Kontrol akses jaringan Azure SQL Database dan Azure Synapse Analytics
Berlaku untuk:
Azure SQL DatabaseAzure Synapse Analytics (hanya kumpulan SQL khusus)
Saat Anda membuat server logis dari portal Azure untuk Azure SQL Database dan Azure Synapse Analytics, hasilnya adalah titik akhir publik dalam format, yourservername.database.windows.net.
Anda bisa menggunakan kontrol akses jaringan berikut untuk mengizinkan akses ke database secara selektif melalui titik akhir publik:
Aturan firewall berbasis IP: Gunakan fitur ini untuk secara eksplisit mengizinkan koneksi dari alamat IP tertentu. Misalnya, dari komputer lokal atau rentang alamat IP dengan menentukan alamat IP awal dan akhir.
Izinkan layanan dan sumber daya Azure mengakses server ini: Saat diaktifkan, sumber daya lain dalam batas Azure dapat mengakses SQL Database. Misalnya, Azure Virtual Machine dapat mengakses sumber daya SQL Database.
Anda juga dapat mengizinkan akses privat ke database dari jaringan virtual melalui:
Aturan firewall jaringan virtual: Gunakan fitur ini untuk mengizinkan lalu lintas dari jaringan virtual tertentu dalam batas Azure.
Private Link: Gunakan fitur ini untuk membuat titik akhir privat untuk server logis di Azure dalam jaringan virtual tertentu.
Penting
Artikel ini tidak berlaku untuk SQL Managed Instance. Untuk informasi selengkapnya tentang konfigurasi jaringan, lihat menyambungkan ke Azure SQL Managed Instance.
Aturan firewall IP
Firewall berbasis IP adalah fitur server logis di Azure yang mencegah semua akses ke server Anda sampai Anda secara eksplisit menambahkan alamat IP untuk komputer klien.
Izinkan Layanan Azure
Secara default, selama pembuatan server logis baru dari portal Azure, Izinkan layanan dan sumber daya Azure untuk mengakses server ini tidak dicentang dan tidak diaktifkan. Pengaturan ini muncul ketika konektivitas diizinkan melalui titik akhir publik.
Anda juga dapat mengubah pengaturan ini melalui pengaturan Jaringan setelah server logis dibuat sebagai berikut:
Saat Izinkan layanan dan sumber daya Azure untuk mengakses server ini diaktifkan, server Anda mengizinkan komunikasi dari semua sumber daya di dalam batas Azure, terlepas dari apakah mereka adalah bagian dari langganan Anda. Dalam banyak kasus, mengaktifkan pengaturan lebih permisif daripada yang diinginkan sebagian besar pelanggan. Anda mungkin ingin menghapus centang pengaturan ini dan menggantinya dengan aturan firewall IP yang lebih ketat atau menggunakan satu opsi untuk akses privat.
Penting
Memeriksa Izinkan layanan dan sumber daya Azure untuk mengakses server ini menambahkan aturan firewall berbasis IP dengan alamat IP awal dan akhir 0.0.0.0
Namun, melakukannya mempengaruhi fitur-fitur berikut yang berjalan pada komputer virtual di Azure yang bukan bagian dari jaringan virtual Anda dan karenanya terhubung ke database melalui alamat IP Azure:
Layanan Ekspor Impor
Layanan Ekspor Impor tidak berfungsi saat Izinkan layanan dan sumber daya Azure untuk mengakses server ini tidak diaktifkan. Namun Anda dapat mengatasi masalah dengan menjalankan SqlPackage secara manual dari Azure VM atau melakukan ekspor langsung dalam kode Anda dengan menggunakan DACFx API.
Sinkronisasi Data
Untuk menggunakan fitur Sinkronisasi data dengan Izinkan layanan dan sumber daya Azure untuk mengakses server ini tidak diaktifkan, Anda perlu membuat entri aturan firewall individual untuk menambahkan alamat IP dari tag layanan Sql untuk wilayah yang menghosting database Hub . Tambahkan aturan firewall tingkat server ini ke server yang menghosting database Hub dan Anggota (yang mungkin berada di wilayah yang berbeda).
Gunakan skrip PowerShell berikut untuk menghasilkan alamat IP yang sesuai dengan tag layanan SQL untuk wilayah US Barat.
