Megosztás a következőn keresztül:

Kapcsolati beállítások

A következőkre vonatkozik:Azure SQL DatabaseSQL Database a Fabricben

Ez a cikk olyan beállításokat mutat be, amelyek az Azure SQL Database és a Microsoft Fabric SQL Database kiszolgálója közötti kapcsolatot szabályozzák.

Hálózatkezelés és kapcsolat

Ezeket a beállításokat módosíthatja a logikai szerver.

Nyilvános hálózati hozzáférés módosítása

Az Azure SQL Database nyilvános hálózati hozzáférését az Azure Portalon, az Azure PowerShellen és az Azure CLI-en keresztül módosíthatja.

Jegyzet

Ezek a beállítások közvetlenül az alkalmazásuk után lépnek érvénybe. Az ügyfelek kapcsolatvesztést tapasztalhatnak, ha nem felelnek meg az egyes beállítások követelményeinek.

Az adatbázisokat üzemeltető logikai kiszolgáló nyilvános hálózati hozzáférésének engedélyezése:

Képernyőkép egy logikai SQL-kiszolgáló tűzfalainak és virtuális hálózatainak beállításairól az Azure Portalon.

  1. Nyissa meg az Azure portálot, és lépjen a logikai kiszolgálóra az Azure-ben.
  2. A Biztonságiterületen válassza a Hálózatkezelés lapot.
  3. Válassza a Nyilvános hozzáférés lapot, majd állítsa a Nyilvános hálózati hozzáféréstHálózatok kijelöléselehetőségre.

Ezen a lapon hozzáadhat egy virtuális hálózati szabályt, valamint konfigurálhat tűzfalszabályokat a nyilvános végponthoz.

Válassza a Privát hozzáférés lapot egy privát végpontkonfigurálásához.

Nyilvános hálózati hozzáférés megtagadása

A nyilvános hálózati hozzáférés beállítás alapértelmezett értéke Tiltsa le. Az ügyfelek dönthetnek úgy, hogy nyilvános végpontokkal (IP-alapú kiszolgálószintű tűzfalszabályokkal vagy virtuális hálózati tűzfalszabályokkal) vagy privát végpontokkal (az Azure Private Link használatával) csatlakoznak az adatbázishoz a hálózati hozzáférés áttekintése.

Amikor a nyilvános hálózati hozzáférésLetiltvavan beállítva, csak a privát végpontokról érkező kapcsolatok engedélyezettek. A nyilvános végpontokról érkező összes kapcsolatot a rendszer a következőhöz hasonló hibaüzenettel tagadja meg:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.

Amikor a nyilvános hálózati hozzáférés a Letiltásravan állítva, a tűzfalszabályok hozzáadására, eltávolítására vagy szerkesztésére tett kísérleteket a következőhöz hasonló hibaüzenet fogja elutasítani:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.

Győződjön meg arról, hogy a nyilvános hálózati hozzáféréskiválasztott hálózatokra van állítva, hogy az Azure SQL Database tűzfalszabályai hozzáadhatók, eltávolíthatók vagy szerkeszthetők legyenek.

Minimális TLS-verzió

A minimális Transport Layer Security (TLS) verzióbeállítás lehetővé teszi az ügyfelek számára, hogy eldöntsék, melyik TLS-verziót használják az SQL-adatbázisuk. A TLS egy titkosítási protokoll, amellyel biztonságossá teheti az ügyfél-kiszolgáló kommunikációt egy hálózaton keresztül. Ez biztosítja, hogy a bizalmas információk, például a hitelesítési hitelesítő adatok és az adatbázis-lekérdezések biztonságban legyenek az elfogás és a módosítás ellen. A minimális TLS-verzió az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.

A minimális TLS-verzió beállítása biztosítja az alapszintű megfelelőséget, és garantálja az újabb TLS-protokollok támogatását. A TLS 1.2 kiválasztása például azt jelenti, hogy csak a TLS 1.2-vel vagy a TLS 1.3-val rendelkező kapcsolatokat fogadják el, míg a TLS 1.1-et vagy annál alacsonyabbat használó kapcsolatokat a rendszer elutasítja.

Jelenleg az Azure SQL Database által támogatott legalacsonyabb TLS-verzió a TLS 1.2. Ez a verzió a korábbi verziókban talált biztonsági réseket kezeli. Javasoljuk, hogy a tesztelés után állítsa a minimális TLS-verziót TLS 1.2-es verzióra, hogy meggyőződjön arról, hogy az alkalmazások kompatibilisek.

Jegyzet

A TLS 1.0 és 1.1 ki van állítva , és már nem érhető el.

A TLS minimális verziójának konfigurálása

Az ügyfélkapcsolatok minimális TLS-verzióját az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával konfigurálhatja.

