Verbindungsarchitektur von Azure SQL-Datenbank und Azure Synapse Analytics
Gilt für: 
Azure SQL-Datenbank Azure Synapse Analytics (nur dedizierte SQL-Pools)
In diesem Artikel wird die Architektur verschiedener Komponenten erläutert, die den Netzwerkdatenverkehr an einen Server in Azure SQL-Datenbank oder dedizierte SQL-Pools in Azure Synapse Analytics weiterleiten. Außerdem werden andere Verbindungsrichtlinien und ihre Auswirkung auf Clients beschrieben, die eine Verbindung innerhalb und außerhalb von Azure herstellen.
- Informationen zu Verbindungszeichenfolge zu Azure SQL-Datenbank finden Sie unter Verbinden und Abfragen zum Azure SQL-Datenbank.
- Verbindungszeichenfolgen zu Azure Synapse Analytics-Pools finden Sie unter Verbinden mit Synapse SQL.
- Informationen zu den Einstellungen, die die Konnektivität mit dem logischen Server für Azure SQL-Datenbank und dedizierten SQL-Pools in Azure Synapse Analytics steuern, finden Sie unter Verbindungseinstellungen.
- Dieser Artikel gilt nicht für Azure SQL Managed Instance. Weitere Informationen finden Sie unter Konnektivitätsarchitektur für Azure SQL Managed Instance.
Verbindungsarchitektur
Das folgende Diagramm bietet einen allgemeinen Überblick über die Verbindungsarchitektur.
In den folgenden Schritten wird das Herstellen einer Verbindung mit einer Azure SQL-Datenbank-Instanz beschrieben:
- Clients stellen eine Verbindung mit dem Gateway her, das über eine öffentliche IP-Adresse verfügt und an Port 1433 lauscht.
- Je nach effektiver Verbindungsrichtlinie leitet das Gateway den Datenverkehr an den richtigen Datenbankcluster um oder fungiert als Proxy.
- Innerhalb des Datenbankclusters wird der Datenverkehr an die entsprechende Datenbank weitergeleitet.
Verbindungsrichtlinie
Server in SQL-Datenbank und dedizierte SQL-Pools (vormals SQL DW) in Azure Synapse unterstützen diese drei Optionen zum Festlegen der Verbindungsrichtlinie des Servers.
Hinweis
Die Verbindungsrichtlinie für dedizierte SQL-Pools (vormals SQL DW) in Azure Synapse Analytics ist auf Standard festgelegt. Sie können dies für dedizierte SQL-Pools in Synapse-Arbeitsbereichen nicht ändern.
- Umleiten (empfohlen): Clients stellen Verbindungen direkt mit dem Knoten her, der die Datenbank hostet. Dies führt zu geringerer Latenz und verbessertem Durchsatz. Damit dieser Modus bei Verbindungen verwendet wird, müssen Clients:
- Ausgehende Kommunikation zwischen dem Client und allen IP-Adressen für Azure SQL in der Region an Ports im Bereich zwischen 11000 und 11999 zulassen. die Diensttags für SQL verwenden, um die Verwaltung zu vereinfachen. Wenn Sie eine private Verbindung verwenden, finden Sie die zuzulassenden Portbereiche unter Verwenden der Umleitungsverbindungsrichtlinie für private Endpunkte.
- die ausgehende Kommunikation zwischen dem Client und den IP-Adressen des Azure SQL-Datenbank-Gateways an Port 1433 zulassen.
- Wenn Sie die Verbindungsrichtlinie „Redirect“ (Option „Umleiten“) verwenden, beachten Sie die unter Azure-IP-Adressbereiche und -Diensttags: öffentliche Cloud bereitgestellte Liste der für Ihre Region zulässigen IP-Adressen.
- Proxy: In diesem Modus werden alle Verbindungen über die Azure SQL-Datenbank-Gateways geleitet. Dies führt zu höherer Latenz und geringerem Durchsatz. Damit dieser Modus bei Verbindungen verwendet wird, müssen Clients die ausgehende Kommunikation zwischen dem Client und den IP-Adressen des Azure SQL-Datenbank-Gateways an Port 1433 zulassen.
- Wenn Sie die Verbindungsrichtlinie „Proxy“ verwenden, beachten Sie die weiter unten in diesem Artikel bereitgestellte Liste Gateway-IP-Adressen. Darin finden Sie die für Ihre Region zulässigen IP-Adressen.
- Standardwert: Diese Verbindungsrichtlinie ist nach dem Erstellen auf allen Servern aktiv, es sei denn, Sie ändern sie explizit in
ProxyoderRedirect. Die Standardrichtlinie für alle Clientverbindungen, die innerhalb von Azure hergestellt werden (z. B. über einen virtuellen Azure-Computer), istRedirect. Für alle Clientverbindungen, die außerhalb von Azure hergestellt werden (z. B. über Ihre lokale Arbeitsstation), lautet sieProxy.
