Firewallkonfiguration für SQL Server- Machine Learning Services
Gilt für:
SQL Server 2016 (13.x) und höhere Versionen
In diesem Artikel werden die Überlegungen zur Firewallkonfiguration aufgeführt, die der Administrator oder Architekt bei der Verwendung der SQL Server Machine Learning Services berücksichtigen sollte.
Standardregeln für die Firewall
Standardmäßig werden ausgehende Verbindungen im Rahmen des SQL Server-Setups durch Erstellen von Firewallregeln deaktiviert.
In SQL Server 2016 und 2017 basieren diese Regeln auf lokalen Benutzerkonten, bei denen im Rahmen des Setups eine Ausgangsregel für SQLRUserGroup erstellt wurde, die für die Mitglieder den Netzwerkzugriff verweigert hat (jedes Workerkonto wurde gemäß der Regel als lokales Prinzip aufgeführt). Weitere Informationen zu SQLRUserGroup finden Sie unter Sicherheitsübersicht für das Erweiterbarkeitsframework in SQL Server-Machine Learning Services.
In SQL Server 2019 gibt es aufgrund des Wechsels zu AppContainer neue Firewallregeln, die auf AppContainer-SIDs basieren: jeweils eine Regel für jede der 20 von SQL Server-Setup erstellten AppContainer. Die Namenskonvention für den Namen der Firewallregel lautet Netzwerkzugriff für AppContainer-00 in SQL Server-Instanz MSSQLSERVER blockieren, wobei 00 für die Nummer des AppContainers (standardmäßig 00-20) steht und MSSQLSERVER der Name der SQL Server-Instanz ist.
Hinweis
Wenn Netzwerkaufrufe erforderlich sind, können Sie die Ausgangsregeln in der Windows-Firewall deaktivieren.
Einschränken des Netzwerkzugriffs
Bei einer empfohlenen Installation wird eine Windows-Firewallregel dazu verwendet, alle ausgehenden Netzwerkzugriffe durch externe Laufzeitprozesse zu blockieren. Firewallregeln sollten erstellt werden, um die externen Laufzeitprozesse daran zu hindern, Pakete herunterzuladen oder andere Netzwerke aufzurufen, die potenziell böswillig sein können.
Wenn Sie ein anderes Firewallprogramm verwenden, können Sie ebenfalls Regeln erstellen, um ausgehende Netzwerkverbindungen für die Laufzeitprozesse zu blockieren. Sie erreichen dies, indem Sie Regeln für die lokalen Benutzerkonten oder für die durch den Benutzerkontenpool dargestellte Gruppe festlegen.
Wir empfehlen Ihnen nachdrücklich, die Windows-Firewall (oder eine andere Firewall Ihrer Wahl) zu aktivieren, um den uneingeschränkten Netzwerkzugriff durch R- oder Python-Laufzeitprozesse zu verhindern.
Nächste Schritte
Konfigurieren der Windows-Firewall für eingehende Verbindungen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für