Vigyázat

  • A minimális TLS-verzió alapértelmezett értéke a TLS 1.2-es és újabb verzióinak engedélyezése. A TLS egy verziójának kényszerítése után nem lehet visszaállítani az alapértelmezett értéket.
  • A TLS 1.3 minimális rendszerének kényszerítése problémákat okozhat a TLS 1.3-at nem támogató ügyfelek kapcsolatainál, mivel nem minden illesztőprogram és operációs rendszer támogatja a TLS 1.3-at.

A TLS régebbi verzióira támaszkodó alkalmazásokkal rendelkező ügyfelek számára javasoljuk, hogy az alkalmazások követelményeinek megfelelően állítsa be a minimális TLS-verziót. Ha az alkalmazáskövetelmények ismeretlenek, vagy a számítási feladatok régebbi, már nem karbantartott illesztőprogramokra támaszkodnak, javasoljuk, hogy ne állítsunk be minimális TLS-verziót.

További információért lásd a(z) TLS szempontok az SQL adatbázis-kapcsolatára vonatkozóan.

A minimális TLS-verzió beállítása után a kiszolgáló minimális TLS-verziójánál alacsonyabb TLS-verziót használó ügyfelek hitelesítése sikertelen lesz, az alábbi hibával:

Error 47072
Login failed with invalid TLS version

Jegyzet

A minimális TLS-verziót az alkalmazásrétegen kényszeríti ki a rendszer. Azok az eszközök, amelyek megkísérlik meghatározni a TLS-támogatást a protokollrétegen, a minimális szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül az SQL Database-végponton futnak.

  1. Nyissa meg az Azure portálot, és lépjen a logikai kiszolgálóra az Azure-ben.
  2. A Biztonságiterületen válassza a Hálózatkezelés lapot.
  3. Válassza a Kapcsolatkezelés lapot. Válassza ki a kiszolgálóhoz társított összes adatbázishoz a minimális TLS-verziót, majd válassza a Mentéslehetőséget.

Ügyfélkapcsolatok azonosítása

Az Azure Portal és az SQL auditnaplói segítségével azonosíthatja a TLS 1.0 és 1.0 használatával csatlakozó ügyfeleket.

Az Azure Portalon nyissa meg az adatbázis-erőforrás Monitorozási területén Metrikákat, majd szűrjön Sikeres kapcsolatok, valamint TLS-verziók = 1.0 és 1.1szerint:

Képernyőkép az adatbázis-erőforrás monitorozási oldaláról az Azure Portalon a sikeres T L S 1.0 és 1.1 kapcsolatok szűrésével.

Közvetlenül az adatbázison belül is lekérdezheti a sys.fn_get_audit_file-t, hogy megtekinthesse a client_tls_version_name audit fájlban lévő adatokat, és megkeresse a megnevezett audit_event eseményeket.

Képernyőkép a naplózási fájl lekérdezési eredményéről, amelyen T L S verziókapcsolatok láthatók.

A kapcsolati szabályzat módosítása

kapcsolati szabályzat határozza meg, hogyan csatlakoznak az ügyfelek. Nagyon ajánljuk a Redirect kapcsolati szabályzatot a Proxy kapcsolati szabályzattal szemben a legalacsonyabb késleltetés és legnagyobb adatátvitel érdekében.

A kapcsolati szabályzat az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.

Az Azure Portal használatával módosíthatja a logikai kiszolgáló kapcsolati szabályzatát.

  1. Nyissa meg az Azure Portalt. Lépjen az Azurerendszeren belüli logikai szerverhez.
  2. A Biztonságiterületen válassza a Hálózatkezelés lapot.
  3. Válassza a Kapcsolat lapot. Válassza ki a kívánt kapcsolati szabályzatot, és válassza a Mentéslehetőséget.

A Hálózatkezelés oldal Kapcsolat fülének képernyőképe, a kapcsolat házirendje kiválasztva.

Közelgő TLS 1.0-s és 1.1-s nyugdíjazási változások – gyakori kérdések

Az Azure bejelentette, hogy a régebbi TLS-verziók (TLS 1.0 és 1.1) támogatása 2025. augusztus 31-ig tart. További információért lásd: A TLS 1.0 és 1.1 elavulása.

2024 novemberétől kezdve már nem tudja beállítani az Azure SQL Database és az Azure SQL Managed Instance ügyfélkapcsolatok minimális TLS-verzióját a TLS 1.2 alatt.

Miért van kivezetve a TLS 1.0 és 1.1?