Es wird empfohlen, die Verbindungsrichtlinie Redirect statt der Verbindungsrichtlinie Proxy zu verwenden, um die niedrigste Latenz und den höchsten Durchsatz zu erzielen. Sie müssen jedoch die zusätzlichen Anforderungen für die Zulassung des Netzwerkverkehrs für die ausgehende Kommunikation erfüllen:
- Wenn es sich bei dem Client um einen virtuellen Azure-Computer handelt, lässt sich dies mithilfe von Netzwerksicherheitsgruppen (NSG) mit Diensttags erreichen.
- Wenn der Client eine Verbindung über eine lokale Arbeitsstation herstellt, müssen Sie sich möglicherweise an den Netzwerkadministrator wenden, um Netzwerkdatenverkehr über die Unternehmensfirewall zuzulassen.
Informationen zum Ändern der Verbindungsrichtlinie finden Sie unter Ändern der Verbindungsrichtlinie.
Verbindung aus Azure
Wenn Sie eine Verbindung aus Azure herstellen, verfügen Ihre Verbindungen standardmäßig über die Verbindungsrichtlinie Redirect. Die Verbindungsrichtlinie Redirect bedeutet, dass nach Aufbau der TCP-Sitzung mit Azure SQL-Datenbank die Clientsitzung an den richtigen Datenbankcluster umgeleitet wird. Dabei wird die virtuelle Ziel-IP von der des Gateways für Azure SQL-Datenbank in die des Clusters geändert. Danach fließen alle nachfolgenden Pakete direkt an den Cluster, wobei das Gateway von Azure SQL-Datenbank umgangen wird. Das folgende Diagramm veranschaulicht diesen Datenverkehrfluss.
Verbindung von außerhalb von Azure
Wenn Sie von außerhalb von Azure eine Verbindung herstellen, verfügen Ihre Verbindungen standardmäßig über die Verbindungsrichtlinie Proxy. Die Richtlinie Proxy bedeutet, dass die TCP-Sitzung über das Gateway von Azure SQL-Datenbank hergestellt wird und dass alle nachfolgenden Pakete über das Gateway fließen. Das folgende Diagramm veranschaulicht diesen Datenverkehrfluss.
Wichtig
Öffnen Sie zusätzlich die TCP-Ports 1434 und 14000 bis 14999, um das Herstellen einer dedizierten Administratorverbindung zu ermöglichen.
Gateway-IP-Adressen
In der folgenden Tabelle sind die einzelnen Gateway-IP-Adressen und Gateway-IP-Adresssubnetze pro Region aufgeführt.
In regelmäßigen Abständen zieht Microsoft einzelne Gateway-IP-Adressen zurück und migriert den Datenverkehr zu Gateway-IP-Adress-Subnetzen, wie unter Migration des Azure SQL-Datenbank-Datenverkehrs zu neueren Gateways beschrieben.
Wir empfehlen unseren Kunden dringend, sich nicht mehr auf einzelne Gateway-IP-Adressen zu verlassen (da diese in Zukunft nicht mehr verwendet werden). Stattdessen kann der Netzwerkverkehr sowohl die einzelnen Gateway-IP-Adressen als auch die Gateway-IP-Adressensubnetze in einer Region erreichen.
Wichtig
Anmeldungen für SQL-Datenbank oder dedizierte SQL-Pools (früher SQL DW) in Azure Synapse können auf jeder der einzelnen Gateway-IP-Adressen oder Gateway-IP-Adresssubnetz in einer Region landen. Lassen Sie für eine konsistente Konnektivität mit Azure SQL-Datenbank oder dedizierten SQL-Pools (früher SQL DW) in Azure Synapse den Netzwerkdatenverkehr an und von allen einzelnen Gateway-IP-Adressen und Gateway-IP-Adresssubnetzen in einer Region zu.
Verwenden Sie die einzelnen Gateway-IP-Adressen und die Gateway-IP-Adresssubnetze in diesem Abschnitt, wenn Sie eine Proxyverbindungsrichtlinie verwenden, um eine Verbindung mit Azure SQL-Datenbank herzustellen. Wenn Sie eine Verbindungsrichtlinie vom Typ „Umleiten“ verwenden, beachten Sie die unter Azure-IP-Adressbereiche und -Diensttags: öffentliche Cloud bereitgestellte Liste der für Ihre Region zulässigen IP-Adressen.
