Pengaturan konektivitas Azure Synapse Analytics

Artikel ini menjelaskan cara mengonfigurasi pengaturan konektivitas di Azure Synapse Analytics, termasuk kumpulan SQL khusus dan kumpulan SQL tanpa server jika berlaku.

Untuk string koneksi ke kumpulan Azure Synapse Analytics, lihat Menyambungkan ke Synapse SQL.

Pengaturan konektivitas dan pengalaman portal Microsoft Azure untuk kumpulan SQL khusus berbeda tergantung pada apakah kumpulan disebarkan di kumpulan SQL khusus mandiri (sebelumnya SQL DW) atau di ruang kerja Azure Synapse Analytics. Sebaliknya, kumpulan SQL tanpa server hanya tersedia di ruang kerja Synapse dan mengikuti pengaturan konektivitas yang sama dengan kumpulan SQL khusus yang dibuat di ruang kerja.

Kumpulan SQL Khusus dan Tanpa Server di ruang kerja

Akses jaringan publik

Nota

Pengaturan ini berlaku untuk kumpulan SQL khusus dan kumpulan SQL tanpa server yang dibuat di ruang kerja Azure Synapse. Instruksi ini tidak berlaku untuk kumpulan SQL khusus yang terkait dengan kumpulan SQL khusus mandiri (sebelumnya SQL DW).

Anda dapat menggunakan fitur akses jaringan publik untuk mengizinkan konektivitas jaringan publik yang masuk ke ruang kerja Azure Synapse Anda.

• Ketika akses jaringan publik dinonaktifkan, Anda dapat terhubung ke ruang kerja Anda hanya dengan menggunakan titik akhir privat.
• Ketika akses jaringan publik diaktifkan, Anda dapat terhubung ke ruang kerja Anda juga dengan menggunakan jaringan publik. Anda dapat mengelola fitur ini baik selama dan setelah pembuatan ruang kerja Anda.

Penting

Fitur ini hanya tersedia untuk ruang kerja Azure Synapse yang terkait dengan Jaringan Virtual Terkelola Azure Synapse Analytics. Namun, Anda masih dapat membuka ruang kerja Synapse Anda ke jaringan publik terlepas dari hubungannya dengan VNet terkelola.

Saat akses jaringan publik dinonaktifkan, akses ke mode GIT di Synapse Studio dan perubahan penerapan tidak akan diblokir selama pengguna memiliki izin yang cukup untuk mengakses repositori Git terintegrasi atau cabang Git yang sesuai. Namun, tombol terbitkan tidak akan berfungsi karena akses ke mode Langsung diblokir oleh pengaturan firewall. Ketika akses jaringan publik dinonaktifkan, runtime integrasi yang dihost sendiri masih dapat berkomunikasi dengan Synapse. Saat ini kami tidak mendukung pembentukan tautan privat antara runtime integrasi yang dihost sendiri dan sarana kontrol Synapse.

Memilih opsi Nonaktifkan tidak akan menerapkan aturan firewall apa pun yang mungkin Anda konfigurasi. Selain itu, aturan firewall Anda akan muncul berwarna abu-abu di pengaturan Jaringan di portal Synapse. Konfigurasi firewall Anda diterapkan kembali saat Anda mengaktifkan akses jaringan publik lagi.

Petunjuk / Saran

Ketika Anda kembali untuk mengaktifkan, tunggu beberapa saat sebelum mengedit aturan firewall.

Mengonfigurasi akses jaringan publik saat membuat ruang kerja Anda

1. Pilih tab Jaringan saat Anda membuat ruang kerja di portal Microsoft Azure.

2. Di bagian Jaringan virtual terkelola, pilih Aktifkan untuk mengaitkan ruang kerja Anda dengan jaringan virtual terkelola dan mengizinkan akses jaringan publik.

3. Di bawah Akses jaringan publik, pilih Nonaktifkan untuk menolak akses publik ke ruang kerja Anda. Pilih Aktifkan jika Anda ingin mengizinkan akses publik ke ruang kerja Anda.

   

4. Selesaikan sisa alur pembuatan ruang kerja.

Mengonfigurasi akses jaringan publik setelah membuat ruang kerja Anda

1. Pilih ruang kerja Synapse Anda di portal Microsoft Azure.

2. Pilih Jaringan dari panel navigasi kiri.

3. Pilih Dinonaktifkan untuk menolak akses publik ke ruang kerja Anda. Pilih Diaktifkan jika Anda ingin mengizinkan akses publik ke ruang kerja Anda.

