Nastavení připojení pro Azure SQL Database a Azure Synapse Analytics
Platí pro:
Azure SQL Database Azure Synapse Analytics (pouze vyhrazené fondy SQL)
Tento článek představuje nastavení, která řídí připojení k serveru pro Azure SQL Database a vyhrazený fond SQL (dříve SQL DW) ve službě Azure Synapse Analytics.
- Další informace o různých komponentách, které směrují zásady síťového provozu a připojení, najdete v tématu Architektura připojení.
- Tento článek se nevztahuje na spravovanou instanci Azure SQL, místo toho si přečtěte téma Připojení aplikace ke službě Azure SQL Managed Instance.
- Tento článek se nevztahuje na vyhrazené fondy SQL v pracovních prostorech Azure Synapse Analytics. Pokyny ke konfiguraci pravidel brány firewall protokolu IP pro Azure Synapse Analytics pro Azure Synapse Analytics s pracovními prostory najdete v pravidlech brány firewall protokolu IP.
Sítě a možnosti připojení
Tato nastavení můžete změnit na logickém serveru. Logický sql server může hostovat databáze Azure SQL i samostatné vyhrazené fondy SQL, které nejsou v pracovním prostoru Azure Synapse Analytics.
Poznámka:
Tato nastavení platí pro databáze Azure SQL a vyhrazené fondy SQL (dříve SQL DW) přidružené k logickému serveru. Tyto pokyny se nevztahují na vyhrazené fondy SQL v pracovním prostoru služby Azure Synapse Analytics.
Změna přístupu k veřejné síti
Přístup k veřejné síti pro službu Azure SQL Database nebo samostatný vyhrazený fond SQL můžete změnit prostřednictvím webu Azure Portal, Azure PowerShellu a Azure CLI.
Poznámka:
Tato nastavení se projeví hned po jejich použití. Vaši zákazníci můžou zaznamenat ztrátu připojení, pokud nesplňují požadavky na každé nastavení.
Povolení přístupu k veřejné síti pro logický server hostující vaše databáze:
- Přejděte na web Azure Portal a přejděte na logický server v Azure.
- V části Zabezpečení vyberte stránku Sítě .
- Zvolte kartu Veřejný přístup a pak nastavte přístup k veřejné síti na Možnost Vybrat sítě.
Na této stránce můžete přidat pravidlo virtuální sítě a také nakonfigurovat pravidla brány firewall pro váš veřejný koncový bod.
Zvolte kartu Privátní přístup a nakonfigurujte privátní koncový bod.
Odepření přístupu k veřejné síti
Výchozí nastavení přístupu k veřejné síti je Zakázat. Zákazníci se můžou k databázi připojit buď pomocí veřejných koncových bodů (s pravidly brány firewall na úrovni protokolu IP nebo s pravidly brány firewall virtuální sítě), nebo privátními koncovými body (pomocí služby Azure Private Link), jak je uvedeno v přehledu přístupu k síti.
Pokud je přístup k veřejné síti nastavený na Zakázat, jsou povolená pouze připojení z privátních koncových bodů. Všechna připojení z veřejných koncových bodů budou odepřena s chybovou zprávou podobnou této:
Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.
Pokud je přístup k veřejné síti nastavený na Zakázat, všechny pokusy o přidání, odebrání nebo úpravu pravidel brány firewall budou odepřeny s chybovou zprávou podobnou této:
Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.
Ujistěte se, že je přístup k veřejné síti nastavený na vybrané sítě , aby bylo možné přidávat, odebírat nebo upravovat všechna pravidla brány firewall pro Azure SQL Database a Azure Synapse Analytics.
Minimální verze protokolu TLS
Nastavení minimální verze protokolu TLS (Transport Layer Security) umožňuje zákazníkům zvolit, kterou verzi protokolu TLS používá jejich databáze SQL. Minimální verzi protokolu TLS je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.