| Regionsname | Gateway-IP-Adressen | Gateway-IP-Adresssubnetze |
|---|---|---|
| Australien, Mitte | 20.36.104.6, 20.36.104.7 | 20.36.105.32/29, 20.53.48.96/27 |
| Australien, Mitte 2 | 20.36.113.0, 20.36.112.6 | 20.36.113.32/29,20.53.56.32/27 |
| Australien (Osten) | 13.75.149.87, 40.79.161.1, 13.70.112.9 | 13.70.112.32/29, 40.79.160.32/29, 40.79.168.32/29, 20.53.46.128/27 |
| Australien, Südosten | 13.73.109.251, 13.77.48.10, 13.77.49.32 | 13.77.49.32/29,104.46.179.160/27 |
| Brasilien, Süden | 191.233.200.14, 191.234.144.16, 191.234.152.3 | 191.233.200.32/29, 191.234.144.32/29, 191.234.152.32/27, 191.234.153.32/27, 191.234.157.136/29 |
| Kanada, Mitte | 52.246.152.0, 20.38.144.1 | 13.71.168.32/29, 20.38.144.32/29, 52.246.152.32/29, 20.48.196.32/27 |
| Kanada, Osten | 40.69.105.9, 40.69.105.10 | 40.69.105.32/29,52.139.106.192/27 |
| USA (Mitte) | 104.208.21.1, 13.89.169.20 | 104.208.21.192/29, 13.89.168.192/29, 52.182.136.192/29, 20.40.228.128/27 |
| China, Osten | 139.219.130.35 | 52.130.112.136/29 |
| China, Osten 2 | 40.73.82.1 | 52.130.120.88/29 |
| China, Norden | 52.130.128.88/29 | |
| China, Norden 2 | 40.73.50.0 | 52.130.40.64/29 |
| Asien, Osten | 13.75.32.4, 13.75.32.14, 20.205.77.200, 20.205.83.224 | 13.75.32.192/29, 13.75.33.192/29, 20.195.72.32/27,20.205.77.176/29, 20.205.77.200/29, 20.205.83.224/29 |
| East US | 40.121.158.30, 40.79.153.12, 40.78.225.32 | 20.42.65.64/29, 20.42.73.0/29, 52.168.116.64/29, 20.62.132.160/29 |
| USA (Ost) 2 | 40.79.84.180, 52.177.185.181, 52.167.104.0, 104.208.150.3, 40.70.144.193 | 104.208.150.192/29, 40.70.144.192/29, 52.167.104.192/29, 20.62.58.128/27 |
| Frankreich, Mitte | 40.79.129.1, 40.79.137.8, 40.79.145.12 | 40.79.136.32/29, 40.79.144.32/29, 40.79.128.32/29, 20.43.47.192/27 |
| Frankreich, Süden | 40.79.177.0, 40.79.177.10, 40.79.177.12 | 40.79.176.40/29, 40.79.177.32/29, 52.136.185.0/27 |
| Deutschland, Westen-Mitte | 51.116.240.0, 51.116.248.0, 51.116.152.0 | 51.116.152.32/29, 51.116.240.32/29, 51.116.248.32/29, 51.116.149.32/27 |
| Deutschland, Norden | 51.116.56.0 | 51.116.57.32/29, 51.116.54.96/27 |
| Indien, Mitte | 104.211.96.159, 104.211.86.30, 104.211.86.31, 40.80.48.32, 20.192.96.32 | 104.211.86.32/29, 20.192.96.32/29, 40.80.48.32/29, 20.192.43.160/29 |
| Indien (Süden) | 104.211.224.146 | 40.78.192.32/29, 40.78.193.32/29, 52.172.113.96/27 |
| Indien, Westen | 104.211.160.80, 104.211.144.4 | 104.211.144.32/29, 104.211.145.32/29, 52.136.53.160/27 |
| Zentralisrael | 20.217.59.248/29, 20.217.91.192/29,20.217.75.192/29 | |
| Norditalien | 4.232.107.184/29, 4.232.195.192/29, 4.232.123.192/29 | |
| Japan, Osten | 40.79.184.8, 40.79.192.5, 13.78.104.32, 40.79.184.32 | 13.78.104.32/29, 40.79.184.32/29, 40.79.192.32/29, 20.191.165.160/27 |
| Japan, Westen | 104.214.148.156, 40.74.97.10 | 40.74.96.32/29, 20.18.179.192/29, 20.189.225.160/27 |
| Korea, Mitte | 52.231.32.42, 52.231.17.22, 52.231.17.23, 20.44.24.32, 20.194.64.33 | 20.194.64.32/29, 20.44.24.32/29, 52.231.16.32/29, 20.194.73.64/27 |
| Korea, Süden | 52.231.151.96 | 52.231.151.96/27, 52.231.151.88/29, 52.147.112.160/27 |
| Malaysia, Süden | 20.17.67.248/29 | |
| USA Nord Mitte | 52.162.104.33, 52.162.105.9 | 52.162.105.200/29, 52.162.105.192/29, 20.49.119.32/27, 20.125.171.192/29 |