   

4. Ketika dinonaktifkan, Aturan firewall menjadi abu-abu untuk mengindikasikan bahwa aturan firewall belum diberlakukan. Konfigurasi aturan firewall akan dipertahankan.

5. Pilih Simpan untuk menyimpan perubahan. Pemberitahuan akan mengonfirmasi bahwa pengaturan jaringan telah berhasil disimpan.

Versi TLS minimal

Titik akhir SQL tanpa server dan titik akhir pengembangan hanya menerima TLS 1.2 ke atas.

Sejak Desember 2021, tingkat minimum TLS 1.2 diperlukan untuk kumpulan SQL khusus yang dikelola ruang kerja di ruang kerja Synapse baru. Anda dapat menaikkan atau menurunkan persyaratan ini menggunakan TLS REST API minimal untuk ruang kerja Synapse baru atau ruang kerja yang ada, sehingga pengguna yang tidak dapat menggunakan versi klien TLS yang lebih tinggi di ruang kerja dapat terhubung. Pelanggan juga dapat meningkatkan versi TLS minimum untuk memenuhi kebutuhan keamanan mereka.

Penting

Azure akan mulai menghentikan versi TLS yang lebih lama (TLS 1.0 dan 1.1) mulai November 2024. Gunakan TLS 1.2 atau yang lebih tinggi. Setelah 31 Maret 2025, Anda tidak akan lagi dapat mengatur versi TLS minimal untuk koneksi klien Azure Synapse Analytics di bawah TLS 1.2. Setelah tanggal ini, upaya masuk dari koneksi menggunakan versi TLS yang lebih rendah dari 1.2 akan gagal. Untuk informasi selengkapnya, lihat Pengumuman: Dukungan Azure untuk TLS 1.0 dan TLS 1.1 akan berakhir.

Azure Policy

Kebijakan Azure untuk mencegah modifikasi pada pengaturan jaringan di Ruang Kerja Synapse saat ini tidak tersedia.

Kumpulan SQL khusus mandiri (sebelumnya SQL DW)

Jaringan dan konektivitas

Anda dapat mengubah pengaturan ini di server logis Anda. Server SQL logis dapat menghosting database Azure SQL dan kumpulan SQL khusus mandiri yang tidak berada di ruang kerja Azure Synapse Analytics.

Penting

Pengaturan ini berlaku untuk kumpulan SQL khusus mandiri (sebelumnya SQL DW) yang terkait dengan server logis, bukan di ruang kerja Azure Synapse Analytics. Instruksi ini tidak berlaku untuk kumpulan SQL khusus di ruang kerja analitik Azure Synapse.

Mengubah akses jaringan publik

Dimungkinkan untuk mengubah akses jaringan publik untuk kumpulan SQL khusus mandiri Anda melalui portal Microsoft Azure, Azure PowerShell, dan Azure CLI.

Nota

Pengaturan ini berlaku segera setelah diterapkan. Pelanggan Anda mungkin mengalami kehilangan koneksi jika mereka tidak memenuhi persyaratan untuk setiap pengaturan.

Mengonfigurasi akses publik di portal Microsoft Azure

Untuk mengaktifkan akses jaringan publik untuk server logis yang menghosting kumpulan SQL khusus mandiri Anda:

1. Buka portal Microsoft Azure, dan buka server logis di Azure.
2. Di bawah Keamanan, pilih halaman Jaringan.
3. Pilih tab Akses publik, lalu atur Akses jaringan publik ke Pilih jaringan.

Dari halaman ini, Anda dapat menambahkan aturan jaringan virtual, serta mengonfigurasi aturan firewall untuk titik akhir publik Anda.

Pilih tab Akses privat untuk mengonfigurasi titik akhir privat.

Mengonfigurasi akses publik di PowerShell

Dimungkinkan untuk mengubah akses jaringan publik dengan menggunakan Azure PowerShell.

Penting

Modul Az menggantikan AzureRM. Semua pengembangan di masa depan adalah untuk modul Az.Sql. Skrip berikut ini memerlukan modul Azure PowerShell.

Skrip PowerShell berikut ini memperlihatkan cara Get dan Set properti Akses Jaringan Publik di tingkat server. Berikan kata sandi yang kuat untuk mengganti <strong password> dalam skrip sampel PowerShell berikut.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Mengonfigurasi akses publik di Azure CLI

Dimungkinkan untuk mengubah pengaturan jaringan publik dengan menggunakan Azure CLI.

