Nastavení připojení služby Azure Synapse Analytics

Tento článek vysvětluje, jak nakonfigurovat nastavení připojení ve službě Azure Synapse Analytics, včetně vyhrazených fondů SQL i bezserverových fondů SQL, pokud je to možné.

Pro připojovací řetězce k fondům Azure Synapse Analytics viz Připojení k Synapse SQL.

Nastavení připojení a prostředí webu Azure Portal pro vyhrazené fondy SQL se liší v závislosti na tom, jestli je fond nasazený v samostatných vyhrazených fondech SQL (dříve SQL DW) nebo v pracovním prostoru Azure Synapse Analytics. Naproti tomu bezserverové fondy SQL jsou k dispozici pouze v pracovních prostorech Synapse a dodržují stejná nastavení připojení jako vyhrazené fondy SQL vytvořené v pracovním prostoru.

Vyhrazené a bezserverové fondy SQL v pracovním prostoru

Přístup k veřejné síti

Poznámka:

Tato nastavení platí pro vyhrazené fondy SQL a bezserverové fondy SQL vytvořené v pracovním prostoru Azure Synapse. Tyto pokyny neplatí pro vyhrazené fondy SQL přidružené k samostatnému vyhrazenému fondu SQL (dříve SQL DW).

Pomocí funkce veřejného síťového přístupu můžete povolit příchozí připojení k pracovnímu prostoru Azure Synapse z veřejné sítě.

• Pokud je přístup z veřejné sítě zakázaný, můžete se k pracovnímu prostoru připojit jen pomocí privátních koncových bodů.
• Pokud je přístup z veřejné sítě povolený, můžete se k pracovnímu prostoru připojit i z veřejných sítí. Tuto funkci můžete nastavit při vytváření pracovního prostoru i po jeho vytvoření.

Důležité

Tato funkce je dostupná jen pro pracovní prostory Azure Synapse přidružené ke spravované virtuální síti Azure Synapse Analytics. Pracovní prostory Synapse je však možné otevřít pro veřejnou síť bez ohledu na jejich přidružení ke spravované virtuální síti.

Pokud je přístup k veřejné síti zakázaný, přístup k režimu GIT v Synapse Studiu a změny potvrzení se neblokují, pokud má uživatel dostatečná oprávnění pro přístup k integrovanému úložišti Git nebo příslušné větvi Gitu. Tlačítko publikovat ale nebude fungovat, protože nastavení brány firewall blokuje přístup k živému režimu. Pokud je přístup k veřejné síti zakázaný, místní prostředí Integration Runtime může stále komunikovat se službou Synapse. V současné době nepodporujeme vytvoření privátního propojení mezi místním prostředím Integration Runtime a řídicí rovinou Synapse.

Když vyberete možnost Zakázat, nebudou platit žádná pravidla brány firewall, která byste mohli nakonfigurovat. Pravidla brány firewall se navíc zobrazí šedě v nastavení sítě na portálu Synapse. Konfigurace brány firewall se znovu použijí, když znovu povolíte přístup k veřejné síti.

Návod

Když se vrátíte k nastavení Povolit, chvíli počkejte, než začnete pravidla firewallu upravovat.

Konfigurace veřejného síťového přístupu při vytváření pracovního prostoru

1. Při vytváření pracovního prostoru na webu Azure Portal vyberte kartu Sítě.

2. V části Spravovaná virtuální síť vyberte Povolit, přidružte svůj pracovní prostor ke spravované virtuální síti a povolte přístup z veřejné sítě.

3. V části Veřejný síťový přístup vyberte Zakázat, pokud chcete veřejný přístup k vašemu pracovnímu prostoru znemožnit. Pokud chcete veřejný přístup k danému pracovnímu prostoru povolit, vyberte Povolit.

   

4. Dokončete zbytek toku vytváření pracovního prostoru.

Konfigurace veřejného síťového přístupu po vytvoření pracovního prostoru

1. Vyberte svůj pracovní prostor Synapse na webu Azure Portal.

2. V levé navigační nabídce vyberte Sítě.

3. Výběrem možnosti Zakázáno odepřete veřejný přístup k danému pracovnímu prostoru. Pokud chcete veřejný přístup k danému pracovnímu prostoru povolit, vyberte Povoleno.

