Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Tip
Microsoft Fabric Data Warehouse è un data warehouse relazionale su scala aziendale su una base data lake, con un'architettura futura, un'intelligenza artificiale predefinita e nuove funzionalità. Se non si ha familiarità con il data warehousing, iniziare con Fabric Data Warehouse. I carichi di lavoro esistenti del pool SQL dedicated possono eseguire l'aggiornamento a Fabric per accedere a nuove funzionalità tra data science, analisi in tempo reale e creazione di report.
Quando si crea un nuovo server logico in Azure Synapse Analytics denominato mysqlserver, ad esempio, un firewall a livello di server blocca l'accesso all'endpoint pubblico per il server logical. Azure Synapse supporta le regole del firewall IP a livello di server. I pool SQL dedicati nelle aree di lavoro Azure Synapse Analytics non usano server SQL logici e hanno un firewall a livello di area di lavoro.
- Per informazioni sulle regole del firewall IP del server e del database in database SQL di Azure, vedere database SQL di Azure regole del firewall IP
- Per informazioni sulla configurazione di rete per Istanza gestita di SQL di Azure, vedere Connettere l'applicazione a Istanza gestita di SQL di Azure.
Funzionamento del firewall
I tentativi di connessione da Internet e Azure devono passare attraverso il firewall prima di raggiungere il server o il database
Regole del firewall IP a livello di server
consentono ai client di accedere all'intero server ovvero a tutti i database gestiti dal server. Le regole vengono archiviate nel master database. Il numero massimo di regole del firewall IP è limitato a 256 per server. Se l'impostazione Consentire ai servizi e alle risorse di Azure di accedere a questo server è abilitata, ciò viene conteggiato come una singola regola del firewall per il server.
È possibile configurare le regole del firewall IP a livello di server usando le istruzioni Azure portale, PowerShell o Transact-SQL.
Note
Il numero massimo di regole del firewall IP a livello di server è limitato a 256 durante la configurazione tramite il portale di Azure.
- Per usare il portale o PowerShell, è necessario essere il proprietario o un contributore della sottoscrizione.
- Per usare Transact-SQL, è necessario connettersi al database
mastercome account di accesso principale a livello di server o come amministratore Microsoft Entra. Una regola del firewall IP a livello di server deve prima essere creata da un utente che dispone di autorizzazioni a livello di Azure.
Note
Per impostazione predefinita, durante la creazione di un nuovo server SQL logico dal portale di Azure, l'impostazione Allow Azure Services and resources to access this server è impostata su No.
Consigli su come fare a impostare le regole del firewall
Usare le regole del firewall IP a livello di server per quando sono presenti molti database con gli stessi requisiti di accesso e non si vuole configurare ogni database singolarmente.
Connessioni da Internet
Quando un computer tenta di connettersi al server da Internet, il firewall controlla innanzitutto l'indirizzo IP di origine della richiesta.
- Se l'indirizzo rientra in uno degli intervalli specificati nelle regole del firewall IP a livello di server, la connessione viene concessa.
- Le regole del firewall IP a livello di server si applicano a tutti i database gestiti dal server.
- Se l'indirizzo non rientra in un intervallo che si trova in una delle regole del firewall IP a livello di server, la richiesta di connessione ha esito negativo.
Autorizzazioni
Per creare e gestire le regole del firewall IP, è necessario avere uno dei ruoli seguenti:
- nel ruolo di Collaboratore del SQL Server
- nel ruolo di Responsabile della sicurezza SQL
- proprietario della risorsa
Creare e gestire le regole del firewall IP
Per creare la prima impostazione del firewall a livello di server, usare il portale Azure o a livello di codice usando Azure PowerShell, interfaccia della riga di comando di Azure o un'API Azure REST. È possibile creare e gestire regole del firewall IP a livello di server aggiuntive usando questi metodi o Transact-SQL. Azure Synapse supporta solo le regole del firewall IP a livello di server. Non supporta regole del firewall IP a livello di database.
Tip
È possibile usare Auditing per Azure Synapse Analytics per controllare le modifiche del firewall a livello di server e a livello di database.
Usare il portale di Azure per gestire le regole del firewall IP a livello di server
Per impostare una regola del firewall IP a livello di server nel portale di Azure, passare alla pagina Panoramica del server logico.
Passare alla pagina Rete.
Aggiungere una regola nella sezione Regole del firewall per aggiungere l'indirizzo IP del computer in uso e quindi selezionare Salva. Una regola del firewall IP a livello di server viene creata per l'indirizzo IP corrente.
Usare Transact-SQL per gestire le regole del firewall IP
| Vista del catalogo o della procedura memorizzata | livello | Description |
|---|---|---|
| sp_set_firewall_rule | Server | Crea o aggiorna regole del firewall IP a livello di server |
| sp_delete_firewall_rule | Server | Rimuove regole del firewall IP a livello di server |
Per aggiungere una regola del firewall IP a livello di server.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Per eliminare una regola del firewall IP a livello di server, eseguire la procedura archiviata sp_delete_firewall_rule. Nell'esempio seguente viene eliminata la regola ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Usare PowerShell per gestire le regole del firewall IP a livello di server
Note
Questo articolo usa il modulo Azure Az PowerShell, che è il modulo PowerShell consigliato per interagire con Azure. Per iniziare a usare il modulo Az PowerShell, vedere Installare Azure PowerShell. Per informazioni su come eseguire la migrazione al modulo Az PowerShell, vedere Eseguire la migrazione di Azure PowerShell da AzureRM ad Az.
