Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Tip
Microsoft Fabric Data Warehouse ist ein relationales Enterprise-Warehouse auf einem Data Lake-Fundament mit zukunftsfähiger Architektur, integrierter KI und neuen Features. Wenn Sie mit Data Warehouse noch nicht vertraut sind, beginnen Sie mit Fabric Data Warehouse. Vorhandene dedizierte SQL-Pool-Workloads können auf Fabric aktualisieren, um neue Funktionen in den Bereichen Data Science, Echtzeitanalyse und Berichterstellung zu nutzen.
Wenn Sie einen neuen logischen Server in Azure Synapse Analytics namens mysqlserver erstellen, blockiert beispielsweise eine Firewall auf Serverebene den gesamten Zugriff auf den öffentlichen Endpunkt für den logical server. Azure Synapse unterstützt IP-Firewallregeln auf Serverebene. Dedizierte SQL-Pools in Azure Synapse Analytics Arbeitsbereichen verwenden keine logischen SQL-Server und verfügen über eine Firewall auf Arbeitsbereichsebene.
- Informationen zu Server- und Datenbank-IP-Firewallregeln in Azure SQL-Datenbank finden Sie unter Azure SQL-Datenbank IP-Firewallregeln
- Informationen zur Netzwerkkonfiguration für Azure SQL Managed Instance finden Sie unter Connect your application to Azure SQL Managed Instance.
Funktionsweise der Firewall
Verbindungsversuche aus dem Internet und Azure müssen die Firewall durchlaufen, bevor sie den Server oder die Datenbank erreichen.
IP-Firewallregeln auf Serverebene
Diese Regeln erlauben es Clients, auf Ihren gesamten Server zuzugreifen, d. h. auf alle vom Server verwalteten Datenbanken. Die Regeln werden in der master Datenbank gespeichert. Die maximale Anzahl von IP-Firewallregeln auf Serverebene für einen Server ist 256. Wenn die Einstellung Allow Azure Services und Ressourcen für den Zugriff auf diesen Server aktiviert ist, wird dies als eine einzelne Firewall-Regel für den Server gewertet.
Sie können IP-Firewallregeln auf Serverebene mithilfe der Azure Portal-, PowerShell- oder Transact-SQL-Anweisungen konfigurieren.
Note
Die maximale Anzahl von IP-Firewallregeln auf Serverebene ist bei der Konfiguration mithilfe des Azure Portals auf 256 beschränkt.
- Wenn Sie das Portal oder PowerShell verwenden möchten, müssen Sie der Besitzer oder ein Mitwirkender des Abonnements sein.
- Um Transact-SQL zu verwenden, müssen Sie eine Verbindung mit der
master-Datenbank als Prinzipalanmeldung auf Serverebene oder als Microsoft Entra Administrator herstellen. (Eine IP-Firewallregel auf Serverebene muss zuerst von einem Benutzer erstellt werden, der über berechtigungen auf Azure Ebene verfügt.)
Note
Standardmäßig ist die Einstellung Azure-Diensten und Ressourcen den Zugriff auf diesen Server zu gestatten im Azure-Portal auf Nein festgelegt.
Empfehlungen zum Festlegen von Firewallregeln
Verwenden Sie IP-Firewallregeln auf Serverebene, wenn Sie über viele Datenbanken verfügen, die dieselben Zugriffsanforderungen haben, und Sie möchten nicht jede Datenbank einzeln konfigurieren.
Verbindungen über das Internet
Wenn ein Computer versucht, eine Verbindung mit Ihrem Server über das Internet herzustellen, überprüft die Firewall zunächst die ursprüngliche IP-Adresse der Anforderung.
- Wenn die Adresse innerhalb eines Bereichs in den IP-Firewallregeln auf Serverebene liegt, wird die Verbindung gewährt.
- IP-Firewallregeln auf Serverebene gelten für alle vom Server verwalteten Datenbanken.
- Wenn sich die Adresse nicht innerhalb eines Bereichs befindet, der sich in einer der IP-Firewallregeln auf Serverebene befindet, schlägt die Verbindungsanforderung fehl.
Permissions
Zum Erstellen und Verwalten von IP-Firewallregeln müssen Sie über eine der folgenden Rollen verfügen:
- in der Rolle SQL Server Mitwirkender
- Rolle SQL-Sicherheits-Manager
- der Besitzer der Ressource
Erstellen und Verwalten von IP-Firewallregeln
Sie erstellen die Firewalleinstellung auf Serverebene mithilfe des portals Azure oder programmgesteuert mithilfe von Azure PowerShell, Azure CLI oder einer Azure REST-API. Sie erstellen und verwalten zusätzliche IP-Firewallregeln auf Serverebene mithilfe dieser Methoden oder Transact-SQL. Azure Synapse unterstützt nur IP-Firewallregeln auf Serverebene. IP-Firewallregeln auf Datenbankebene werden nicht unterstützt.