Azure SQL Database v současné době podporuje protokol TLS 1.0, 1.1, 1.2 a 1.3. Nastavení minimální verze protokolu TLS zajišťuje podporu novějších verzí protokolu TLS. Například výběrem protokolu TLS verze 1.1 se zajistí, že se budou přijímat pouze připojení přes protokol TLS 1.1 a 1.2 a připojení přes protokol TLS 1.0 se budou zamítat. Po otestování, že vaše aplikace podporují protokol TLS 1.2, doporučujeme nastavit minimální verzi protokolu TLS na tuto verzi. Tato verze obsahuje opravy ohrožení zabezpečení v předchozích verzích a představuje nejvyšší podporovanou verzi protokolu TLS ve službě Azure SQL Database.
Nadcházející změny vyřazení
Platforma Azure oznámila, že podpora starších verzí TLS (TLS 1.0 a 1.1) končí 31. října 2024. Další informace najdete v tématu Vyřazení protokolu TLS 1.0 a 1.1.
Od listopadu 2024 už nebudete moct nastavit minimální verzi protokolu TLS pro připojení klientů Azure SQL Database a Azure Synapse Analytics pod protokolem TLS 1.2.
Konfigurace minimální verze protokolu TLS
Minimální verzi protokolu TLS pro připojení klientů můžete nakonfigurovat pomocí webu Azure Portal, Azure PowerShellu nebo Azure CLI.
Upozornění
- Výchozí hodnota minimální verze protokolu TLS je povolení všech verzí. Jakmile povolíte vynucování verze protokolu TLS, není možné se vrátit k výchozímu nastavení.
- Vynucení minimálně protokolu TLS 1.3 může způsobit problémy s připojeními z klientů, kteří nepodporují protokol TLS 1.3, protože ne všechny ovladače a operační systémy podporují protokol TLS 1.3.
Zákazníkům s aplikacemi, které se spoléhají na starší verze protokolu TLS, doporučujeme nastavit minimální verzi protokolu TLS podle požadavků konkrétních aplikací. Pokud jsou požadavky na aplikace neznámé nebo úlohy spoléhají na starší ovladače, které už nejsou zachovány, doporučujeme nenastavovat minimální verzi protokolu TLS.
Další informace najdete v tématu Důležité informace o protokolu TLS pro připojení ke službě SQL Database.
Po nastavení minimální verze protokolu TLS se zákazníkům, kteří používají nižší verzi protokolu TLS, než je minimální verze protokolu TLS serveru, nepodaří ověřit s následující chybou:
Error 47072
Login failed with invalid TLS version
Poznámka:
Minimální verze protokolu TLS se vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu protokolu TLS ve vrstvě protokolu, můžou kromě minimální požadované verze při spuštění přímo na koncový bod služby SQL Database vracet i verze PROTOKOLU TLS.
- Přejděte na web Azure Portal a přejděte na logický server v Azure.
- V části Zabezpečení vyberte stránku Sítě .
- Zvolte kartu Připojení. Vyberte minimální verzi protokolu TLS požadovanou pro všechny databáze přidružené k serveru a vyberte Uložit.
Identifikace připojení klientů
Pomocí webu Azure Portal a protokolů auditu SQL můžete identifikovat klienty, kteří se připojují pomocí protokolu TLS 1.0 a 1.0.
Na webu Azure Portal přejděte do části Metriky v části Monitorování vašeho databázového prostředku a pak vyfiltrujte úspěšná připojení a verze1.0 = PROTOKOLU TLS a:1.1
Můžete také dotazovat sys.fn_get_audit_file přímo v databázi a zobrazit client_tls_version_name tak soubor auditu:
Změna zásad připojení
Zásady připojení určují, jak se zákazníci připojují. Důrazně doporučujeme, aby Redirect zásady připojení přes Proxy zásady připojení byly nejnižší latence a nejvyšší propustnost.
Zásady připojení je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.
Zásady připojení pro logický server je možné změnit pomocí webu Azure Portal.
- Přejděte na Azure Portal. Přejděte na logický server v Azure.
- V části Zabezpečení vyberte stránku Sítě .
- Zvolte kartu Připojení. Zvolte požadované zásady připojení a vyberte Uložit.
