Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Tip
Microsoft Fabric Data Warehouse egy nagyvállalati szintű relációs raktár egy Data Lake-alaprendszeren, jövőre kész architektúrával, beépített AI-vel és új funkciókkal. Ha még nem ismerkedik az adattárházakkal, kezdje a Fabric Data Warehouse-szal. A meglévő dedikált SQL-készlet számítási feladatai frissíthetők Fabric az adatelemzés, a valós idejű elemzés és a jelentéskészítés új képességeinek eléréséhez.
Amikor új logikai kiszolgálót hoz létre Azure Synapse Analytics mysqlserver néven, például egy kiszolgálószintű tűzfal blokkolja az logical kiszolgáló nyilvános végpontjának hozzáférését. Azure Synapse támogatja a kiszolgálószintű IP-tűzfalszabályokat. A dedikált SQL-készletek Azure Synapse Analytics munkaterületeken nem használnak logikai SQL-kiszolgálókat, és munkaterületszintű tűzfallal rendelkeznek.
- A Azure SQL Database kiszolgáló- és adatbázis IP-tűzfalszabályairól a Azure SQL Database IP-tűzfalszabályokat
- A Azure SQL Managed Instance hálózati konfigurációjáról további információt a Az alkalmazás csatlakoztatása Azure SQL Managed Instance című témakörben talál.
A tűzfal működése
Az internetről és a Azure való kapcsolódási kísérleteknek át kell haladniuk a tűzfalon, mielőtt elérnék a kiszolgálót vagy az adatbázist
Kiszolgálószintű IP-tűzfalszabályok
Ezek a szabályok lehetővé teszik az ügyfelek számára a teljes kiszolgáló, vagyis a kiszolgáló által felügyelt összes adatbázis elérését. A szabályok az master adatbázisban vannak tárolva. A kiszolgálószintű IP-tűzfalszabályok maximális száma kiszolgáló esetén legfeljebb 256 lehet. Ha engedélyezve van a Azure szolgáltatások és erőforrások számára a kiszolgáló elérésének engedélyezése beállítás, ez egyetlen tűzfal szabálynak számít a kiszolgáló számára.
A kiszolgálószintű IP-tűzfalszabályokat a Azure portál, a PowerShell vagy Transact-SQL utasítások használatával konfigurálhatja.
Note
A kiszolgálószintű IP-tűzfalszabályok maximális száma 256-ra korlátozódik a Azure portál használatával történő konfiguráláskor.
- A portál vagy a PowerShell használatához az előfizetés tulajdonosának vagy az előfizetés közreműködőjének kell lennie.
- A Transact-SQL használatához a
masteradatbázishoz kell csatlakoznia kiszolgálószintű egyszerű bejelentkezésként vagy Microsoft Entra rendszergazdaként. (A kiszolgálószintű IP-tűzfalszabályt először olyan felhasználónak kell létrehoznia, aki Azure szintű engedélyekkel rendelkezik.)
Note
Alapértelmezés szerint az Azure portálról történő új logikai SQL-kiszolgáló létrehozásakor a Azure-szolgáltatások és erőforrások ezen kiszolgálóhoz való hozzáférésének engedélyezése beállítás értéke Nem.
Javaslatok tűzfalszabályok beállításához
Kiszolgálószintű IP-tűzfalszabályokat akkor használjon, ha sok olyan adatbázissal rendelkezik, amelyekre ugyanazok a hozzáférési követelmények vonatkoznak, és nem szeretné egyenként konfigurálni az egyes adatbázisokat.
Kapcsolatok az internetről
Amikor egy számítógép megpróbál csatlakozni a kiszolgálóhoz az internetről, a tűzfal először ellenőrzi a kérés eredeti IP-címét.
- Ha a cím egy olyan tartományon belül van, amely a kiszolgálószintű IP-tűzfalszabályokban található, a kapcsolat meg lesz adva.
- A kiszolgálószintű IP-tűzfalszabályok a kiszolgáló által felügyelt összes adatbázisra érvényesek.
- Ha a cím nem egy olyan tartományon belül van, amely a kiszolgálószintű IP-tűzfalszabályok egyikében sem szerepel, a kapcsolatkérés meghiúsul.
Permissions
Az IP-tűzfalszabályok létrehozásához és kezeléséhez az alábbi szerepkörök egyikével kell rendelkeznie:
- SQL Server Közreműködő szerepkörben
- az SQL Security Manager szerepkörben
- az erőforrás tulajdonosa
IP-tűzfalszabályok létrehozása és kezelése
Az első kiszolgálószintű tűzfalbeállítást a Azure portál vagy programozott módon hozhatja létre Azure PowerShell, Azure CLI vagy Azure REST API használatával. Ezekkel a módszerekkel vagy Transact-SQL további kiszolgálószintű IP-tűzfalszabályokat hozhat létre és kezelhet. Azure Synapse csak kiszolgálószintű IP-tűzfalszabályokat támogat. Nem támogatja az adatbázisszintű IP-tűzfalszabályokat.