Skrip CLI berikut menunjukkan cara mengubah pengaturan Akses Jaringan Publik di shell Bash:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Menolak akses jaringan publik

Default untuk pengaturan Akses jaringan publik adalah Nonaktifkan. Pelanggan dapat memilih untuk menyambungkan ke database dengan menggunakan titik akhir publik (dengan aturan firewall tingkat server berbasis IP atau dengan aturan firewall jaringan virtual), atau titik akhir privat (dengan menggunakan Azure Private Link), seperti yang diuraikan dalam gambaran umum akses jaringan.

Saat Akses jaringan publik diatur ke Nonaktifkan, hanya koneksi dari titik akhir privat yang diizinkan. Semua koneksi dari titik akhir publik akan ditolak dengan pesan kesalahan yang mirip dengan:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Ketika Akses jaringan publik diatur ke Nonaktifkan, setiap upaya untuk menambahkan, menghapus, atau mengedit aturan firewall apa pun akan ditolak dengan pesan kesalahan yang mirip dengan:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Pastikan bahwa Akses jaringan publik diatur ke Jaringan yang dipilih untuk dapat menambahkan, menghapus, atau mengedit aturan firewall apa pun untuk Azure Synapse Analytics.

Versi TLS Minimum

Pengaturan versi Keamanan Lapisan Transportasi (TLS) minimum memungkinkan pelanggan untuk memilih versi TLS mana yang digunakan. Dimungkinkan untuk mengubah versi TLS minimum dengan menggunakan portal Azure, Azure PowerShell, dan Azure CLI.

Setelah Anda menguji untuk mengonfirmasi bahwa aplikasi Anda mendukungnya, sebaiknya atur versi TLS minimal ke 1.3. Versi ini mencakup perbaikan untuk kerentanan dalam versi sebelumnya dan merupakan versi TLS tertinggi yang didukung untuk kumpulan SQL khusus mandiri.

Perubahan pensiun yang akan datang

Azure telah mengumumkan bahwa dukungan untuk versi TLS yang lebih lama (TLS 1.0, dan 1.1) berakhir pada 31 Agustus 2025. Untuk informasi selengkapnya, lihat Penghentian TLS 1.0 dan 1.1.

Mulai November 2024, Anda tidak akan lagi dapat mengatur versi TLS minimal untuk koneksi klien Azure Synapse Analytics di bawah TLS 1.2.

Mengonfigurasi versi TLS minimum

Anda dapat mengonfigurasi versi TLS minimum untuk koneksi klien dengan menggunakan portal Azure, Azure PowerShell, atau Azure CLI.

Perhatian

• Pengaturan bawaan untuk versi minimal TLS adalah mengizinkan semua versi. Setelah Anda menerapkan versi TLS, Anda tidak dapat kembali ke default.
• Memberlakukan minimal TLS 1.3 dapat menyebabkan masalah untuk koneksi dari klien yang tidak mendukung TLS 1.3 karena tidak semua driver dan sistem operasi mendukung TLS 1.3.

Untuk pelanggan dengan aplikasi yang mengandalkan versi TLS yang lebih lama, sebaiknya tetapkan versi TLS minimal sesuai dengan persyaratan aplikasi Anda. Jika persyaratan aplikasi tidak diketahui atau beban kerja mengandalkan driver lama yang tidak lagi dipertahankan, sebaiknya jangan mengatur versi TLS minimal.

Untuk informasi selengkapnya, lihat Pertimbangan TLS untuk konektivitas database.

Setelah Anda mengatur versi TLS minimal, pelanggan yang menggunakan versi TLS yang lebih rendah dari versi TLS minimum server akan gagal mengautentikasi, dengan kesalahan berikut:

Error 47072
Login failed with invalid TLS version

Nota

Versi TLS minimum diberlakukan pada lapisan aplikasi. Alat yang mencoba menentukan dukungan TLS di lapisan protokol mungkin mengembalikan versi TLS selain versi minimum yang diperlukan saat dijalankan langsung terhadap titik akhir.

Konfigurasikan versi minimum TLS di portal Azure

1. Buka portal Microsoft Azure, dan buka server logis di Azure.
2. Di bawah Keamanan, pilih halaman Jaringan.
3. Pilih tab Konektivitas . Pilih Versi TLS Minimum yang diinginkan untuk semua database yang terkait dengan server, dan pilih Simpan.

