Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Tip
Microsoft Fabric Data Warehouse es un almacenamiento relacional de escala empresarial en una base de lago de datos, con una arquitectura lista para el futuro, inteligencia artificial integrada y nuevas características. Si no está familiarizado con el almacenamiento de datos, comience con Fabric Data Warehouse. Las cargas de trabajo del grupo dedicado de SQL pueden actualizarse a Fabric para acceder a funcionalidades avanzadas en ciencia de datos, análisis en tiempo real e informes.
Al crear un nuevo servidor lógico en Azure Synapse Analytics denominado mysqlserver, por ejemplo, un firewall de nivel de servidor bloquea todo el acceso al punto de conexión público para el servidor logical. Azure Synapse admite reglas de firewall de IP de nivel de servidor. Los grupos de SQL dedicados de Azure Synapse Analytics áreas de trabajo no usan servidores SQL lógicos y tienen un firewall de nivel de área de trabajo.
- Para obtener información sobre las reglas de firewall de IP de servidor y base de datos en Azure SQL Database, consulte Azure SQL Database reglas de firewall de IP
- Para obtener información sobre la configuración de red para Azure SQL Managed Instance, consulte Conectar la aplicación a Azure SQL Managed Instance.
Funcionamiento del firewall
Los intentos de conexión desde Internet y Azure deben pasar por el firewall antes de que lleguen al servidor o la base de datos.
Reglas de firewall de IP en el nivel de servidor
Estas reglas permiten a los clientes acceder a todo el servidor, es decir, a todas la bases de datos que administra el servidor. Las reglas se almacenan en la master base de datos. El número máximo de reglas de firewall de IP de nivel de servidor se limita a 256 para un servidor. Si tiene habilitada la configuración Permitir que los servicios y recursos de Azure accedan a este servidor, esto cuenta como una única regla de firewall para el servidor.
Puede configurar reglas de firewall de IP de nivel de servidor mediante el portal de Azure, PowerShell o instrucciones Transact-SQL.
Note
El número máximo de reglas de firewall de IP de nivel de servidor se limita a 256 al configurar mediante el portal de Azure.
- Para usar el portal o PowerShell, debe ser propietario o colaborador de la suscripción.
- Para usar Transact-SQL, debe conectarse a la base de datos
mastercomo inicio de sesión principal de nivel de servidor o como administrador de Microsoft Entra. (Un usuario con permisos de nivel Azure debe primero crear una regla de firewall de IP a nivel de servidor).
Note
De forma predeterminada, durante la creación de un nuevo servidor SQL lógico desde el portal de Azure, la configuración Allow Azure Services y recursos para acceder a este servidor se establece en No.
Recomendaciones para establecer reglas de firewall
Use reglas de firewall de IP de nivel de servidor para cuando tenga muchas bases de datos que tengan los mismos requisitos de acceso y no quiera configurar cada base de datos individualmente.
Conexiones desde Internet
Cuando un equipo intenta conectarse al servidor desde Internet, el firewall comprueba primero la dirección IP de origen de la solicitud.
- Si la dirección está incluida en uno de los intervalos de estas reglas, se concede la conexión.
- Las reglas de firewall de IP de nivel de servidor se aplican a todas las bases de datos que administra el servidor.
- Si la dirección no está dentro de un intervalo que se encuentra en ninguna de las reglas de firewall de IP de nivel de servidor, se produce un error en la solicitud de conexión.
Permissions
Para crear y administrar reglas de firewall de IP, debe tener uno de los siguientes roles:
- en el rol de Colaborador de SQL Server
- en el rol Administrador de seguridad de SQL
- el propietario del recurso
Creación y administración de reglas de firewall de IP
Cree la primera configuración de firewall de nivel de servidor mediante el portal Azure o mediante programación mediante Azure PowerShell, CLI de Azure o una API Azure REST. Puede crear y administrar reglas de firewall de IP de nivel de servidor adicionales mediante estos métodos o Transact-SQL. Azure Synapse solo admite reglas de firewall de IP de nivel de servidor. No admite reglas de firewall IP a nivel de base de datos.
