Paramètres de connectivité d’Azure Synapse Analytics

Cet article explique comment configurer les paramètres de connectivité dans Azure Synapse Analytics, y compris les pools SQL dédiés et les pools SQL serverless, le cas échéant.

Pour connaître les chaînes de connexion aux pools Azure Synapse Analytics, consultez Se connecter à Synapse SQL.

Les paramètres de connectivité et l’expérience du portail Azure pour les pools SQL dédiés diffèrent selon que le pool est déployé dans des pools SQL dédiés autonomes (anciennement SQL DW) ou dans un espace de travail Azure Synapse Analytics. En revanche, les pools SQL serverless sont disponibles uniquement dans les espaces de travail Synapse et suivent les mêmes paramètres de connectivité que les pools SQL dédiés créés dans un espace de travail.

Groupes SQL dédiés et sans serveur dans un espace de travail

Accès au réseau public

Remarque

Ces paramètres s’appliquent aux pools SQL dédiés et aux pools SQL serverless créés dans un espace de travail Azure Synapse. Ces instructions ne s’appliquent pas aux pools SQL dédiés associés à des pools SQL dédiés autonomes (anciennement SQL DW).

Vous pouvez utiliser la fonctionnalité d’accès au réseau public pour autoriser la connectivité du réseau public entrant à votre espace de travail Azure Synapse.

• Lorsque l’accès au réseau public est désactivé, vous pouvez vous connecter à votre espace de travail uniquement à l’aide des points de terminaison privés.
• Lorsque l’accès au réseau public est activé, vous pouvez vous connecter à votre espace de travail également depuis des réseaux publics. Vous pouvez gérer cette fonctionnalité pendant et après la création de votre espace de travail.

Important

Cette fonctionnalité est disponible uniquement pour les espaces de travail Azure Synapse associés au réseau virtuel managé d’Azure Synapse Analytics. Toutefois, vous pouvez toujours ouvrir vos espaces de travail Synapse sur le réseau public, quelle que soit son association avec le réseau virtuel managé.

Lorsque l'accès au réseau public est désactivé, l'accès au mode GIT dans Synapse Studio et les modifications de validation ne seront pas bloqués tant que l'utilisateur dispose des autorisations suffisantes pour accéder au dépôt Git intégré ou à la branche Git correspondante. Cependant, le bouton de publication ne fonctionnera pas car l'accès au mode Live est bloqué par les paramètres du pare-feu. Lorsque l’accès au réseau public est désactivé, le runtime d’intégration auto-hébergé peut toujours communiquer avec Synapse. Actuellement, nous ne prenons pas en charge l’établissement d’une liaison privée entre un runtime d’intégration auto-hébergé et un plan de contrôle Synapse.

La sélection de l’option Désactiver n’applique aucune règle de pare-feu que vous pouvez configurer. En outre, les règles de votre pare-feu apparaissent grisées dans le paramètre Réseau du portail Synapse. Les configurations de votre pare-feu seront réappliquées lorsque vous réactiverez l’accès au réseau public.

Conseil

Lorsque vous rétablissez l’activation, attendez un certain temps avant de modifier les règles de pare-feu.

Configurer l’accès au réseau public lorsque vous créez votre espace de travail

1. Sélectionnez l’onglet Mise en réseau lorsque vous créez votre espace de travail dans le Portail Azure.

2. Sous Réseau virtuel managé, sélectionnez Activer pour associer votre espace de travail au réseau virtuel managé et autoriser l’accès au réseau public.

3. Sous accès au réseau public, sélectionnez Désactiver pour refuser l’accès public à votre espace de travail. Sélectionnez Activer si vous souhaitez autoriser l’accès public à votre espace de travail.

   

4. Complétez le reste du flux de création de l’espace de travail.

Configurer l’accès au réseau public après avoir créé votre espace de travail

1. Sélectionnez votre espace de travail Synapse dans le Portail Azure.

2. Sélectionnez Mise en réseau dans le volet de navigation de gauche.

3. Sélectionnez Désactivé pour refuser l’accès public à votre espace de travail. Sélectionnez Activé si vous souhaitez autoriser l’accès public à votre espace de travail.

