Az Azure Synapse Analytics csatlakozási beállításai

Ez a cikk bemutatja, hogyan konfigurálhatja a kapcsolati beállításokat az Azure Synapse Analyticsben, beleértve a dedikált SQL-készleteket és a kiszolgáló nélküli SQL-készleteket is, ahol alkalmazható.

Az Azure Synapse Analytics-készletek kapcsolati karakterláncainak átolvasása érdekében lásd Csatlakozás Synapse SQL-hez.

A kapcsolati beállítások és a dedikált SQL-készletek Azure Portal-felülete attól függően különbözik, hogy a készlet különálló dedikált SQL-készletekben (korábban SQL DW- vagy Azure Synapse Analytics-munkaterületen) van-e üzembe helyezve. Ezzel szemben a kiszolgáló nélküli SQL-készletek csak a Synapse-munkaterületeken érhetők el, és ugyanazokat a csatlakozási beállításokat követik, mint a munkaterületen létrehozott dedikált SQL-készletek.

Dedikált és kiszolgáló nélküli SQL-készletek egy munkaterületen

Nyilvános hálózati hozzáférés

Megjegyzés:

Ezek a beállítások az Azure Synapse-munkaterületen létrehozott dedikált SQL-készletekre és kiszolgáló nélküli SQL-készletekre vonatkoznak. Ezek az utasítások nem vonatkoznak az önálló dedikált SQL-készletekhez (korábban SQL DW-hez) társított dedikált SQL-készletekre.

A nyilvános hálózati hozzáférési funkcióval engedélyezheti az Azure Synapse-munkaterületre bejövő nyilvános hálózati kapcsolatokat.

• Ha a nyilvános hálózati hozzáférés le van tiltva, a munkaterülethez csak privát végpontok használatával lehet csatlakozni.
• Ha a nyilvános hálózati hozzáférés engedélyezve van, a munkaterülethez nyilvános hálózatokról is csatlakozni lehet. Ezt a funkciót a munkaterület létrehozása közben és utána is be lehet állítani.

Fontos

Ez a funkció csak az Azure Synapse Analytics által felügyelt virtuális hálózathoz társított Azure Synapse-munkaterületeken érhető el. Azonban a Synapse-munkaterületeket a felügyelt virtuális hálózathoz való társításuktól függetlenül is meg lehet nyitni a nyilvános hálózat számára.

Ha a nyilvános hálózati hozzáférés le van tiltva, a git módhoz való hozzáférés a Synapse Studióban és a véglegesítési módosítások nem lesznek letiltva, amíg a felhasználó rendelkezik elegendő engedéllyel az integrált Git-adattárhoz vagy a megfelelő Git-ághoz való hozzáféréshez. A közzététel gomb azonban nem fog működni, mert az élő módhoz való hozzáférést a tűzfal beállításai blokkolják. Ha a nyilvános hálózati hozzáférés le van tiltva, a saját üzemeltetésű integrációs modul továbbra is képes kommunikálni a Synapse-szel. Jelenleg nem támogatjuk a saját üzemeltetésű integrációs modul és a Synapse vezérlősík közötti privát kapcsolat létrehozását.

A Letiltás lehetőség kiválasztásával nem fog olyan tűzfalszabályokat alkalmazni, amelyeket konfigurálhat. Emellett a tűzfalszabályok szürkével jelennek meg a Synapse portál Hálózati beállításában. Amikor ismét engedélyezi a nyilvános hálózati hozzáférést, a tűzfalkonfigurációk újra alkalmazásra kerülnek.

Tipp.

Amikor visszaállítja az engedélyezést, várjon egy kis ideig, mielőtt szerkeszti a tűzfalszabályokat.

Nyilvános hálózati hozzáférés konfigurálása a munkaterület létrehozásakor

1. Válassza ki a Hálózatkezelés lapot a munkaterület Azure Portalon való létrehozásakor.

2. A Felügyelt virtuális hálózat területen válassza az Engedélyezés lehetőséget a munkaterület felügyelt virtuális hálózathoz való társításához és a nyilvános hálózati hozzáférés engedélyezéséhez.

3. A Nyilvános hálózati hozzáférés területen válassza a Letiltás lehetőséget, hogy megtagadja a munkaterülethez való nyilvános hozzáférést. Válassza az Engedélyezés lehetőséget, ha szeretné engedélyezni a munkaterülethez való nyilvános hozzáférést.

   

4. Végezze el a munkaterület-létrehozási folyamat hátralévő részét.

Nyilvános hálózati hozzáférés konfigurálása a munkaterület létrehozása után

1. Válassza ki a Synapse-munkaterületet az Azure Portalon.

2. Válassza a Hálózatkezelés lehetőséget a bal oldali navigációs menüben.

3. Válassza a Letiltva lehetőséget a munkaterülethez való nyilvános hozzáférés megtagadásához. Válassza az Engedélyezve lehetőséget a munkaterülethez való nyilvános hozzáférés engedélyezéséhez.