Tip
Puede utilizar Auditoría de Azure Synapse Analytics para registrar los cambios en el firewall a nivel de servidor y de base de datos.
Uso del portal de Azure para administrar reglas de firewall de IP de nivel de servidor
Para establecer una regla de firewall de IP de nivel de servidor en el portal de Azure, vaya a la página Overview del servidor lógico.
Vaya a la página Redes .
Agregue una regla en la sección Reglas de firewall para agregar la dirección IP del equipo que usa y, a continuación, seleccione Guardar. Se creará una regla de firewall de IP de nivel de servidor para la dirección IP actual.
Uso de Transact-SQL para administrar reglas de firewall de IP
| Vista de catálogo o procedimiento almacenado | Level | Description |
|---|---|---|
| sp_set_firewall_rule | Server | Crea o actualiza las reglas de firewall de IP de nivel de servidor |
| sp_delete_firewall_rule | Server | Quita las reglas de firewall de IP de nivel de servidor |
Para agregar una regla de firewall de IP de nivel de servidor.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Para eliminar una regla de firewall de IP de nivel de servidor, ejecute el sp_delete_firewall_rule procedimiento almacenado. En el ejemplo siguiente se elimina la regla ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Uso de PowerShell para administrar reglas de firewall de IP de nivel de servidor
Note
En este artículo se utiliza el módulo Azure Az PowerShell, que es el módulo de PowerShell recomendado para interactuar con Azure. Para empezar a trabajar con el módulo Az PowerShell, consulte Instalación de Azure PowerShell. Para obtener información sobre cómo migrar al módulo Az PowerShell, consulte Migración de Azure PowerShell de AzureRM a Az.
Importante
El módulo Azure Resource Manager de PowerShell (AzureRM) ha quedado en desuso el 29 de febrero de 2024. Todo el desarrollo futuro debe usar el módulo Az.Sql. Se recomienda a los usuarios migrar de AzureRM al módulo Az PowerShell para seguir recibiendo soporte técnico y actualizaciones. El módulo AzureRM ya no cuenta con mantenimiento ni soporte. Los argumentos de los comandos del módulo Az PowerShell y en los módulos AzureRM son sustancialmente idénticos. Para obtener más información sobre su compatibilidad, consulte Introducción al nuevo módulo de Az PowerShell.
| Cmdlet | Level | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Server | Devuelve las reglas de firewall de Synapse Analytics. |
| New-AzSynapseFirewallRule | Server | Crea una regla de firewall de Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Server | Quita una regla de firewall de Synapse Analytics. |
| Update-AzSynapseFirewallRule | Server | Actualiza una regla de firewall de Synapse Analytics. |
Uso de la CLI para administrar reglas de firewall de IP de nivel de servidor
| Cmdlet | Level | Description |
|---|---|---|
| az synapse sql | Administrar grupos de SQL. | |
| az synapse workspace firewall-rule | Administrar las reglas de firewall de un área de trabajo. |
Para las reglas de firewall de nivel de área de trabajo, consulte:
| Cmdlet | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Server | Creación de una regla de firewall |
| az synapse workspace firewall-rule delete | Server | Eliminación de una regla de firewall |
| Comando para listar reglas de firewall del espacio de trabajo en Synapse: az synapse workspace firewall-rule list | Server | Enumeración de todas las reglas de firewall |
| az synapse workspace firewall-rule show | Server | Obtener una regla de firewall |
| Comando para actualizar una regla del firewall en el espacio de trabajo de Synapse: az synapse workspace firewall-rule update | Server | Actualización de una regla de firewall |
| az synapse workspace firewall-rule wait | Server | Colocación de la CLI en estado de espera hasta que se cumpla una condición de una regla de firewall |
En el ejemplo siguiente se usa la CLI para establecer una regla de firewall de IP de nivel de servidor en Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Uso de API REST para administrar reglas de firewall de IP de nivel de servidor
| Comando | Description |
|---|---|
| grupos de Sql | Administración de grupos de Synapse SQL. |
| Reglas de firewall IP | Administración de reglas de firewall de Ip de Synapse. |
Descripción de la latencia de las actualizaciones del firewall
El modelo de autenticación del servidor tiene una latencia de 5 minutos para todos los cambios en la configuración de seguridad, a menos que la base de datos esté contenida y sin un asociado de conmutación por error. Los cambios realizados en bases de datos independientes sin un asociado de conmutación por error son instantáneos. En el caso de las bases de datos independientes con un asociado de conmutación por error, cada actualización de seguridad es instantánea en la base de datos principal, pero la base de datos secundaria puede tardar hasta 5 minutos en reflejar los cambios.