   

4. Lorsqu’elles sont désactivées, les règles de pare-feu sont grisées pour indiquer que les règles de pare-feu ne sont pas en vigueur. Les configurations de règles de pare-feu sont conservées.

5. Sélectionnez Enregistrer pour enregistrer la modification. Une notification confirme que le paramètre réseau a été correctement enregistré.

Version TLS minimale

Le point de terminaison SQL serverless et le point de terminaison de développement acceptent uniquement TLS 1.2 et ultérieur.

Depuis le mois de décembre 2021, un niveau minimum de TLS 1.2 est nécessaire pour les pools SQL dédiés gérés par l’espace de travail dans les nouveaux espaces de travail Synapse. Vous pouvez augmenter ou diminuer cette exigence en utilisant l’API REST de TLS minimal pour les nouveaux espaces de travail Synapse ou les espaces de travail existants, afin que les utilisateurs ayant besoin d’utiliser une version du client TLS supérieure dans les espaces de travail puissent se connecter. Les clients peuvent également augmenter la version minimale de TLS pour répondre à leurs besoins de sécurité.

Important

Depuis novembre 2024, Azure a commencé à mettre hors service les versions antérieures de TLS (TLS 1.0 et 1.1). Utilisez TLS 1.2 ou ultérieur. Après le 31 mars 2025, vous ne pourrez plus définir la version minimale de TLS pour les connexions des clients Azure Synapse Analytics inférieure à TLS 1.2. Après cette date, les tentatives de connexion à partir de connexions utilisant une version TLS inférieure à 1.2 échoueront. Pour plus d’informations, consultez Annonce : la prise en charge d’Azure pour TLS 1.0 et TLS 1.1 se termine.

Azure Policy

Azure Policy pour empêcher les modifications apportées aux paramètres de mise en réseau dans l’espace de travail Synapse n’est pas actuellement disponible.

Pools SQL dédiés autonomes (anciennement SQL DW)

Mise en réseau et connectivité

Vous pouvez modifier ces paramètres dans votre serveur logique. Un serveur SQL logique peut héberger des bases de données Azure SQL et des pools SQL dédiés autonomes qui ne se trouvent pas dans un espace de travail Azure Synapse Analytics.

Important

Ces paramètres s’appliquent aux pools SQL dédiés autonomes (anciennement SQL DW) associés au serveur logique, et non dans un espace de travail Azure Synapse Analytics. Ces instructions ne s’appliquent pas aux pools SQL dédiés dans un espace de travail Azure Synapse Analytics.

Modifier l’accès au réseau public

Il est possible de modifier l’accès au réseau public pour votre pool SQL dédié autonome via le portail Azure, Azure PowerShell et Azure CLI.

Remarque

Ces paramètres prennent effet immédiatement après leur application. Vos clients risquent de perdre la connexion s’ils ne satisfont pas aux exigences de chaque paramètre.

Configurer l’accès public dans le portail Azure

Pour activer l’accès réseau public pour le serveur logique hébergeant votre pool SQL dédié autonome :

1. Accédez au portail Azure et accédez au serveur logique dans Azure.
2. Sous Sécurité, sélectionnez la page Mise en réseau.
3. Choisissez l’onglet Accès public, puis définissez l’accès réseau public sur Sélectionner des réseaux .

À partir de cette page, vous pouvez ajouter une règle de réseau virtuel et configurer des règles de pare-feu pour votre point de terminaison public.

Choisissez l’onglet Accès privé pour configurer un point de terminaison privé.

Configurer l’accès public dans PowerShell

Il est possible de modifier l’accès au réseau public à l’aide d’Azure PowerShell.

Important

Le module Az remplace AzureRM. Tout le développement futur est destiné au module Az.Sql. Le script suivant nécessite le module Azure PowerShell .

Le script PowerShell suivant montre comment utiliser Get et Set pour configurer la propriété Accès réseau public au niveau du serveur. Fournissez un mot de passe fort à remplacer <strong password> dans l’exemple de script PowerShell suivant.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Configurer l’accès public dans Azure CLI

Il est possible de modifier les paramètres de réseau public à l’aide d’Azure CLI.

