدة Azure Az PowerShell، وهي وحدة PowerShell الموصى بها للتفاعل مع Azure. لبدء استخدام الوحدة النمطية Az PowerShell، راجع تثبيت Azure PowerShell. لتعلم كيفية الترحيل إلى وحدة Az PowerShell، راجع Migrationate Azure PowerShell من AzureRM إلى Az.
مهم
تم إلغاء وحدة PowerShell Azure Resource Manager (AzureRM) في 29 فبراير 2024. يجب أن تستخدم جميع التطويرات المستقبلية وحدة Az.Sql. ينصح المستخدمون بالانتقال من AzureRM إلى وحدة AzureShell لضمان استمرار الدعم والتحديثات. وحدة AzureRM لم تعد مصانة أو مدعومة. الوسائط الخاصة بالأوامر في وحدة Az PowerShell وفي وحدات AzureRM متطابقة إلى حد كبير. لمزيد من المعلومات حول توافقها، راجع تقديم وحدة Az PowerShell الجديدة.
| Cmdlet | المستوى | وصف |
|---|---|---|
| Get-AzSynapseFirewallRule | الخادم | يعيد قواعد جدار الحماية من Synapse Analytics. |
| New-AzSynapseFirewallRule | الخادم | ينشئ قاعدة جدار حماية لSynapse Analytics. |
| Remove-AzSynapseFirewallRule | الخادم | إزالة قاعدة جدار الحماية في Synapse Analytics. |
| Update-AzSynapseFirewallRule | الخادم | تحديث قاعدة جدار الحماية الخاص ب Synapse Analytics. |
استخدم واجهة التحكم (CLI) لإدارة قواعد جدار حماية IP على مستوى الخادم
| Cmdlet | المستوى | وصف |
|---|---|---|
| Az Synapse SQL | إدارة مجموعات SQL. | |
| Az Synapse workspace firewall-rule | إدارة قواعد جدار الحماية في مساحة العمل. |
للاطلاع على قواعد جدار الحماية على مستوى مساحة العمل، انظر:
| Cmdlet | المستوى | وصف |
|---|---|---|
| Az Synapse workspace firewall-rule create | الخادم | إنشاء قاعدة جدار الحماية |
| az synapse workspace firewall-rule delete | الخادم | حذف قاعدة جدار الحماية |
| Az Synapse workspace firewall-rule list | الخادم | ادرج جميع قواعد جدار الحماية |
| az synapse workspace firewall-rule show | الخادم | احصل على قاعدة جدار الحماية |
| az synapse workspace firewall-rule update | الخادم | تحديث قاعدة جدار الحماية |
| az synapse workspace firewall-rule wait | الخادم | ضع مؤشر التحكم في حالة انتظار حتى يتم استيفاء شرط قاعدة جدار الحماية |
المثال التالي يستخدم CLI لتعيين قاعدة جدار حماية IP على مستوى الخادم في Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
استخدم واجهة برمجة تطبيقات REST لإدارة قواعد جدار حماية IP على مستوى الخادم
| القيادة | وصف |
|---|---|
| تجمع SQL | Synapse SQL pool management. |
| قواعد جدار حماية IP | إدارة قواعد جدار الحماية في Synapse Ip. |
فهم زمن استجابة تحديثات الجدار الناري
نموذج مصادقة الخادم له زمن تأخير 5 دقائق لكل التغييرات في إعدادات الأمان، ما لم تكن قاعدة البيانات موجودة وبدون شريك التحويل. التغييرات التي تجرى على قواعد البيانات المحتوى بدون شريك تحويل الفشل تكون فورية. بالنسبة لقواعد البيانات المحتواة التي تحتوي على شريك تجاوز الخطاب، يكون كل تحديث أمني فوريا على قاعدة البيانات الأساسية، لكن قاعدة البيانات الثانوية قد تستغرق حتى 5 دقائق لعكس التغييرات.