Importante
Il modulo Azure Resource Manager (AzureRM) di PowerShell è stato reso obsoleto il 29 febbraio 2024. Tutto lo sviluppo futuro deve usare il modulo Az.Sql. Agli utenti è consigliato migrare da AzureRM al modulo Az PowerShell per garantire supporto e aggiornamenti continui. Il modulo AzureRM non è più gestito o supportato. Gli argomenti per i comandi nel modulo Az PowerShell e nei moduli AzureRM sono sostanzialmente identici. Per altre informazioni sulla compatibilità, vedere Introduzione al nuovo modulo Az PowerShell.
| Cmdlet | livello | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Server | Restituisce le regole del firewall di Synapse Analytics. |
| New-AzSynapseFirewallRule | Server | Crea una regola del firewall di Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Server | Rimuove una regola del firewall di Synapse Analytics. |
| Update-AzSynapseFirewallRule | Server | Aggiorna una regola del firewall di Synapse Analytics. |
Usare la CLI per gestire le regole del firewall IP a livello di server
| Cmdlet | livello | Description |
|---|---|---|
| az synapse sql | Gestire i pool SQL. | |
| az synapse workspace firewall-rule | Gestire le regole del firewall di un'area di lavoro. |
Per le regole del firewall a livello di area di lavoro, vedere:
| Cmdlet | livello | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Server | Creare una regola del firewall |
| az synapse workspace firewall-rule delete | Server | Eliminare una regola del firewall |
| az synapse workspace elenco regole firewall | Server | Elencare tutte le regole del firewall |
| az synapse workspace firewall-rule show | Server | Ottieni una regola del firewall |
| az synapse workspace firewall-rule update | Server | Aggiornare una regola del firewall |
| az synapse workspace firewall-rule wait | Server | Posizionare la CLI in uno stato di attesa fino a quando non viene soddisfatta una condizione di una regola del firewall |
L'esempio seguente usa l'interfaccia della riga di comando per impostare una regola del firewall IP a livello di server in Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Usare un’API REST per gestire le regole del firewall IP a livello di server
| Command | Description |
|---|---|
| pool di SQL | Gestione del pool SQL di Synapse. |
| regole del firewall IP | Gestione delle regole del firewall IP di Synapse. |
Informazioni sulla latenza degli aggiornamenti del firewall
Il modello di autenticazione server ha una latenza di 5 minuti per tutte le modifiche apportate alle impostazioni di sicurezza, a meno che il database non sia contenuto e senza un partner di failover. Le modifiche apportate ai database indipendenti senza un partner di failover sono istantanee. Per i database indipendenti con un partner di failover, ogni aggiornamento della sicurezza è istantaneo nel database primario, ma il database secondario può richiedere fino a 5 minuti per riflettere le modifiche.
La tabella seguente descrive la latenza delle modifiche alle impostazioni di sicurezza in base al tipo di database e alla configurazione del failover:
| Modello di autenticazione | Failover configurato | Latenza per le modifiche alle impostazioni di sicurezza | Istanze latenti |
|---|---|---|---|
| Autenticazione del server | Sì | 5 minuti | tutti i database |
| Autenticazione del server | No | 5 minuti | tutti i database |
| Database contenuto | Sì | 5 minuti | database secondario |
| Database contenuto | No | none | none |
Aggiornamento manuale delle regole del firewall
Se è necessario visualizzare le regole del firewall aggiornate più rapidamente rispetto alla latenza di 5 minuti, è possibile aggiornare manualmente le regole del firewall. Accedere all'istanza del database che richiede l'aggiornamento delle regole ed eseguire DBCC FLUSHAUTHCACHE. In questo modo l'istanza del database scarica la cache locale e aggiorna le regole del firewall.
DBCC FLUSHAUTHCACHE[;]
Risoluzione dei problemi del firewall
Considera i seguenti punti se l'accesso non funziona come previsto.
Configurazione del firewall locale:
Prima che il computer possa accedere al pool SQL dedicato, potrebbe essere necessario creare un'eccezione del firewall nel computer per la porta TCP 1433. Per stabilire connessioni all'interno del limite del cloud Azure, potrebbe essere necessario aprire porte aggiuntive.
Traduzione degli indirizzi di rete:
A causa di NAT (Network Address Translation), l'indirizzo IP usato dal computer per connettersi a Azure Synapse Analytics potrebbe essere diverso dall'indirizzo IP nelle impostazioni di configurazione IP del computer. Per vedere l'indirizzo IP usato dal computer per connettersi ad Azure:
- Accedere al portale.
- Accedere alla scheda Configura nel server che ospita il database.
- L'indirizzo IP client corrente viene visualizzato nella sezione Indirizzi IP consentiti. Selezionare Aggiungi per Indirizzi IP consentiti per consentire al computer di accedere al server.
Le modifiche apportate all'elenco elementi consentiti non sono ancora state applicate:
Potrebbero essere previsti fino a cinque minuti di ritardo per rendere effettive le modifiche alla configurazione del firewall Azure Synapse Analytics.
L'account di accesso non è autorizzato o è stata usata una password non corretta:
Quando un account di accesso non dispone di autorizzazioni per il server o la password usata non è corretta, la connessione al server viene negata. La creazione di un'impostazione del firewall offre solo ai client la possibilità di provare a connettersi al server. Il client deve fornire le credenziali di sicurezza necessarie, in ogni caso. Per altre informazioni, vedere Azure Synapse Analytics impostazioni di connettività.
Indirizzo IP dinamico:
Se si dispone di una connessione Internet che usa l’indirizzo IP dinamico e si riscontrano problemi di comunicazione attraverso il firewall, provare una delle seguenti soluzioni:
- Richiedere al provider di servizi Internet l'intervallo di indirizzi IP assegnato ai computer client che accedono al server. Aggiungere tale intervallo di indirizzi IP come regola del firewall IP.
- Ottenere invece l’assegnazione di indirizzi IP statici per i computer client. Aggiungere gli indirizzi IP come regole del firewall IP.