   

4. Ha le van tiltva, a Tűzfalszabályok szürkén jelennek meg, ezzel jelezve, hogy a tűzfalszabályok nincsenek érvényben. A rendszer megőrzi a tűzfalszabályok konfigurációit.

5. Kattintson a Mentés gombra a módosítások mentéséhez. Egy értesítés tájékoztatja arról, hogy a hálózati beállítás mentése sikeres volt.

Minimális TLS-verzió

A kiszolgáló nélküli SQL-végpont és a fejlesztési végpont csak a TLS 1.2-es vagy újabb verzióját fogadja el.

2021 decembere óta az új Synapse-munkaterületeken a munkaterület által felügyelt dedikált SQL-készletek esetében a TLS 1.2 minimális szintje szükséges. Ezt a követelményt az új Synapse-munkaterületek vagy a meglévő munkaterületek minimális TLS REST API-jának használatával emelheti vagy csökkentheti, így azok a felhasználók, akik nem tudnak magasabb TLS-ügyfélverziót használni a munkaterületeken, csatlakozhatnak. Az ügyfelek is növelhetik a minimális TLS-verziót, hogy az megfeleljen a biztonsági igényeiknek.

Fontos

Az Azure 2024 novemberétől megkezdi a régebbi TLS-verziók (TLS 1.0 és 1.1) kivonását. Használja a TLS 1.2 vagy újabb verzióját. 2025. március 31-e után már nem állíthatja be az Azure Synapse Analytics-ügyfélkapcsolatok minimális TLS-verzióját a TLS 1.2 alatt. Ezen dátum után az 1.2-nél kisebb TLS-verziót használó kapcsolatokból való bejelentkezési kísérletek sikertelenek lesznek. További információ: Közlemény: A TLS 1.0 és a TLS 1.1 Azure-támogatás megszűnik.

Azure Policy

A Synapse-munkaterület hálózati beállításainak módosítását megakadályozó Azure-szabályzat jelenleg nem érhető el.

Különálló dedikált SQL-készletek (korábban SQL DW)

Hálózatkezelés és kapcsolat

Ezeket a beállításokat módosíthatja a logikai szerver. A logikai SQL-kiszolgálók azure SQL-adatbázisokat és különálló dedikált SQL-készleteket is üzemeltethetnek, nem Azure Synapse Analytics-munkaterületen.

Fontos

Ezek a beállítások a logikai kiszolgálóhoz társított önálló dedikált SQL-készletekre (korábbi nevén SQL DW-ra) vonatkoznak, nem azure Synapse Analytics-munkaterületen. Ezek az utasítások nem vonatkoznak az Azure Synapse Analytics-munkaterület dedikált SQL-készleteire.

Nyilvános hálózati hozzáférés módosítása

Az önálló dedikált SQL-készlet nyilvános hálózati hozzáférését az Azure Portalon, az Azure PowerShellen és az Azure CLI-en keresztül módosíthatja.

Megjegyzés:

Ezek a beállítások közvetlenül az alkalmazásuk után lépnek érvénybe. Az ügyfelek kapcsolatvesztést tapasztalhatnak, ha nem felelnek meg az egyes beállítások követelményeinek.

Nyilvános hozzáférés konfigurálása az Azure Portalon

A különálló dedikált SQL-készletet futtató logikai kiszolgáló nyilvános hálózati hozzáférésének engedélyezése:

1. Nyissa meg az Azure Portalt, és nyissa meg az Azure logikai kiszolgálóját.
2. A Biztonságiterületen válassza a Hálózatkezelés lapot.
3. Válassza a Nyilvános hozzáférés lapot, majd állítsa a Nyilvános hálózati hozzáféréstHálózatok kijelöléselehetőségre.

Ezen a lapon hozzáadhat egy virtuális hálózati szabályt, valamint konfigurálhat tűzfalszabályokat a nyilvános végponthoz.

Válassza a Privát hozzáférés lapot egy privát végpontkonfigurálásához.

Nyilvános hozzáférés konfigurálása a PowerShellben

A nyilvános hálózati hozzáférés az Azure PowerShell használatával módosítható.

Fontos

A Az modul felváltja a AzureRM-et. Minden jövőbeli fejlesztés a Az.Sql modulhoz tartozik. Az alábbi szkripthez az Azure PowerShell-modulszükséges.

Az alábbi PowerShell-szkript bemutatja, hogyan lehet Get és Set a nyilvános hálózati hozzáférés tulajdonságot kiszolgálószinten. Adjon meg egy erős jelszót a következő PowerShell-példaszkript lecseréléséhez <strong password> .