Mengonfigurasi versi TLS minimum di PowerShell

Dimungkinkan untuk mengubah versi TLS minimum dengan menggunakan Azure PowerShell.

Penting

Modul Az menggantikan AzureRM. Semua pengembangan di masa depan adalah untuk modul Az.Sql. Skrip berikut ini memerlukan modul Azure PowerShell.

Skrip PowerShell berikut ini menunjukkan cara mengatur properti GetVersi TLS Minimal di tingkat server logis.

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Untuk properti Set pada tingkat server logis, gantikan kata sandi Administrator Sql Anda dengan , dan jalankan:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Mengonfigurasi versi TLS minimum di Azure CLI

Dimungkinkan untuk mengubah pengaturan TLS minimum dengan menggunakan Azure CLI.

Penting

Semua skrip di bagian ini memerlukan Azure CLI.

Skrip CLI berikut menunjukkan cara mengubah pengaturan Versi Minimal TLS dalam shell Bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Mengidentifikasi koneksi klien

Anda dapat menggunakan log audit portal Azure dan SQL untuk mengidentifikasi klien yang terhubung menggunakan TLS 1.0 dan 1.0.

Di portal Azure, buka Metrik di bawah Pemantauan untuk sumber daya database Anda, lalu filter menurut Koneksi yang berhasil, dan = TLS dan 1.0:

Anda juga bisa mengkueri sys.fn_get_audit_file langsung dalam database Anda untuk menampilkan client_tls_version_name dalam file audit.

Kebijakan sambungan

Kebijakan koneksi untuk Synapse SQL di Azure Synapse Analytics diatur ke Default. Anda tidak dapat mengubah kebijakan koneksi untuk kumpulan SQL khusus atau tanpa server di Azure Synapse Analytics.

Login untuk kumpulan SQL di Azure Synapse Analytics dapat masuk ke salah satu alamat IP Gateway individual atau subnet alamat IP Gateway di suatu wilayah. Untuk konektivitas yang konsisten, izinkan lalu lintas jaringan ke dan dari semua alamat IP Gateway individual dan subnet alamat IP Gateway di suatu wilayah. Lihat Rentang IP Azure dan Tag Layanan - Cloud Publik untuk daftar alamat IP di wilayah Anda yang perlu diizinkan aksesnya.

• Default: Ini adalah kebijakan koneksi yang berlaku pada semua server setelah pembuatan kecuali Anda secara eksplisit mengubah kebijakan koneksi menjadi Proxy atau Redirect. Kebijakan defaultnya adalah:
  • Redirect untuk semua koneksi klien yang berasal dari dalam Azure (misalnya, dari Azure Virtual Machine).
  • Proxy untuk semua koneksi klien yang berasal dari luar (misalnya, koneksi dari stasiun kerja lokal Anda).
• Mengarahkan: Klien membuat koneksi langsung ke node yang menghosting database, yang mengarah ke pengurangan latensi dan throughput yang ditingkatkan. Agar koneksi menggunakan mode ini, klien perlu:
  • Izinkan komunikasi keluar dari klien ke semua alamat IP Azure SQL di wilayah pada port dalam rentang 11000 hingga 11999. Gunakan Tag Layanan untuk SQL untuk mempermudah pengelolaan ini. Jika Anda menggunakan Private Link, lihat Gunakan kebijakan koneksi pengalihan dengan titik akhir privat untuk rentang port yang harus diizinkan.
  • Izinkan komunikasi keluar dari klien ke alamat IP gateway Azure SQL Database pada port 1433.
  • Saat menggunakan kebijakan koneksi Redirect, rujuklah pada Rentang IP Azure dan Tag Layanan – Cloud Publik untuk mendapatkan daftar alamat IP di wilayah Anda yang perlu diizinkan.
• Proxy: Dalam mode ini, semua koneksi diproksi melalui gateway Azure SQL Database, yang mengarah ke peningkatan latensi dan throughput yang berkurang. Agar koneksi menggunakan mode ini, klien perlu mengizinkan komunikasi keluar dari klien ke alamat IP gateway Azure SQL Database pada port 1433.
  • Saat menggunakan kebijakan koneksi Proksi, izinkan alamat IP wilayah Anda dari daftar alamat IP Gateway.

Konten terkait

• Aturan firewall IP Azure Synapse Analytics
• Apa perbedaan antara Azure Synapse (sebelumnya SQL DW) dan Ruang Kerja Azure Synapse Analytics
• Apa itu server SQL logis di Azure SQL Database dan Azure Synapse?