Tip
Sie können Auditing für Azure Synapse Analytics verwenden, um Firewalländerungen auf Serverebene und Datenbankebene zu überwachen.
Verwenden des Azure Portals zum Verwalten von IP-Firewallregeln auf Serverebene
Um eine IP-Firewallregel auf Serverebene im Azure Portal festzulegen, wechseln Sie zur Seite Overview des logischen Servers.
Wechseln Sie zur Netzwerkseite .
Fügen Sie eine Regel im Abschnitt "Firewallregeln " hinzu, um die IP-Adresse des verwendeten Computers hinzuzufügen, und wählen Sie dann "Speichern" aus. Eine IP-Firewallregel auf Serverebene wird für Ihre aktuelle IP-Adresse erstellt.
Verwenden von Transact-SQL zum Verwalten von IP-Firewallregeln
| Katalogsicht oder gespeicherte Prozedur | Grad | Description |
|---|---|---|
| sp_set_firewall_rule | Server | Erstellt oder aktualisiert IP-Firewallregeln auf Serverebene |
| sp_delete_firewall_rule | Server | Entfernt IP-Firewallregeln auf Serverebene |
Hinzufügen einer IP-Firewallregel auf Serverebene.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Führen Sie die sp_delete_firewall_rule gespeicherte Prozedur aus, um eine IP-Firewallregel auf Serverebene zu löschen. Im folgenden Beispiel wird die Regel ContosoFirewallRulegelöscht:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Verwalten von IP-Firewallregeln auf Serverebene mithilfe von PowerShell
Note
In diesem Artikel wird das Azure Az PowerShell-Modul verwendet, das das empfohlene PowerShell-Modul für die Interaktion mit Azure ist. Informationen zu den ersten Schritten mit dem Az PowerShell-Modul finden Sie unter Install Azure PowerShell. Informationen zum Migrieren zum Az PowerShell-Modul finden Sie unter Migrieren von Azure PowerShell von AzureRM zum Az-Modul.
Important
Das PowerShell-Modul Azure Resource Manager (AzureRM) wurde am 29. Februar 2024 nicht mehr unterstützt. Alle zukünftigen Entwicklungen sollten das Az.Sql-Modul verwenden. Benutzern wird empfohlen, von AzureRM zum Az PowerShell-Modul zu migrieren, um fortgesetzte Unterstützung und Updates sicherzustellen. Das AzureRM-Modul wird nicht mehr verwaltet oder unterstützt. Die Argumente für die Befehle im Az PowerShell-Modul und in den AzureRM-Modulen sind wesentlich identisch. Weitere Informationen zur Kompatibilität finden Sie unter Einführung in das neue Az PowerShell-Modul.
| Cmdlet | Grad | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Server | Gibt Synapse Analytics-Firewallregeln zurück. |
| New-AzSynapseFirewallRule | Server | Erstellt eine Synapse Analytics-Firewallregel. |
| Remove-AzSynapseFirewallRule | Server | Entfernt eine Synapse Analytics-Firewallregel. |
| Update-AzSynapseFirewallRule | Server | Aktualisiert eine Synapse Analytics-Firewallregel. |
Verwalten von IP-Firewallregeln auf Serverebene mithilfe der CLI
| Cmdlet | Grad | Description |
|---|---|---|
| az synapse sql | Verwalten von SQL-Pools. | |
| az synapse workspace firewall-rule | Verwalten der Firewallregeln eines Arbeitsbereichs. |
Informationen zu Firewallregeln auf Arbeitsbereichsebene finden Sie unter:
| Cmdlet | Grad | Description |
|---|---|---|
| az synapse workspace firewall-rule create (Erstellen Sie eine Firewall-Regel für Synapse-Arbeitsbereiche.) | Server | Erstellen einer Firewallregel |
| az synapse workspace firewall-rule delete | Server | Löschen einer Firewallregel |
| az synapse workspace firewall-rule list – Diese Befehlszeile listet alle Firewall-Regeln in einem Synapse-Arbeitsbereich auf. | Server | Alle Firewallregeln auflisten |
| az synapse workspace firewall-rule show | Server | Abrufen einer Firewallregel |
| az synapse workspace firewall-rule update | Server | Aktualisieren einer Firewallregel |
| az synapse workspace firewall-rule wait | Server | Versetzen der CLI in den Wartezustand, bis eine Bedingung einer Firewallregel erfüllt ist |
Im folgenden Beispiel wird CLI verwendet, um eine IP-Firewallregel auf Serverebene in Azure Synapse festzulegen:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Verwalten von IP-Firewallregeln auf Serverebene mithilfe einer REST-API
| Befehl | Description |
|---|---|
| sql Pools | Synapse SQL-Poolverwaltung. |
| IP-Firewallregeln | Verwaltung von Synapse-IP-Firewallregeln |
Grundlegendes zur Latenz von Firewallupdates
Das Serverauthentifizierungsmodell hat eine Latenz von 5 Minuten für alle Änderungen an Sicherheitseinstellungen, es sei denn, die Datenbank ist enthalten und ohne Failoverpartner. Änderungen, die an enthaltenen Datenbanken ohne Failoverpartner vorgenommen wurden, sind sofort möglich. Für enthaltene Datenbanken mit einem Failoverpartner ist jedes Sicherheitsupdate in der primären Datenbank sofort wirksam, die sekundäre Datenbank kann jedoch bis zu 5 Minuten dauern, bis Änderungen berücksichtigt werden.