   

4. Když jsou zakázána, pravidla firewallu se zobrazí vyšedle, což značí, že pravidla firewallu nejsou aktivní. Konfigurace pravidel firewallu se zachová.

5. Kliknutím na Uložit uložte změny. Oznámení potvrdí, že se nastavení sítě úspěšně uložilo.

Minimální verze protokolu TLS

Koncový bod bezserverového SQL a koncový bod pro vývoj podporují pouze protokol TLS 1.2 nebo novější.

Od prosince 2021 se pro vyhrazené fondy SQL spravovanými pracovním prostorem v nových pracovních prostorech Synapse vyžaduje minimální úroveň protokolu TLS 1.2. Tento požadavek můžete zvýšit nebo snížit pomocí minimálního rozhraní REST API protokolu TLS pro nové pracovní prostory Synapse nebo stávajících pracovních prostorů, takže se uživatelé, kteří nemohou v pracovních prostorech používat vyšší verzi klienta TLS, se můžou připojit. Zákazníci můžou také zvýšit minimální verzi protokolu TLS za účelem splnění požadavků na zabezpečení.

Důležité

Od listopadu 2024 začne Azure vyřadit starší verze TLS (TLS 1.0 a 1.1). Použijte protokol TLS 1.2 nebo vyšší. Po 31. březnu 2025 už nebudete moct nastavit minimální verzi protokolu TLS pro připojení klientů Azure Synapse Analytics pod protokolem TLS 1.2. Po tomto datu se pokusy o přihlášení z připojení používajících verzi TLS nižší než 1.2 nezdaří. Další informace najdete v tématu Oznámení: podpora Azure pro protokol TLS 1.0 a TLS 1.1 skončí.

Azure Policy

Azure policy k zabránění úpravy nastavení sítě v pracovním prostoru Synapse není momentálně dostupná.

Samostatné vyhrazené fondy SQL (dříve SQL DW)

Sítě a možnosti připojení

Tato nastavení můžete změnit na logickém serveru. Logický sql server může hostovat databáze Azure SQL i samostatné vyhrazené fondy SQL, které nejsou v pracovním prostoru Azure Synapse Analytics.

Důležité

Tato nastavení platí pro samostatné vyhrazené fondy SQL (dříve SQL DW) přidružené k logickému serveru, ne v pracovním prostoru Azure Synapse Analytics. Tyto pokyny se nevztahují na vyhrazené fondy SQL v pracovním prostoru služby Azure Synapse Analytics.

Změna přístupu k veřejné síti

Přístup k veřejné síti pro samostatný vyhrazený fond SQL je možné změnit prostřednictvím webu Azure Portal, Azure PowerShellu a Azure CLI.

Poznámka:

Tato nastavení se projeví hned po jejich použití. Vaši zákazníci můžou zaznamenat ztrátu připojení, pokud nesplňují požadavky na každé nastavení.

Konfigurace veřejného přístupu na webu Azure Portal

Povolení přístupu k veřejné síti pro logický server, který je hostitelem samostatného vyhrazeného fondu SQL:

1. Přejděte na web Azure Portal a přejděte na logický server v Azure.
2. V části Zabezpečení vyberte stránku Sítě .
3. Zvolte kartu Veřejný přístup a pak nastavte přístup k veřejné síti na Možnost Vybrat sítě.

Na této stránce můžete přidat pravidlo virtuální sítě a také nakonfigurovat pravidla brány firewall pro váš veřejný koncový bod.

Zvolte kartu Privátní přístup a nakonfigurujte privátní koncový bod.

Konfigurace veřejného přístupu v PowerShellu

Přístup k veřejné síti je možné změnit pomocí Azure PowerShellu.

Důležité

Modul Az nahrazuje AzureRM. Veškerý budoucí vývoj je určený pro modul Az.Sql. Následující skript vyžaduje modul Azure PowerShellu.

Následující skript PowerShellu ukazuje, jak Get a Set vlastnost Veřejný přístup k síti na úrovni serveru. Zadejte silné heslo pro nahrazení <strong password> v následujícím ukázkovém skriptu PowerShellu.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Konfigurace veřejného přístupu v Azure CLI

Nastavení veřejné sítě je možné změnit pomocí Azure CLI.