A TLS 1.0-s és 1.1-s verziói elavultak, és már nem felelnek meg a modern biztonsági szabványoknak. A következő nyugdíjba vonulnak:

  • Csökkentse az ismert biztonsági réseknek való kitettséget.
  • Összhangban az iparág ajánlott eljárásaival és megfelelőségi követelményeivel.
  • Győződjön meg arról, hogy az ügyfelek erősebb titkosítási protokollokat, például TLS 1.2 vagy TLS 1.3 protokollt használnak.

Mi történik, ha a TLS 1.0 és 1.1 2025. augusztus 31. után használatos?

2025. augusztus 31-e után a TLS 1.0 és 1.1 nem támogatott, és a TLS 1.0 és 1.1 rendszerű kapcsolatok valószínűleg sikertelenek lesznek. Fontos, hogy a határidő előtt legalább TLS 1.2-s vagy újabb verzióra váltsunk.

Hogyan ellenőrizhetim, hogy az SQL Database, a felügyelt SQL-példány, a Cosmos DB vagy a MySQL-példányok TLS 1.0/1.1-et használnak-e?

  • Az Azure SQL Database-hez TLS 1.0 és 1.1 használatával csatlakozó ügyfelek azonosításához engedélyezni kell az SQL-naplózási naplókat . Ha engedélyezve van a naplózás, megtekintheti az ügyfélkapcsolatokat.

  • A felügyelt Azure SQL-példányhoz TLS 1.0 és 1.1 használatával csatlakozó ügyfelek azonosításához engedélyezni kell a naplózást . Ha engedélyezve van a naplózás, az Azure Storage, az Event Hubs vagy az Azure Monitor-naplók naplózási naplóit használhatja az ügyfélkapcsolatok megtekintéséhez.

  • Az Azure Cosmos DB minimális TLS-verziójának ellenőrzéséhez kérje le a tulajdonság aktuális értékét az Azure CLI vagy az minimalTlsVersion Azure PowerShell használatával.

  • Az Azure Database for MySQL-kiszolgálóhoz konfigurált minimális TLS-verzió ellenőrzéséhez ellenőrizze a tls_version kiszolgálóparaméter értékét a MySQL parancssori felületével, hogy megértse, milyen protokollok vannak konfigurálva.

Miért lett megjelölve a szolgáltatásom, ha már konfiguráltam a TLS 1.2-t?

Előfordulhat, hogy a szolgáltatások helytelenül jelennek meg a következő miatt:

  • Az örökölt ügyfelek időnként visszaállnak a régebbi TLS-verziókra.
  • Helytelenül konfigurált ügyfélkönyvtárak vagy kapcsolati karakterláncok, amelyek nem kikényszerítik a TLS 1.2-t.
  • Telemetriai késés vagy hamis pozitív értékek az észlelési logikában.

Mit tegyek, ha hibaüzenetet kaptam a nyugdíjazási értesítésről?

Ha a kiszolgáló vagy adatbázis már legalább TLS 1.2-vel van konfigurálva, vagy minimális TLS nélkül van konfigurálva (az SQL Database és a felügyelt SQL-példány minimalTLSVersion alapértelmezett beállítása, amely megfelel az 1.2-nek 0, és csatlakozik az 1.2-hez, nincs szükség műveletre.

Mi történik, ha az alkalmazás vagy az ügyfélkódtár nem támogatja a TLS 1.2-t?

A kapcsolatok sikertelenek lesznek, ha a TLS 1.0/1.1 le van tiltva. Frissítenie kell az ügyfélkódtárakat, illesztőprogramokat vagy keretrendszereket a TLS 1.2-t támogató verziókra.

Mi történik, ha a kiszolgálóm minimális TLS-verzió nélkül van konfigurálva?

A minimális TLS-verzió nélkül konfigurált és a TLS 1.0/1.1-es verziójához csatlakozó kiszolgálókat a TLS 1.2-es verziójára kell frissíteni. A minimális TLS-verzió nélkül konfigurált, és az 1.2 verzióval csatlakozó kiszolgálók esetén nincs szükség beavatkozásra. Azoknál a kiszolgálóknál, amelyek nincsenek minimális TLS-verzióra konfigurálva és titkosított kapcsolatokat használnak, nincs szükség műveletre.

Hogyan kapok értesítést az erőforrások TLS megszűnéséről?

Az e-mail emlékeztetők továbbra is a TLS 1.0 és az 1.1 kivonásához vezetnek augusztusban.

Kihez fordulhatok, ha segítségre van szükségem az érvényesítéssel vagy a TLS-beállítások frissítésével kapcsolatban?

Ha segítségre van szüksége a TLS-beállítások érvényesítéséhez vagy frissítéséhez, forduljon a Microsoft Q&A-hoz , vagy nyisson meg egy támogatási jegyet az Azure Portalon, ha rendelkezik támogatási csomaggal.

Kapcsolódó tartalom

  • Last updated on