Impostazioni di connettività del database SQL di Azure e di Azure Synapse Analytics

Si applica a: Database SQL di Azure Azure Synapse Analytics (solo pool SQL dedicati)

Questo articolo presenta le impostazioni che controllano la connettività al server per database SQL di Azure e il pool SQL dedicato (in precedenza SQL DW) in Azure Synapse Analytics.

• Per altre informazioni sui vari componenti che indirizzano il traffico di rete e i criteri di connessione, vedere Architettura della connettività.
• Questo articolo non si applica all’Istanza gestita di SQL di Azure, ma vedere Connettere l'applicazione a Istanza gestita di SQL di Azure.
• Questo articolo non si applica ai pool SQL dedicati nelle aree di lavoro Azure Synapse Analytics. Vedere Regole del firewall IP di Azure Synapse Analytics per indicazioni su come configurare le regole del firewall IP per Azure Synapse Analytics con le aree di lavoro.

Rete e connettività

Queste impostazioni si applicano a tutti i database SQL e pool SQL dedicati (in precedenza SQL DW) associati al server. È possibile modificare queste impostazioni dalla scheda Rete del server logico:

Cambiare l'accesso alla rete pubblica

È possibile cambiare l'accesso alla rete pubblica tramite il portale di Azure, Azure PowerShell e l'interfaccia della riga di comando di Azure.

Nota

Queste impostazioni vengono applicate immediatamente. I clienti potrebbero riscontrare perdite di connessione se non soddisfano i requisiti per ciascuna impostazione.

Portale

Per abilitare l'accesso alla rete pubblica per il server logico che ospita i database, passare alla pagina Rete nel portale di Azure per il server logico in Azure, scegliere la scheda Accesso pubblico, quindi impostare Accesso alla rete pubblica su Seleziona reti.

Da questa pagina, è possibile aggiungere una regola di rete virtuale e configurare le regole del firewall per l'endpoint pubblico.

Scegliere la scheda Accesso privato per configurare un endpoint privato.

PowerShell

È possibile modificare l'accesso alla rete pubblica con Azure PowerShell.

Importante

Il modulo Azure Resource Manager di PowerShell è ancora supportato da Database SQL di Azure, ma tutte le attività di sviluppo future sono incentrate sul modulo Az.Sql. Per informazioni su questi cmdlet, vedere AzureRM.Sql. Gli argomenti per i comandi nei moduli Az e AzureRm sono sostanzialmente identici. Per lo script seguente è necessario il modulo di Azure PowerShell.

Lo script di PowerShell seguente illustra come usare Get e Set per la proprietà Accesso alla rete pubblica a livello di server:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Interfaccia della riga di comando di Azure

È possibile modificare le impostazioni di rete pubblica con l'interfaccia della riga di comando di Azure.

Il seguente script della CLI mostra come cambiare l'impostazione Accesso alla rete pubblica in una shell Bash:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Nega l'accesso alla rete pubblica

L'impostazione predefinita per l'impostazione Accesso alla rete pubblica è Disabilita. I clienti possono connettersi al database tramite endpoint pubblici (regole del firewall basate su IP o su rete virtuale a livello di server) o endpoint privati (con Collegamento privato Azure), come descritto nella panoramica dell'accesso alla rete.

Se l'opzione Accesso alla rete pubblica è impostata su Disabilita sono consentite solo le connessioni tramite endpoint privati. Tutte le connessioni dagli endpoint pubblici verranno negate con un messaggio di errore, simile al seguente:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quando Accesso alla rete pubblica è impostato su Disabilita, qualsiasi tentativo di aggiungere, rimuovere o modificare le regole del firewall verrà negato con un messaggio di errore simile al seguente:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Assicurarsi che Accesso alla rete pubblica sia impostato su Reti selezionate per poter aggiungere, rimuovere o modificare le regole del firewall per database SQL di Azure e Azure Synapse Analytics.

Versione minima di TLS

La versione minima di Transport Layer Security (TLS) consente ai clienti di scegliere la versione di TLS usata dal database SQL. È possibile modificare la versione minima di TLS usando il portale di Azure, Azure PowerShell e la CLI di Azure.

Al momento le versioni supportate di TLS sono 1.0, 1.1 e 1.2. L'impostazione di una versione minima di TLS assicura il supporto delle versioni più recenti. Se ad esempio si sceglie una versione di TLS 1.1 significa che vengono accettate solo le connessioni a TLS 1.1 e 1.2, mentre le connessioni a TLS 1.0 vengono rifiutate. Dopo aver eseguito il test per verificare che sia supportata dalle applicazioni, è consigliabile impostare la versione minima di TLS su 1.2. Questa versione include correzioni per le vulnerabilità nelle versioni precedenti ed è la versione più recente di TLS supportata nel database SQL di Azure.