Le script CLI suivant montre comment modifier le paramètre Accès au réseau public dans un interpréteur de commandes Bash :

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Refuser l’accès au réseau public

La valeur par défaut du paramètre Accès au réseau public est Désactivé. Les clients peuvent choisir de se connecter à une base de données via des points de terminaison publics (avec des règles de pare-feu au niveau du serveur basées sur l’adresse IP ou sur un réseau virtuel) ou des points de terminaison privés (avec Azure Private Link), comme décrit dans la vue d’ensemble de l’accès réseau.

Quand le paramètre Accès au réseau public est défini sur Désactivé, seules les connexions à partir de points de terminaison privés sont autorisées. Toutes les connexions à partir de points de terminaison publics sont refusées avec un message d’erreur semblable au message suivant :

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quand le paramètre Refuser l’accès au réseau public est défini sur Oui, toute tentative d’ajout, de suppression ou de modification des règles de pare-feu est refusée avec un message d’erreur semblable au message suivant :

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Vérifiez que l’accès au réseau public est défini sur Réseaux sélectionnés pour pouvoir ajouter, supprimer ou modifier des règles de pare-feu pour Azure Synapse Analytics.

Version TLS minimale

Le paramètre de version TLS (Transport Layer Security) minimal permet aux clients de choisir la version de TLS en cours d’utilisation. Il est possible de modifier la version TLS minimale à l’aide du Portail Azure, d’Azure PowerShell et d’Azure CLI.

Après avoir testé pour confirmer que vos applications la prennent en charge, nous vous recommandons de définir la version TLS minimale sur la version 1.3. Cette version inclut des correctifs pour les vulnérabilités dans les versions précédentes et est la version la plus prise en charge de TLS pour les pools SQL dédiés autonomes.

Changements à venir concernant les mises hors service

Azure a annoncé que la prise en charge des anciennes versions de TLS (TLS 1.0 et 1.1) prendra fin le 31 août 2025. Pour plus d’informations, consultez l’article sur la dépréciation des versions 1.0 et 1.1 de TLS.

À compter de novembre 2024, vous ne pourrez plus définir la version TLS minimale pour les connexions clientes Azure Synapse Analytics sous TLS 1.2.

Configurer la version minimale du protocole TLS

Vous pouvez configurer la version minimale de TLS pour les connexions client via le portail Azure, Azure PowerShell ou Azure CLI.

Avertissement

• Par défaut, la version minimale de TLS autorise toutes les versions. Une fois que vous avez appliqué une version de TLS, il n’est plus possible de rétablir le paramétrage par défaut.
• Imposer un minimum de TLS 1.3 peut entraîner des problèmes pour les connexions provenant de clients qui ne prennent pas en charge TLS 1.3, car tous les pilotes et systèmes d’exploitation ne le prennent pas en charge.

Pour les clients disposant d’applications qui reposent sur des versions antérieures de TLS, nous vous recommandons de définir la version minimale de TLS en fonction des exigences de vos applications. Si les exigences de l’application sont inconnues ou si les charges de travail dépendent de pilotes plus anciens qui ne sont plus gérés, nous vous recommandons de ne pas définir de version TLS minimale.

Pour plus d’informations, consultez considérations TLS relatives à la connectivité de base de données.

Une fois la version minimale de TLS définie, les clients utilisant une version de TLS inférieure à celle requise par le serveur échoueront à s’authentifier, avec l’erreur suivante :

Error 47072
Login failed with invalid TLS version

Remarque

La version minimale de TLS est appliquée au niveau de la couche application. Les outils qui tentent de déterminer la prise en charge de TLS au niveau de la couche de protocole peuvent retourner des versions TLS en plus de la version minimale requise lors de l’exécution directement sur le point de terminaison.

Configurer une version TLS minimale dans le portail Azure

1. Accédez au portail Azure et accédez au serveur logique dans Azure.
2. Sous Sécurité, sélectionnez la page Mise en réseau.
3. Sélectionnez l’onglet Connectivité, puis la version minimale de TLS souhaitée pour toutes les bases de données associées au serveur, puis sélectionnez Enregistrer.

Configurer la version minimale de TLS dans PowerShell

Il est possible de modifier la version TLS minimale à l’aide d’Azure PowerShell.

Important

Le module Az remplace AzureRM. Tout le développement futur est destiné au module Az.Sql. Le script suivant nécessite le module Azure PowerShell .

Le script PowerShell suivant montre comment Get la propriété version minimale de TLS au niveau du serveur logique :

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Pour définir (Set) la propriété Version minimale de TLS au niveau du serveur logique, remplacez votre mot de passe Sql Administrateur par <strong_password_here_password> et exécutez :

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Configurer une version TLS minimale dans Azure CLI

Il est possible de modifier les paramètres TLS minimaux à l’aide d’Azure CLI.

Important

Tous les scripts évoqués dans cette section nécessitent l’interface de ligne de commande Azure.

Le script CLI suivant montre comment modifier le paramètre de version minimale de TLS dans un interpréteur de commandes Bash :

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identifier les connexions client

Vous pouvez utiliser le portail Azure et les journaux d’audit SQL pour identifier les clients qui se connectent à l’aide de TLS 1.0 et 1.0.

Dans le portail Azure, accédez à Métriques sous Surveillance pour votre ressource de base de données, puis filtrez par Connexions réussies, et les = et 1.0 :

Vous pouvez également interroger sys.fn_get_audit_file directement dans votre base de données pour afficher le client_tls_version_name fichier d’audit.

Stratégie de connexion

La stratégie de connexion pour Synapse SQL dans Azure Synapse Analytics est définie sur Par défaut. Vous ne pouvez pas modifier la stratégie de connexion pour les pools SQL dédiés ou serverless dans Azure Synapse Analytics.

Les connexions pour les pools SQL dans Azure Synapse Analytics peuvent atterrir sur l’une des adresses IP de passerelle individuelles ou sous-réseaux d’adresses IP de passerelle dans une région. Pour une connectivité cohérente, autorisez le trafic réseau vers et depuis toutes les adresses IP de passerelle individuelles et les sous-réseaux d’adresses IP de passerelle dans une région. Reportez-vous aux plages d’adresses IP Azure et balises de service - Cloud public pour obtenir la liste des adresses IP de votre région à autoriser.

• Par défaut : Il s'agit de la politique de connexion en vigueur sur tous les serveurs après leur création, sauf si vous modifiez explicitement la politique de connexion pour qu'elle soit soit Proxy ou Redirect. La stratégie par défaut est la suivante :
  • Redirect pour toutes les connexions clientes provenant d’Azure (par exemple, à partir d’une machine virtuelle Azure).
  • Proxy pour toutes les connexions clientes provenant de l’extérieur (par exemple, les connexions à partir de votre station de travail locale).
• Rediriger: Les clients établissent des connexions directement au nœud hébergeant la base de données, ce qui entraîne une latence réduite et un débit amélioré. Pour que les connexions utilisent ce mode, les clients doivent :
  • Autoriser les communications sortantes du client vers toutes les adresses IP Azure SQL de la région sur les ports de la plage comprise entre 11000 et 11999. Utilisez les balises de service pour SQL afin de faciliter la gestion. Si vous utilisez Private Link, consultez Utiliser la stratégie de connexion de redirection avec des points de terminaison privés pour autoriser les plages de ports.
  • Autoriser les communications sortantes à partir du client vers les adresses IP de la passerelle Azure SQL Database sur le port 1433.
  • Lorsque vous utilisez la stratégie de connexion de redirection, reportez-vous à la plages d’adresses IP Azure et balises de service – Cloud public pour obtenir la liste des adresses IP de votre région à autoriser.
• Proxy : Dans ce mode, toutes les connexions sont envoyées par proxy via les passerelles Azure SQL Database, ce qui entraîne une augmentation de la latence et une réduction du débit. Pour que les connexions utilisent ce mode, les clients doivent autoriser les communications sortantes à partir du client vers les adresses IP de la passerelle Azure SQL Database sur le port 1433.
  • Lorsque vous utilisez la stratégie de connexion proxy, autorisez les adresses IP de votre région dans la liste des adresses IP de passerelle.

Contenu connexe

• Règles de pare-feu IP Azure Synapse Analytics
• Quelle est la différence entre Azure Synapse (anciennement SQL DW) et Espace de travail Azure Synapse Analytics ?
• Qu’est-ce qu’un serveur SQL logique dans Azure SQL Database et Azure Synapse ?