Tip
A Auditing for Azure Synapse Analytics használatával naplózhatja a kiszolgálószintű és az adatbázisszintű tűzfal módosításait.
Kiszolgálószintű IP-tűzfalszabályok kezelése a Azure portálon
Ha kiszolgálószintű IP-tűzfalszabályt szeretne beállítani a Azure portálon, lépjen a logikai kiszolgáló Overview lapjára.
Lépjen a Hálózatkezelés lapra.
Adjon hozzá egy szabályt a Tűzfalszabályok szakaszban a használt számítógép IP-címének hozzáadásához, majd válassza a Mentés lehetőséget. A rendszer létrehoz egy kiszolgálószintű IP-tűzfalszabályt az aktuális IP-címhez.
IP-tűzfalszabályok kezelése Transact-SQL használatával
| Katalógusnézet vagy tárolt eljárás | Level | Description |
|---|---|---|
| sp_set_firewall_rule | Server | Kiszolgálószintű IP-tűzfalszabályok létrehozása vagy frissítése |
| sp_delete_firewall_rule | Server | Kiszolgálószintű IP-tűzfalszabályok eltávolítása |
Kiszolgálószintű IP-tűzfalszabály hozzáadása.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Kiszolgálószintű IP-tűzfalszabály törléséhez hajtsa végre a sp_delete_firewall_rule tárolt eljárást. Az alábbi példa törli a szabályt ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Kiszolgálószintű IP-tűzfalszabályok kezelése a PowerShell használatával
Note
Ez a cikk az Azure Az PowerShell-modult használja, amely az Azure-ral való interakcióhoz ajánlott PowerShell-modul. Az Az PowerShell-modul használatának megkezdéséhez tekintse meg a Install Azure PowerShell című témakört. Az Az PowerShell-modulba való migrálásról további információt az Azure PowerShell migrálása az AzureRM-ből az Az-be című témakörben talál.
Important
A PowerShell Azure Resource Manager (AzureRM) modul 2024. február 29-én használaton kívül lett helyezve. Minden jövőbeli fejlesztésnek az Az.Sql modult kell használnia. Javasoljuk a felhasználóknak, hogy migráljanak az AzureRM-ből az Az PowerShell-modulba a folyamatos támogatás és frissítések biztosítása érdekében. Az AzureRM-modult a továbbiakban nem tartjuk karban vagy támogatjuk. Az Az PowerShell-modulban és az AzureRM-modulokban található parancsok argumentumai lényegében azonosak. A kompatibilitásukról további információt az új Az PowerShell-modul bemutatása című témakörben talál.
| cmdlet | Level | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Server | Synapse Analytics tűzfalszabályokat ad vissza. |
| New-AzSynapseFirewallRule | Server | Létrehoz egy Synapse Analytics-tűzfalszabályt. |
| Remove-AzSynapseFirewallRule | Server | Eltávolít egy Synapse Analytics-tűzfalszabályt. |
| Update-AzSynapseFirewallRule | Server | Frissíti a Synapse Analytics tűzfalszabályát. |
Kiszolgálószintű IP-tűzfalszabályok kezelése a parancssori felület használatával
| cmdlet | Level | Description |
|---|---|---|
| az synapse sql | SQL-készletek kezelése. | |
| az synapse workspace firewall-rule | Munkaterület tűzfalszabályainak kezelése. |
A munkaterületszintű tűzfalszabályokért lásd:
| cmdlet | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Server | Tűzfalszabály létrehozása |
| az synapse workspace firewall-rule delete | Server | Tűzfalszabály törlése |
| az synapse workspace firewall-rule list | Server | Az összes tűzfalszabály listázása |
| az synapse workspace firewall-rule show - megjeleníti a tűzfalszabályokat a synapse munkaterületen | Server | Tűzfalszabály lekérése |
| az synapse munkaterület tűzfal-szabály frissítés | Server | Tűzfalszabály frissítése |
| az synapse workspace tűzfal-szabály vár | Server | Helyezze a parancssori felületet várakozási állapotba, amíg a tűzfalszabály feltételei teljesülnek |
Az alábbi példa parancssori felülettel állít be kiszolgálószintű IP-tűzfalszabályt Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Kiszolgálószintű IP-tűzfalszabályok kezelése REST API használatával
| Command | Description |
|---|---|
| SQL-készletek | Synapse SQL-készlet kezelése. |
| ip-tűzfalszabályok | Synapse IP-tűzfalszabályok kezelése. |
A tűzfalfrissítések késésének ismertetése
A kiszolgálóhitelesítési modell 5 perces késéssel rendelkezik a biztonsági beállítások minden módosításához, kivéve, ha az adatbázist tartalmazza, és nem rendelkezik feladatátvevő partnerrel. A feladatátvételi partner nélküli zárt adatbázisok módosításai azonnali hatállyal történnek. Feladatátvételi partnerrel rendelkező tárolt adatbázisok esetén minden biztonsági frissítés azonnal megjelenik az elsődleges adatbázisban, de a másodlagos adatbázis akár 5 percet is igénybe vehet a változások tükrözése érdekében.