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Nyilvános hozzáférés konfigurálása az Azure CLI-ben

A nyilvános hálózati beállítások az Azure CLIhasználatával módosíthatók.

A következő CLI-parancsfájl bemutatja, hogyan módosíthatja a nyilvános hálózati hozzáférés beállítást egy Bash parancsértelmezőben:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Nyilvános hálózati hozzáférés megtagadása

A nyilvános hálózati hozzáférés beállítás alapértelmezett értéke Tiltsa le. Az ügyfelek dönthetnek úgy, hogy nyilvános végpontokkal (IP-alapú kiszolgálószintű tűzfalszabályokkal vagy virtuális hálózati tűzfalszabályokkal) vagy privát végpontokkal (az Azure Private Link használatával) csatlakoznak az adatbázishoz a hálózati hozzáférés áttekintése.

Amikor a nyilvános hálózati hozzáférésLetiltvavan beállítva, csak a privát végpontokról érkező kapcsolatok engedélyezettek. A nyilvános végpontokról érkező összes kapcsolatot a rendszer a következőhöz hasonló hibaüzenettel tagadja meg:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Amikor a nyilvános hálózati hozzáférés a Letiltásravan állítva, a tűzfalszabályok hozzáadására, eltávolítására vagy szerkesztésére tett kísérleteket a következőhöz hasonló hibaüzenet fogja elutasítani:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Győződjön meg arról, hogy a nyilvános hálózati hozzáféréskiválasztott hálózatokra van állítva, hogy az Azure Synapse Analytics tűzfalszabályait hozzá tudja adni, eltávolíthassa vagy szerkessze.

Minimális TLS-verzió

A Transport Layer Security (TLS) minimális verzióbeállításával az ügyfelek kiválaszthatják, hogy melyik TLS-verzió van használatban. A minimális TLS-verzió az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.

Miután tesztelte, hogy az alkalmazások támogatják-e, javasoljuk, hogy állítsa a minimális TLS-verziót 1.3-ra. Ez a verzió tartalmazza a korábbi verziók biztonsági réseinek javítását, és a TLS legmagasabb támogatott verziója önálló dedikált SQL-készletekhez.

Közelgő nyugdíjváltozások

Az Azure bejelentette, hogy a régebbi TLS-verziók (TLS 1.0 és 1.1) támogatása 2025. augusztus 31-ig tart. További információért lásd: A TLS 1.0 és 1.1 elavulása.

2024 novemberétől kezdve már nem tudja beállítani az Azure Synapse Analytics-ügyfélkapcsolatok minimális TLS-verzióját a TLS 1.2 alatt.

A TLS minimális verziójának konfigurálása

Az ügyfélkapcsolatok minimális TLS-verzióját az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával konfigurálhatja.

Figyelmeztetés

• A minimális TLS-verzió alapértelmezett értéke az összes verzió engedélyezése. A TLS egy verziójának kényszerítése után nem lehet visszaállítani az alapértelmezett értéket.
• A TLS 1.3 minimális rendszerének kényszerítése problémákat okozhat a TLS 1.3-at nem támogató ügyfelek kapcsolatainál, mivel nem minden illesztőprogram és operációs rendszer támogatja a TLS 1.3-at.

A TLS régebbi verzióira támaszkodó alkalmazásokkal rendelkező ügyfelek számára javasoljuk, hogy az alkalmazások követelményeinek megfelelően állítsa be a minimális TLS-verziót. Ha az alkalmazáskövetelmények ismeretlenek, vagy a számítási feladatok régebbi, már nem karbantartott illesztőprogramokra támaszkodnak, javasoljuk, hogy ne állítsunk be minimális TLS-verziót.

További információkért tekintse meg az adatbázis-kapcsolat TLS-szempontjait.

A minimális TLS-verzió beállítása után a kiszolgáló minimális TLS-verziójánál alacsonyabb TLS-verziót használó ügyfelek hitelesítése sikertelen lesz, az alábbi hibával:

Error 47072
Login failed with invalid TLS version

Megjegyzés:

A minimális TLS-verziót az alkalmazásrétegen kényszeríti ki a rendszer. Azok az eszközök, amelyek megkísérlik meghatározni a TLS-támogatást a protokollrétegen, a minimálisan szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül a végponton futnak.

Minimális TLS-verzió konfigurálása az Azure Portalon

1. Nyissa meg az Azure Portalt, és nyissa meg az Azure logikai kiszolgálóját.
2. A Biztonságiterületen válassza a Hálózatkezelés lapot.
3. Válassza a Kapcsolatkezelés lapot. Válassza ki a kiszolgálóhoz társított összes adatbázishoz a minimális TLS-verziót, majd válassza a Mentéslehetőséget.

A TLS minimális verziójának konfigurálása a PowerShellben

Az Azure PowerShell használatával módosíthatja a minimális TLS-verziót.