PS C:\> $serviceTags = Get-AzNetworkServiceTag -Location eastus2
PS C:\> $sql = $serviceTags.Values | Where-Object { $_.Name -eq "Sql.WestUS" }
PS C:\> $sql.Properties.AddressPrefixes.Count
70
PS C:\> $sql.Properties.AddressPrefixes
13.86.216.0/25
13.86.216.128/26
13.86.216.192/27
13.86.217.0/25
13.86.217.128/26
13.86.217.192/27
Tip
Get-AzNetworkServiceTag mengembalikan rentang global untuk Tag Layanan SQL meskipun menentukan parameter Lokasi. Pastikan untuk memfilternya ke wilayah yang menjadi host database Hub yang digunakan oleh grup sinkronisasi Anda
Output skrip PowerShell ada dalam notasi Classless Inter-Domain Routing (CIDR). Ini perlu dikonversi ke format alamat IP Mulai dan Akhir menggunakan Get-IPrangeStartEnd.ps1 seperti ini:
PS C:\> Get-IPrangeStartEnd -ip 52.229.17.93 -cidr 26
start end
----- ---
52.229.17.64 52.229.17.127
Anda dapat menggunakan skrip PowerShell berikut untuk mengonversi semua alamat IP dari CIDR ke format alamat IP Mulai dan Akhir.
PS C:\>foreach( $i in $sql.Properties.AddressPrefixes) {$ip,$cidr= $i.split('/') ; Get-IPrangeStartEnd -ip $ip -cidr $cidr;}
start end
----- ---
13.86.216.0 13.86.216.127
13.86.216.128 13.86.216.191
13.86.216.192 13.86.216.223
Anda sekarang dapat menambahkan ini sebagai aturan firewall yang berbeda lalu menonaktifkan pengaturan Izinkan layanan dan sumber daya Azure untuk mengakses server ini.
Tag Layanan Sql
Tag layanan dapat digunakan dalam aturan dan rute keamanan dari klien ke SQL Database. Tag layanan dapat digunakan dalam grup keamanan jaringan, Azure Firewall, dan rute yang ditentukan pengguna dengan menentukannya di bidang sumber atau tujuan aturan keamanan. Tag layanan Sql terdiri dari semua alamat IP yang sedang digunakan oleh SQL Database. Tag disegmentasi lebih lanjut menurut wilayah. Misalnya Sql.WestUS mencantumkan semua alamat IP yang digunakan oleh SQL Database di US Barat.
Tag layanan Sql terdiri dari alamat IP yang diperlukan untuk membangun konektivitas ke SQL Database seperti yang didokumentasikan dalam alamat IP Gateway. Selain itu, tag layanan juga akan dikaitkan dengan lalu lintas keluar dari SQL Database yang digunakan dalam fitur seperti:
- Audit
- Penilaian kerentanan
- Layanan Import/Export
- OPENROWSET
- Sisipkan Massal
- sp_invoke_external_rest_endpoint
- Ledger
- Enkripsi data transparan Azure SQL dengan kunci yang dikelola pelanggan
Tag Layanan SqlManagement
Tag layanan SqlManagement digunakan untuk operasi sarana kontrol terhadap SQL Database.
Aturan firewall jaringan virtual
Aturan firewall jaringan virtual adalah alternatif yang lebih mudah untuk membuat dan mengelola akses dari subnet tertentu yang berisi VM Anda.
Private Link
Dengan Private Link Anda dapat terhubung ke server melalui titik akhir privat. Titik akhir privat adalah alamat IP privat dalam jaringan virtual dan subnet tertentu.
Konten terkait
Untuk mulai cepat membuat aturan firewall IP tingkat server, lihat Membuat database di SQL Database.
Untuk mulai cepat membuat aturan firewall jaringan virtual tingkat server, lihat Titik akhir layanan Virtual Network dan aturan untuk Azure SQL Database.
Untuk bantuan menyambungkan ke database di SQL Database dari aplikasi sumber terbuka atau mitra, lihat Sampel kode mulai cepat klien ke SQL Database.
Untuk informasi tentang port lain yang mungkin perlu Anda buka, lihat bagian SQL Database: Di luar vs di dalam Port di luar 1433 untuk ADO.NET 4.5 dan SQL Database
Untuk gambaran umum Konektivitas Azure SQL Database, lihat Arsitektur Konektivitas Azure SQL
Untuk gambaran umum keamanan Azure SQL Database, lihat Mengamankan database Anda
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk