Azure SQL- kapcsolat beállításai

A következőkre vonatkozik: Azure SQL DatabaseAzure Synapse Analytics (csak dedikált SQL-készletek)

Ez a cikk olyan beállításokat mutat be, amelyek az Azure SQL Database-kiszolgálóhoz és a dedikált SQL-készlethez (korábbi nevén SQL DW) az Azure Synapse Analyticshez való kapcsolódást szabályozzák. Ezek a beállítások a kiszolgálóhoz társított összes SQL Database-adatbázisra és dedikált SQL-készletre (korábban SQL DW) vonatkoznak.

Ezeket a beállításokat a logikai kiszolgáló hálózatkezelés lapján módosíthatja:

Fontos

Ez a cikk nem vonatkozik a felügyelt Azure SQL-példányokra. Ez a cikk az Azure Synapse Analytics-munkaterületeken található dedikált SQL-készletekre sem vonatkozik. Az Azure Synapse Analytics IP-tűzfalszabályaival kapcsolatos útmutatásért tekintse meg az Azure Synapse Analytics IP-tűzfalszabályainak munkaterületekkel való konfigurálását ismertető témakört.

Nyilvános hálózati hozzáférés megtagadása

A nyilvános hálózati hozzáférési beállítás alapértelmezett értéke a Letiltás. Az ügyfelek dönthetnek úgy, hogy nyilvános végpontokkal (IP-alapú kiszolgálószintű tűzfalszabályokkal vagy virtuális hálózati tűzfalszabályokkal) vagy privát végpontokkal (az Azure Private Link használatával) csatlakoznak az adatbázishoz a hálózati hozzáférés áttekintésében leírtak szerint.

Ha a nyilvános hálózati hozzáférés Letiltás értékre van állítva, csak a privát végpontokról érkező kapcsolatok engedélyezettek. A nyilvános végpontokról érkező összes kapcsolatot a rendszer a következőhöz hasonló hibaüzenettel tagadja meg:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Ha a nyilvános hálózati hozzáférés Letiltás értékre van állítva, a tűzfalszabályok hozzáadására, eltávolítására vagy szerkesztésére tett kísérletek a következőhöz hasonló hibaüzenettel lesznek elutasítva:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Győződjön meg arról, hogy a nyilvános hálózati hozzáférés kiválasztott hálózatokra van állítva, hogy az Azure SQL Database és az Azure Synapse Analytics tűzfalszabályait hozzá tudja adni, eltávolíthassa vagy szerkessze.

Nyilvános hálózati hozzáférés módosítása

A nyilvános hálózati hozzáférés az Azure Portalon, az Azure PowerShellen és az Azure CLI-en keresztül módosítható.

Portal

Az adatbázisokat futtató logikai kiszolgáló nyilvános hálózati hozzáférésének engedélyezéséhez nyissa meg az Azure Portal Hálózatkezelés lapját az Azure-beli logikai kiszolgálóhoz, válassza a Nyilvános hozzáférés lapot, majd állítsa a nyilvános hálózati hozzáférést a Hálózatok kiválasztása beállításra.

Ezen a lapon hozzáadhat egy virtuális hálózati szabályt, valamint konfigurálhat tűzfalszabályokat a nyilvános végponthoz.

A privát végpont konfigurálásához válassza a Privát hozzáférés lapot.

Megjegyzés:

Ezek a beállítások közvetlenül az alkalmazásuk után lépnek érvénybe. Az ügyfelek kapcsolatvesztést tapasztalhatnak, ha nem felelnek meg az egyes beállítások követelményeinek.

PowerShell

A nyilvános hálózati hozzáférés az Azure PowerShell használatával módosítható.

Fontos

Az Azure SQL Database továbbra is támogatja a PowerShell Azure Resource Manager modult, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegében azonosak. Az alábbi szkripthez az Azure PowerShell-modul szükséges.

A következő PowerShell-szkript bemutatja, hogyan kell és GetSet a nyilvános hálózati hozzáférés tulajdonságot kiszolgálószinten:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI

A nyilvános hálózati beállítások az Azure CLI használatával módosíthatók.

Fontos

Az ebben a szakaszban szereplő összes szkripthez az Azure CLI szükséges.

A következő CLI-szkript bemutatja, hogyan módosíthatja a nyilvános hálózati hozzáférés beállításait egy Bash-rendszerhéjban:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Minimal TLS version

A minimális Transport Layer Security (TLS) verzióbeállítással az ügyfelek kiválaszthatják, hogy melyik TLS-verziót használják az SQL-adatbázisuk. A minimális TLS-verzió az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.

Jelenleg a TLS 1.0-s, 1.1-es és 1.2-es verziója támogatott. Egy minimális TLS-verzió beállítása biztosítja, hogy az újabb TLS-verziók támogatottak legyenek. A TLS 1.1-es verziójának kiválasztása például azt jelenti, hogy a rendszer csak a TLS 1.1-es és 1.2-es verziójú kapcsolatokat fogadja el, a TLS 1.0-s verziójúakat elutasítja. Miután megerősítette, hogy az alkalmazások támogatják, ajánlott az 1.2-es minimális TLS-verziót beállítani. Ez a verzió tartalmazza a korábbi verziókban található biztonsági rések javításait, és ez az Azure SQL-adatbázisban támogatott legmagasabb TLS-verzió.