In der folgenden Tabelle werden die Latenz von Änderungen an Sicherheitseinstellungen basierend auf Datenbanktyp und Failoverkonfiguration beschrieben:
| Authentifizierungsmodell | Failover konfiguriert | Latenz für Änderungen an Sicherheitseinstellungen | Latente Instanzen |
|---|---|---|---|
| Serverauthentifizierung | Ja | 5 Minuten | Alle Datenbanken |
| Serverauthentifizierung | No | 5 Minuten | Alle Datenbanken |
| Enthaltene Datenbank | Ja | 5 Minuten | die sekundäre Datenbank |
| Enthaltene Datenbank | No | nichts | nichts |
Manuelles Aktualisieren von Firewallregeln
Wenn Firewallregeln schneller aktualisiert werden müssen als die Latenz von 5 Minuten, können Sie die Firewallregeln manuell aktualisieren. Melden Sie sich bei der Datenbankinstanz an, für die die Regeln aktualisiert werden müssen, und führen Sie DBCC FLUSHAUTHCACHE aus. Dies führt dazu, dass die Datenbankinstanz den lokalen Cache leeren und Firewallregeln aktualisieren kann.
DBCC FLUSHAUTHCACHE[;]
Firewall-Probleme beheben
Berücksichtigen Sie die folgenden Punkte, wenn sich der Zugriff nicht wie erwartet verhält.
Konfiguration der lokalen Firewall:
Bevor Ihr Computer auf Ihren dedizierten SQL-Pool zugreifen kann, müssen Sie möglicherweise eine Firewall-Ausnahme auf Ihrem Computer für TCP-Port 1433 erstellen. Um Verbindungen innerhalb der Azure Cloudgrenze herzustellen, müssen Sie möglicherweise zusätzliche Ports öffnen.
Netzwerkadressenübersetzung:
Aufgrund der Netzwerkadressenübersetzung (NETWORK Address Translation, NAT) unterscheidet sich die IP-Adresse, die von Ihrem Computer zum Herstellen einer Verbindung mit Azure Synapse Analytics verwendet wird, möglicherweise von der IP-Adresse in den IP-Konfigurationseinstellungen Ihres Computers. So zeigen Sie die IP-Adresse an, die Ihr Computer zum Herstellen einer Verbindung mit Azure verwendet:
- Melden Sie sich beim Portal an.
- Navigieren Sie auf dem Server, der Ihre Datenbank hostet, zur Registerkarte Konfigurieren.
- Die aktuelle Client-IP-Adresse wird im Abschnitt "Zulässige IP-Adressen " angezeigt. Wählen Sie "Hinzufügen" bei "Zulässige IP-Adressen" aus, um diesem Computer den Zugriff auf den Server zu erlauben.
Änderungen an der Zulassungsliste sind noch nicht wirksam geworden:
Es kann bis zu einer fünfminütigen Verzögerung geben, damit Änderungen an der Azure Synapse Analytics Firewallkonfiguration wirksam werden.
Die Anmeldung ist nicht autorisiert oder ein falsches Kennwort wurde verwendet:
Wenn eine Anmeldung nicht über Berechtigungen für den Server verfügt oder das Kennwort falsch ist, wird die Verbindung mit dem Server verweigert. Durch Erstellen einer Firewalleinstellung wird Clients lediglich die Möglichkeit gegeben, eine Verbindung mit dem Server herzustellen. Der Client muss weiterhin die erforderlichen Sicherheitsanmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Azure Synapse Analytics Verbindungseinstellungen.
Dynamische IP-Adresse:
Wenn Sie über eine Internetverbindung mit dynamischer IP-Adresszuweisung verfügen und Probleme beim Passieren der Firewall haben, versuchen Sie Folgendes:
- Erkundigen Sie sich bei Ihrem Internetdienstanbieter nach dem IP-Adressbereich, der den Clientcomputern zugewiesen ist, die auf den Server zugreifen. Fügen Sie diesen IP-Adressbereich als IP-Firewallregel hinzu.
- Verwenden Sie für Ihre Clientcomputer stattdessen eine statische IP-Adressierung. Fügen Sie die IP-Adressen als IP-Firewallregeln hinzu.