Fontos

A Az modul felváltja a AzureRM-et. Minden jövőbeli fejlesztés a Az.Sql modulhoz tartozik. Az alábbi szkripthez az Azure PowerShell-modulszükséges.

Az alábbi PowerShell-szkript bemutatja, hogyan állíthatja be a Get a Minimális TLS-verzió tulajdonságot a logikai kiszolgáló szintjén:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

A logikai kiszolgáló szintjén a Set módosításához helyettesítse a -t az SQL-rendszergazda jelszavával, majd hajtsa végre az alábbi parancsot:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Minimális TLS-verzió konfigurálása az Azure CLI-ben

A minimális TLS-beállítások az Azure CLI használatával módosíthatók.

Fontos

Az ebben a szakaszban szereplő összes szkripthez az Azure CLIszükséges.

A következő CLI-szkript bemutatja, hogyan módosíthatja a Minimális TLS-verzió beállítást egy Bash-rendszerhéjban:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Ügyfélkapcsolatok azonosítása

Az Azure Portal és az SQL auditnaplói segítségével azonosíthatja a TLS 1.0 és 1.0 használatával csatlakozó ügyfeleket.

Az Azure Portalon nyissa meg az adatbázis-erőforrás Monitorozási területén Metrikákat, majd szűrjön Sikeres kapcsolatok, valamint TLS-verziók = 1.0 és 1.1szerint:

Közvetlenül az adatbázisban lekérdezheti a sys.fn_get_audit_file funkciót, hogy megtekinthesse a client_tls_version_name az auditfájlban.

Kapcsolati szabályzat

A Synapse SQL kapcsolati szabályzata az Azure Synapse Analyticsben Alapértelmezett értékűre van állítva. A dedikált vagy kiszolgáló nélküli SQL-készletek kapcsolati szabályzata nem módosítható az Azure Synapse Analyticsben.

Az Azure Synapse Analytics SQL-készleteinek bejelentkezései a régióban lévő egyes átjáró IP-címek vagy átjáró IP-cím alhálózatai bármelyikére leküldhetők. A konzisztens kapcsolat érdekében engedélyezze a hálózati forgalmat a régióban lévő összes különálló átjáró IP-címére és az összes átjáró IP-cím alhálózatára. Tekintse meg az Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő című témakört a régió engedélyezett IP-címeinek listájához.

• Alapértelmezett: Ez az összes kiszolgálóra érvényes kapcsolati szabályzat a létrehozás után, kivéve, ha explicit módon módosítja a kapcsolati szabályzatot Proxy vagy Redirect. Az alapértelmezett szabályzat a következő:
  • Redirect az Azure-ból származó összes ügyfélkapcsolathoz (például egy Azure-beli virtuális gépről).
  • Proxy minden kívülről származó ügyfélkapcsolathoz (például a helyi munkaállomásról származó kapcsolatokhoz).
• Átirányít: Az ügyfelek közvetlenül az adatbázist üzemeltető csomóponttal létesítenek kapcsolatokat, ami csökkentett késést és jobb átviteli sebességet eredményez. Ahhoz, hogy a kapcsolatok ezt a módot használják, az ügyfeleknek a következőkre van szükségük:
  • Engedélyezze az ügyféltől az 11000 és 11999 közötti portokon a régióban lévő összes Azure SQL IP-cím felé irányuló kimenő kommunikációt. Az SQL szolgáltatáscímkéinek használatával egyszerűbbé teheti ezt a feladatot. Ha a Private Link szolgáltatást használja, tekintse át a privát végpontokkal való kapcsolat átirányítási politikáját a megengedett porttartományokhoz.
  • Az ügyféltől az Azure SQL Database átjáró IP-címeihez az 1433-as porton történő kimenő kommunikáció engedélyezése.
  • Az átirányítási kapcsolat szabály használatakor tekintse meg a Azure IP-tartományok és szolgáltatáscímkék – Nyilvános felhő listáját a régió IP-címeinek engedélyezéséhez.
• Proxy: Ebben a módban az összes kapcsolat az Azure SQL Database-átjárókon keresztül történik, ami nagyobb késést és alacsonyabb átviteli sebességet eredményez. Ahhoz, hogy a kapcsolatok ezt a módot használják, az ügyfeleknek engedélyeznie kell az ügyfélről az Azure SQL Database-átjáró IP-címeivel való kimenő kommunikációt az 1433-as porton.
  • A proxykapcsolati szabályzat használatakor engedélyezze a régió IP-címét az átjáró IP-címeinek listájából.

Kapcsolódó tartalom

• Azure Synapse Analytics IP-tűzfalszabályok
• Mi a különbség az Azure Synapse (korábban SQL DW) és az Azure Synapse Analytics-munkaterület között?
• Mi a logikai SQL-kiszolgáló az Azure SQL Database-ben és az Azure Synapse-ban?