Fontos

A minimális TLS-verzió alapértelmezett értéke az összes verzió engedélyezése. After you enforce a version of TLS, it's not possible to revert to the default.

A TLS régebbi verzióit futtató alkalmazásokat használó ügyfelek esetében javasoljuk, hogy az alkalmazások követelményeinek megfelelően állítsa be a TLS minimális verzióját. Ha az alkalmazáskövetelmények ismeretlenek, vagy a számítási feladatok régebbi, már nem karbantartott illesztőprogramokra támaszkodnak, javasoljuk, hogy ne állítsunk be minimális TLS-verziót.

További információ: TLS-szempontok az SQL Database-kapcsolattal kapcsolatban.

A minimális TLS-verzió beállítása után a kiszolgáló minimális TLS-verziójánál alacsonyabb TLS-verziót használó ügyfelek bejelentkezési kísérletei a következő hibával meghiúsulnak:

Error 47072
Login failed with invalid TLS version

Megjegyzés:

A minimális TLS-verzió konfigurálásakor a rendszer az alkalmazásrétegen érvényesíti a minimális verziót. Azok az eszközök, amelyek megkísérlik meghatározni a protokollréteg TLS-támogatását, a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül az SQL Database-végponton futnak.

Portal

Az Azure Portalon nyissa meg az SQL Server-erőforrást. A Biztonsági beállítások területen válassza a Hálózatkezelés lehetőséget, majd a Csatlakozás ivity lapot. Válassza ki a kiszolgálóhoz társított összes adatbázishoz kívánt minimális TLS-verziót, és válassza a Mentés lehetőséget.

PowerShell

Az Azure PowerShell használatával módosíthatja a minimális TLS-verziót.

Fontos

Az Azure SQL Database továbbra is támogatja a PowerShell Azure Resource Manager modult, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegében azonosak. Az alábbi szkripthez az Azure PowerShell-modul szükséges.

Az alábbi PowerShell-szkript bemutatja GetSet a minimális TLS-verzió tulajdonságot a logikai kiszolgáló szintjén:

# Get the Minimal TLS Version property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).MinimalTlsVersion

# Update Minimal TLS Version to 1.2
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString  -MinimalTlsVersion "1.2"

Azure CLI

A minimális TLS-beállítások az Azure CLI használatával módosíthatók.

Fontos

Az ebben a szakaszban szereplő összes szkripthez az Azure CLI szükséges.

A következő CLI-szkript bemutatja, hogyan módosíthatja a Minimális TLS-verzió beállítást egy Bash-rendszerhéjban:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

A kapcsolati szabályzat módosítása

Csatlakozás ion szabályzat határozza meg, hogyan csatlakoznak az ügyfelek az Azure SQL Database-hez.

A kapcsolati szabályzat az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.

Portal

Az Azure Portal használatával módosíthatja a logikai kiszolgáló kapcsolati szabályzatát.

Az Azure Portalon nyissa meg az SQL Server-erőforrást. A Biztonsági beállítások területen válassza a Hálózatkezelés lehetőséget, majd a Csatlakozás tivitás lapot. Válassza ki a kívánt kapcsolati szabályzatot, és válassza a Mentés lehetőséget.

PowerShell

Az Azure PowerShell használatával módosíthatja a logikai kiszolgáló kapcsolati szabályzatát.

Fontos

Az Azure SQL Database továbbra is támogatja a PowerShell Azure Resource Manager modult, de minden jövőbeli fejlesztés az Az.Sql modulhoz tartozik. Ezekhez a parancsmagokhoz lásd: AzureRM.Sql. Az Az modulban és az AzureRm-modulokban található parancsok argumentumai lényegében azonosak. Az alábbi szkripthez az Azure PowerShell-modul szükséges.

Az alábbi PowerShell-szkript bemutatja, hogyan módosíthatja a kapcsolati szabályzatot a PowerShell használatával:

# Get SQL Server ID
$sqlserverid=(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
(Get-AzResource -ResourceId $id -ApiVersion 2014-04-01 -Verbose).Properties.ConnectionType

# Update connection policy
Set-AzResource -ResourceId $id -Properties @{"connectionType" = "Proxy"} -f

Azure CLI

Az Azure CLI használatával módosíthatja a logikai kiszolgáló kapcsolati szabályzatát.

Fontos

Az ebben a szakaszban szereplő összes szkripthez az Azure CLI szükséges.

Azure CLI Bash-rendszerhéjban

A következő CLI-szkript bemutatja, hogyan módosíthatja a kapcsolati szabályzatot egy Bash-rendszerhéjban:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Azure CLI windowsos parancssorból

Az alábbi CLI-szkript bemutatja, hogyan módosíthatja a kapcsolati szabályzatot egy Windows parancssorból (az Azure CLI telepítve van):

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Következő lépések

• Az Azure SQL Database-beli kapcsolat működésének áttekintéséhez tekintse meg a Csatlakozás ivity architektúrát.
• A kiszolgáló kapcsolati szabályzatának módosításáról további információt a conn-policy című témakörben talál.