Az alábbi táblázat az adatbázis típusa és feladatátvételi konfigurációja alapján a biztonsági beállítások változásainak késését ismerteti:
| Hitelesítési modell | Átváltási funkció konfigurálva | A biztonsági beállítások módosításainak késése | Látens példányok |
|---|---|---|---|
| Kiszolgálóhitelesítés | Igen | 5 perc | minden adatbázis |
| Kiszolgálóhitelesítés | No | 5 perc | minden adatbázis |
| Tartalmazott adatbázis | Igen | 5 perc | a másodlagos adatbázis |
| Tartalmazott adatbázis | No | Nincs | Nincs |
Tűzfalszabályok manuális frissítése
Ha az 5 perces késésnél gyorsabban kell frissítenie a tűzfalszabályokat, manuálisan frissítheti a tűzfalszabályokat. Jelentkezzen be a szabályok frissítését igénylő adatbázispéldányba, és futtassa a DBCC FLUSHAUTHCACHE parancsot. Ez azt eredményezi, hogy az adatbázispéldány kiüríti a helyi gyorsítótárat, és frissíti a tűzfalszabályokat.
DBCC FLUSHAUTHCACHE[;]
A tűzfal hibaelhárítása
Vegye figyelembe az alábbi pontokat, ha a hozzáférés nem a várt módon működik.
Helyi tűzfalkonfiguráció:
Ahhoz, hogy a számítógép hozzáférhessen a dedikált SQL-készlethez, előfordulhat, hogy tűzfalkivételt kell létrehoznia a számítógépen az 1433-at futtató TCP-porthoz. Ha a Azure felhőhatáron belül szeretne kapcsolatokat létesíteni, előfordulhat, hogy további portokat kell megnyitnia.
Hálózati címfordítás:
A hálózati címfordítás (NAT) miatt a számítógép által a Azure Synapse Analytics való csatlakozáshoz használt IP-cím eltérhet a számítógép IP-konfigurációs beállításaiban megadott IP-címétől. A számítógép által a Azure való csatlakozáshoz használt IP-cím megtekintése:
- Jelentkezzen be a portálra.
- Lépjen az adatbázist üzemeltető kiszolgáló Konfigurálás lapjára.
- Az aktuális ügyfél IP-címe az Engedélyezett IP-címek szakaszban jelenik meg. Válassza a Hozzáadásengedélyezett IP-címekhez lehetőséget, hogy a számítógép hozzáférhessen a kiszolgálóhoz.
Az engedélyezési lista módosításai még nem lépnek érvénybe:
A Azure Synapse Analytics tűzfalkonfiguráció módosításának érvénybe lépése akár öt percet is igénybe vehet.
A bejelentkezés nincs engedélyezve, vagy helytelen jelszót használtak:
Ha egy bejelentkezés nem rendelkezik engedélyekkel a kiszolgálón, vagy a jelszó helytelen, a rendszer megtagadja a kapcsolatot a kiszolgálóval. Tűzfalbeállítás létrehozása csak lehetőséget biztosít az ügyfeleknek arra, hogy megpróbáljanak csatlakozni a kiszolgálóhoz. Az ügyfélnek továbbra is meg kell adnia a szükséges biztonsági hitelesítő adatokat. További információ: Azure Synapse Analytics kapcsolati beállítások.
Dinamikus IP-cím:
Ha dinamikus IP-címzést használó internetkapcsolattal rendelkezik, és nem tud átjutni a tűzfalon, próbálkozzon az alábbi megoldások egyikével:
- Kérje meg az internetszolgáltatótól a kiszolgálót elérő ügyfélszámítógépekhez rendelt IP-címtartományt. Adja hozzá az IP-címtartományt IP-tűzfalszabályként.
- Ehelyett statikus IP-címzést kérhet le az ügyfélszámítógépekhez. Adja hozzá az IP-címeket IP-tűzfalszabályokként.