Následující skript rozhraní příkazového řádku ukazuje, jak změnit nastavení přístupu k veřejné síti v prostředí Bash:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Odepření přístupu k veřejné síti

Výchozí nastavení přístupu k veřejné síti je Zakázat. Zákazníci se můžou k databázi připojit buď pomocí veřejných koncových bodů (s pravidly brány firewall na úrovni protokolu IP nebo s pravidly brány firewall virtuální sítě), nebo privátními koncovými body (pomocí služby Azure Private Link), jak je uvedeno v přehledu přístupu k síti.

Pokud je přístup k veřejné síti nastavený na Zakázat, jsou povolená pouze připojení z privátních koncových bodů. Všechna připojení z veřejných koncových bodů budou odepřena s chybovou zprávou podobnou této:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Pokud je přístup k veřejné síti nastavený na Zakázat, všechny pokusy o přidání, odebrání nebo úpravu pravidel brány firewall budou odepřeny s chybovou zprávou podobnou této:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Ujistěte se, že je přístup k veřejné síti nastavený na vybrané sítě , aby bylo možné přidávat, odebírat nebo upravovat všechna pravidla brány firewall pro Azure Synapse Analytics.

Minimální verze protokolu TLS

Minimální nastavení verze protokolu TLS (Transport Layer Security) umožňuje zákazníkům zvolit, která verze protokolu TLS se používá. Minimální verzi protokolu TLS je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.

Po otestování, jestli vaše aplikace podporují, doporučujeme nastavit minimální verzi protokolu TLS na verzi 1.3. Tato verze zahrnuje opravy ohrožení zabezpečení v předchozích verzích a je nejvyšší podporovanou verzí protokolu TLS pro samostatné vyhrazené fondy SQL.

Nadcházející změny vyřazení

Platforma Azure oznámila, že podpora starších verzí PROTOKOLU TLS (TLS 1.0 a 1.1) končí 31. srpna 2025. Další informace najdete v tématu Vyřazení protokolu TLS 1.0 a 1.1.

Od listopadu 2024 už nebudete moct nastavit minimální verzi protokolu TLS pro připojení klientů Azure Synapse Analytics pod protokolem TLS 1.2.

Konfigurace minimální verze protokolu TLS

Minimální verzi protokolu TLS pro připojení klientů můžete nakonfigurovat pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.

Upozornění

• Výchozí hodnota minimální verze protokolu TLS je povolení všech verzí. Jakmile vynutíte verzi protokolu TLS, není možné se vrátit k výchozímu nastavení.
• Vynucení minimálně protokolu TLS 1.3 může způsobit problémy s připojeními z klientů, kteří nepodporují protokol TLS 1.3, protože ne všechny ovladače a operační systémy podporují protokol TLS 1.3.

Zákazníkům s aplikacemi, které se spoléhají na starší verze protokolu TLS, doporučujeme nastavit minimální verzi protokolu TLS podle požadavků konkrétních aplikací. Pokud jsou požadavky na aplikace neznámé nebo úlohy spoléhají na starší ovladače, které už nejsou zachovány, doporučujeme nenastavovat minimální verzi protokolu TLS.

Další informace najdete v tématu Důležité informace o protokolu TLS pro připojení k databázi.

Po nastavení minimální verze protokolu TLS se zákazníkům, kteří používají nižší verzi protokolu TLS, než je minimální verze protokolu TLS serveru, nepodaří ověřit s následující chybou:

Error 47072
Login failed with invalid TLS version

Poznámka:

Minimální verze protokolu TLS se vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu TLS na úrovni protokolu, můžou při spuštění přímo proti koncovému bodu vracet kromě minimální požadované verze i další verze protokolu TLS.

Konfigurace minimální verze protokolu TLS na webu Azure Portal

1. Přejděte na web Azure Portal a přejděte na logický server v Azure.
2. V části Zabezpečení vyberte stránku Sítě .
3. Zvolte kartu Připojení. Vyberte minimální verzi protokolu TLS požadovanou pro všechny databáze přidružené k serveru a vyberte Uložit.