Importante

L'impostazione predefinita per la versione minima di TLS consiste nel consentire tutte le versioni. Dopo aver applicato una versione di TLS, non è possibile ripristinare le impostazioni predefinite.

Per i clienti le cui applicazioni che si basano su versioni precedenti di TLS, è consigliabile impostare la versione minima di TLS in base ai requisiti delle applicazioni. Se i requisiti dell'applicazione sono sconosciuti o i carichi di lavoro si basano su driver meno recenti che non vengono più mantenuti, si consiglia di non impostare alcuna versione minima di TLS.

Per altre informazioni, vedere Considerazioni su TLS per la connettività a Database SQL.

Dopo aver impostato la versione minima di TLS, i clienti che usano una versione di TLS precedente a quella minima del server avranno esito negativo, con il seguente errore:

Error 47072
Login failed with invalid TLS version

Nota

Quando si configura una versione minima di TLS, tale versione minima viene applicata a livello di applicazione. Gli strumenti che tentano di determinare il supporto TLS a livello di protocollo potrebbero restituire versioni TLS oltre alla versione minima richiesta quando vengono eseguiti direttamente sull'endpoint del Database SQL.

Portale

Nel Portale di Azure, passare alla risorsa SQL Server. Nelle impostazioni di Sicurezza selezionare Rete, quindi scegliere la scheda Connettività. Selezionare la versione minima di TLS desiderata per tutti i database associati al server e selezionare Salva.

PowerShell

È possibile modificare la versione minima di TLS con Azure PowerShell.

Importante

Il modulo Azure Resource Manager di PowerShell è ancora supportato da Database SQL di Azure, ma tutte le attività di sviluppo future sono incentrate sul modulo Az.Sql. Per informazioni su questi cmdlet, vedere AzureRM.Sql. Gli argomenti per i comandi nei moduli Az e AzureRm sono sostanzialmente identici. Per lo script seguente è necessario il modulo di Azure PowerShell.

Lo script di PowerShell seguente illustra come Get la proprietà Versione minima TLS a livello di server logico:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Per Set la proprietà Versione TLS minima a livello di server logico, sostituire la password amministratore Sql per strong_password_here_password, ed eseguire:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Interfaccia della riga di comando di Azure

È possibile modificare le impostazioni minime di TLS usando la CLI di Azure.

Importante

Tutti gli script di questa sezione richiedono la CLI di Azure.

Il seguente script dell'interfaccia della riga di comando mostra come cambiare l'impostazione Versione minima TLS in una shell Bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Modificare i criteri di connessione

L'impostazione Criteri di connessione determina il modo in cui i client si connettono al database SQL di Azure.

Se si preferisce la minor latenza e la maggiore velocità effettiva possibili, quindi, si consiglia di scegliere i criteri di connessione Redirect anziché Proxy.

È possibile modificare i criteri di connessione usando il portale di Azure, Azure PowerShell e la CLI di Azure.

Portale

È possibile modificare i criteri di connessione per il server logico tramite il portale di Azure.

Nel Portale di Azure, passare alla risorsa SQL Server. Nelle impostazioni di Sicurezza selezionare Rete, quindi scegliere la scheda Connettività. Scegliere i criteri di connessione desiderati e selezionare Salva.

PowerShell

È possibile modificare i criteri di connessione per il server logico tramite Azure PowerShell.

Importante

Il modulo Azure Resource Manager di PowerShell è ancora supportato da Database SQL di Azure, ma tutte le attività di sviluppo future sono incentrate sul modulo Az.Sql. Per informazioni su questi cmdlet, vedere AzureRM.Sql. Gli argomenti per i comandi nei moduli Az e AzureRm sono sostanzialmente identici. Per lo script seguente è necessario il modulo di Azure PowerShell.

Lo script di PowerShell seguente mostra come cambiare i criteri di connessione tramite PowerShell:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Interfaccia della riga di comando di Azure

È possibile modificare i criteri di connessione per il server logico tramite la CLI di Azure.

Importante

Tutti gli script di questa sezione richiedono l'interfaccia della riga di comando di Azure.

Interfaccia della riga di comando di Azure in una shell Bash

Il seguente script dell'interfaccia della riga di comando mostra come cambiare i criteri di connessione in una shell Bash:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Interfaccia della riga di comando di Azure da un prompt dei comandi di Windows

Il seguente script dell'interfaccia della riga di comando mostra come cambiare i criteri di connessione da un prompt dei comandi di Windows (con l'interfaccia della riga di comando di Azure installata):

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Contenuto correlato

• Architettura di connettività del database SQL di Azure e di Azure Synapse Analytics
• conn-policy