En la tabla siguiente se describe la latencia de los cambios de configuración de seguridad en función del tipo de base de datos y la configuración de conmutación por error:
| Modelo de autenticación | Conmutación por error configurada | Latencia para los cambios en la configuración de seguridad | Instancias latentes |
|---|---|---|---|
| Autenticación del servidor | Sí | 5 minutos | todas las bases de datos |
| Autenticación del servidor | No | 5 minutos | todas las bases de datos |
| Base de datos contenida | Sí | 5 minutos | la base de datos secundaria |
| Base de datos contenida | No | ninguno | ninguno |
Actualización manual de reglas de firewall
Si necesita ver que las reglas de firewall se actualizan más rápidamente que la latencia de 5 minutos, puede actualizar manualmente las reglas de firewall. Inicie sesión en la instancia de base de datos que necesita sus reglas actualizadas y ejecute DBCC FLUSHAUTHCACHE. Esto hará que la instancia de base de datos vacíe su caché local y actualice las reglas de firewall.
DBCC FLUSHAUTHCACHE[;]
Solución de problemas del firewall
Tenga en cuenta los siguientes puntos cuando el acceso no se comporta según lo previsto.
Configuración del firewall local:
Para que el equipo pueda acceder al grupo de SQL dedicado, puede que tenga que crear una excepción en el firewall del equipo para el puerto TCP 1433. Para establecer conexiones dentro del límite de Azure nube, es posible que tenga que abrir puertos adicionales.
Traducción de direcciones de red:
Debido a la traducción de direcciones de red (NAT), la dirección IP que usa el equipo para conectarse a Azure Synapse Analytics podría ser diferente de la dirección IP en la configuración de IP del equipo. Para ver la dirección IP que usa el equipo para conectarse a Azure:
- Inicie sesión en el portal.
- Vaya a la pestaña Configurar en el servidor que hospeda la base de datos.
- La dirección IP del cliente actual se muestra en la sección Direcciones IP permitidas . Seleccione Agregar para Direcciones IP permitidas para permitir que este equipo acceda al servidor.
Los cambios en la lista de permitidos aún no han tenido efecto:
Puede haber hasta un retraso de cinco minutos para que los cambios en la configuración del firewall de Azure Synapse Analytics surtan efecto.
El inicio de sesión no está autorizado o se usó una contraseña incorrecta:
Si un inicio de sesión no tiene permisos en el servidor o la contraseña no es correcta, se denegará la conexión al servidor. La creación de una configuración de firewall solo ofrece a los clientes la oportunidad de intentar conectarse al servidor. El cliente todavía debe proporcionar las credenciales de seguridad necesarias. Para obtener más información, consulte Azure Synapse Analytics configuración de conectividad.
Dirección IP dinámica:
Si tiene una conexión a Internet que usa direccionamiento IP dinámico y tiene problemas para atravesar el firewall, pruebe una de las soluciones siguientes:
- Solicite al proveedor de servicios de Internet el intervalo de direcciones IP asignado a los equipos cliente que acceden al servidor. Agregue este intervalo como una regla de firewall de IP.
- Obtenga el direccionamiento IP estático en su lugar para los equipos cliente. Agregue las direcciones IP como reglas de firewall de IP.