الجدول التالي يصف زمن استجابة تغييرات إعدادات الأمان بناء على نوع قاعدة البيانات وتكوين التحويل:
| نموذج المصادقة | تكوين التحويل التلقائي | زمن الاستجابة لتغييرات إعدادات الأمان | الحالات الكامنة |
|---|---|---|---|
| مصادقة الخادم | نعم | 5 دقائق | جميع قواعد البيانات |
| مصادقة الخادم | لا. | 5 دقائق | جميع قواعد البيانات |
| قاعدة بيانات محتوية | نعم | 5 دقائق | قاعدة البيانات الثانوية |
| قاعدة بيانات محتوية | لا. | لا شيء | لا شيء |
تحديث قواعد جدار الحماية يدويا
إذا كنت بحاجة لرؤية تحديثات قواعد جدار الحماية بسرعة أكبر من تأخير 5 دقائق، يمكنك تحديث قواعد جدار الحماية يدويا. سجل الدخول إلى نسخة قاعدة البيانات التي تحتاج إلى تحديث قواعدها، وتشغيل DBCC FLUSHAUTHCACHE. هذا سيؤدي إلى قيام نسخة قاعدة البيانات بتنظيف ذاكرة التخزين المؤقت المحلية وتحديث قواعد الجدار الناري.
DBCC FLUSHAUTHCACHE[;]
استكشاف مشكلة جدار الحماية
ضع في اعتبارك النقاط التالية عندما لا يتصرف الوصول كما تتوقع.
تكوين جدار الحماية المحلي:
قبل أن يتمكن جهازك من الوصول إلى مجموعة SQL المخصصة لديك، قد تحتاج إلى إنشاء استثناء جدار حماية على جهازك لمنفذ TCP 1433. لإجراء اتصالات داخل حدود سحابة Azure، قد تحتاج إلى فتح منافذ إضافية.
ترجمة عناوين الشبكة:
بسبب ترجمة عناوين الشبكة (NAT)، قد يكون عنوان IP الذي يستخدمه جهازك للاتصال ب Azure Synapse Analytics مختلفا عن عنوان IP في إعدادات إعدادات IP الخاص بكمبيورك. لعرض عنوان IP الذي يستخدمه جهازك للاتصال ب Azure:
- سجّل الدخول إلى المدخل.
- اذهب إلى تبويب التكوين في الخادم الذي يستضيف قاعدة بياناتك.
- يتم عرض عنوان IP الحالي للعميل في قسم عناوين IP المسموح بها . اختر إضافة عناوين IP المسموح بها للسماح لهذا الكمبيوتر بالوصول إلى الخادم.
التغييرات في قائمة الصلاحيات لم تدخل حيز التنفيذ بعد:
قد يكون هناك تأخير يصل إلى خمس دقائق لبدء التغييرات في تكوين جدار الحماية Azure Synapse Analytics.
تسجيل الدخول غير مصرح به، أو تم استخدام كلمة مرور خاطئة:
إذا لم يكن تسجيل الدخول يحتوي على أمناصات على الخادم أو كانت كلمة المرور غير صحيحة، يتم رفض الاتصال بالخادم. إنشاء إعداد جدار حماية يمنح العملاء فقط فرصة لمحاولة الاتصال بخادمك. يجب على العميل أن يقدم بيانات الاعتماد الأمنية اللازمة. لمزيد من المعلومات، راجع إعدادات الاتصال Azure Synapse Analytics .
عنوان IP ديناميكي:
إذا كان لديك اتصال إنترنت يستخدم عنونة IP ديناميكية وتواجه صعوبة في المرور عبر جدار الحماية، جرب أحد الحلول التالية:
- اطلب من مزود خدمة الإنترنت الخاص بك نطاق عناوين IP المخصص لأجهزة العميل التي تصل إلى الخادم. أضف نطاق عناوين IP هذا كقاعدة جدار حماية IP.
- الحصول على عنوان IP ثابت بدلاً من ذلك لأجهزة الكمبيوتر للعميل. أضف عناوين IP كقواعد جدار حماية IP.