Konfigurace minimální verze protokolu TLS v PowerShellu

Minimální verzi protokolu TLS je možné změnit pomocí Azure PowerShellu.

Důležité

Modul Az nahrazuje AzureRM. Veškerý budoucí vývoj je určený pro modul Az.Sql. Následující skript vyžaduje modul Azure PowerShellu.

Následující skript PowerShellu ukazuje, jak na úrovni logického serveru použít Get vlastnost Minimální verze protokolu TLS:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Pokud chcete Set na úrovni logického serveru nastavit vlastnost Minimální verze protokolu TLS, nahraďte <strong_password_here_password> svým heslem správce SQL a spusťte:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Konfigurace minimální verze protokolu TLS v Azure CLI

Minimální nastavení protokolu TLS je možné změnit pomocí Azure CLI.

Důležité

Všechny skripty v této části vyžadují Azure CLI.

Následující skript rozhraní příkazového řádku ukazuje, jak změnit nastavení minimální verze protokolu TLS v prostředí Bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identifikace připojení klientů

Pomocí webu Azure Portal a protokolů auditu SQL můžete identifikovat klienty, kteří se připojují pomocí protokolu TLS 1.0 a 1.0.

Na webu Azure Portal přejděte do Metriky pod Monitorováním pro váš databázový prostředek a pak filtrujte podle úspěšných připojení a verzí TLS = a 1.1:

Můžete také dotazovat sys.fn_get_audit_file přímo v databázi a zobrazit client_tls_version_name tak soubor auditu.

Zásady připojení

Zásady připojení pro Synapse SQL v Azure Synapse Analytics jsou nastavené na Výchozí. Ve službě Azure Synapse Analytics nemůžete změnit zásady připojení pro vyhrazené nebo bezserverové fondy SQL.

Přihlašování do fondů SQL ve službě Azure Synapse Analytics mohou být směrována na libovolnou z jednotlivých IP adres brány nebo na podsítě IP adres brány v oblasti. Kvůli konzistentnímu připojení povolte síťový provoz do a ze všech jednotlivých IP adres brány a podsítí IP adres brány v oblasti. Seznam POVOLENÝch IP adres vaší oblasti najdete v rozsahů IP adres Azure a značkách služeb – veřejný cloud.

• Výchozí: Toto je zásada připojení platná pro všechny servery po vytvoření, pokud zásadu připojení výslovně nezměníte na Proxy nebo Redirect. Výchozí zásada je:
  • Redirect pro všechna klientská připojení pocházející z Azure (například z virtuálního počítače Azure).
  • Proxy pro všechna klientská připojení pocházející mimo (například připojení z místní pracovní stanice).
• Přesměrovat: Klienti vytvářejí připojení přímo k uzlu, který je hostitelem databáze, což vede ke snížení latence a vyšší propustnosti. Aby klienti mohli používat tento režim, musí:
  • Povolte odchozí komunikaci z klienta na všechny IP adresy Azure SQL v oblasti na portech v rozsahu 11000 až 11999. K usnadnění správy použijte značky služeb pro SQL. Pokud používáte Private Link, viz Použití zásad přesměrování připojení s privátními koncovými body pro rozsahy portů, které je třeba povolit.
  • Povolte odchozí komunikaci z klienta do IP adres brány služby Azure SQL Database na portu 1433.
  • Pokud používáte zásadu přesměrování připojení, prostudujte si část Rozsahy IP adres Azure a značky služeb – veřejný cloud, kde najdete seznam IP adres vaší oblasti, které je třeba povolit.
• Proxy: V tomto režimu jsou všechna připojení proxyována prostřednictvím bran služby Azure SQL Database, což vede ke zvýšení latence a snížení propustnosti. Aby klienti mohli používat tento režim, musí povolit odchozí komunikaci z klienta do IP adres brány služby Azure SQL Database na portu 1433.
  • Při použití zásady připojení proxy povolte IP adresy vaší oblasti ze seznamu IP adres brány.

Související obsah

• Pravidla firewallu protokolu IP služby Azure Synapse Analytics
• Jaký je rozdíl mezi Azure Synapse (dříve SQL DW) a pracovním prostorem Azure Synapse Analytics
• Co je logický SQL server ve službě Azure SQL Database a Azure Synapse?