| Nordeuropa | 52.138.224.1, 13.74.104.113 | 13.69.233.136/29, 13.74.105.192/29, 52.138.229.72/29, 52.146.133.128/27 |
| Norwegen, Osten | 51.120.96.0, 51.120.96.33, 51.120.104.32, 51.120.208.32 | 51.120.96.32/29, 51.120.104.32/29, 51.120.208.32/29, 51.120.232.192/27 |
| Norwegen, Westen | 51.120.216.0 | 51.120.217.32/29,51.13.136.224/27 |
| Polen, Mitte | 20.215.27.192/29, 20.215.155.248/29,20.215.19.192/29 | |
| Katar, Mitte | 20.21.43.248/29, 20.21.75.192/29, 20.21.67.192/29 | |
| Spanien, Mitte | 68.221.99.184/29, 68.221.154.88/29, 68.221.147.192/29 | |
| Südafrika, Norden | 102.133.152.0, 102.133.120.2, 102.133.152.32 | 102.133.120.32/29, 102.133.152.32/29, 102.133.248.32/29, 102.133.221.224/27 |
| Südafrika, Westen | 102.133.24.0 | 102.133.25.32/29,102.37.80.96/27 |
| USA Süd Mitte | 104.214.16.32, 20.45.121.1, 20.49.88.1 | 20.45.121.32/29, 20.49.88.32/29, 20.49.89.32/29, 40.124.64.136/29, 20.65.132.160/27 |
| Südostasien | 104.43.15.0, 40.78.232.3, 13.67.16.193 | 13.67.16.192/29, 23.98.80.192/29, 40.78.232.192/29, 20.195.65.32/27 |
| Schweden, Mitte | 51.12.224.32/29, 51.12.232.32/29 | |
| Schweden, Süden | 51.12.200.32/29, 51.12.201.32/29 | |
| Schweiz, Norden | 51.107.56.0 | 51.107.56.32/29, 20.208.19.192/29, 51.103.203.192/29, 51.107.242.32/27 |
| Taiwan, Norden | 51.53.107.248/29 | |
| Nordwest-Taiwan | 51.53.187.248/29 | |
| Schweiz, Westen | 51.107.152.0 | 51.107.153.32/29, 51.107.250.64/27 |
| VAE, Mitte | 20.37.72.64 | 20.37.72.96/29, 20.37.73.96/29 |
| Vereinigte Arabische Emirate, Norden | 65.52.248.0 | 40.120.72.32/29, 65.52.248.32/29, 20.38.152.24/29, 20.38.143.64/27 |
| UK, Süden | 51.140.184.11, 51.105.64.0, 51.140.144.36, 51.105.72.32 | 51.105.64.32/29, 51.105.72.32/29, 51.140.144.32/29, 51.143.209.224/27 |
| UK, Westen | 51.141.8.11, 51.140.208.96, 51.140.208.97 | 51.140.208.96/29, 51.140.209.32/29, 20.58.66.128/27 |
| USA, Westen-Mitte | 13.78.145.25, 13.78.248.43, 13.71.193.32, 13.71.193.33 | 13.71.193.32/29, 20.69.0.32/27 |
| Europa, Westen | 104.40.168.105, 52.236.184.163 | 104.40.169.32/29, 13.69.112.168/29, 52.236.184.32/29, 20.61.99.192/27 |
| USA (Westen) | 104.42.238.205, 13.86.216.196 | 13.86.217.224/29, 20.168.163.192/29, 20.66.3.64/27 |
| USA, Westen 2 | 40.78.240.8, 40.78.248.10 | 13.66.136.192/29, 40.78.240.192/29, 40.78.248.192/29, 20.51.9.128/27 |
| USA, Westen 3 | 20.150.168.0, 20.150.184.2 | 20.150.168.32/29, 20.150.176.32/29, 20.150.184.32/29, 20.150.241.128/27 |
Zugehöriger Inhalt
- Informationen zum Ändern der Verbindungsrichtlinie von Azure SQL-Datenbank für einen Server finden Sie unter az sql server conn-policy.
- Weitere Informationen zum Verbindungsverhalten von Azure SQL-Datenbank für Kunden, die ADO.NET 4.5 oder höher verwenden, finden Sie unter Andere Ports als 1433 für ADO.NET 4.5.
- Einen allgemeinen Überblick über die Anwendungsentwicklung finden Sie unter SQL-Datenbankanwendungsentwicklung – Übersicht.
- Weitere Informationen finden Sie unter Azure-IP-Adressbereiche und -Diensttags: öffentliche Cloud.
- Was ist ein logischer SQL-Server in Azure SQL-Datenbank und Azure Synapse?
- Was ist der Unterschied zwischen Azure Synapse (vormals SQL DW) und Azure Synapse Analytics-Arbeitsbereich?