Azure SQL-connectiviteitsinstellingen

Van toepassing op: Azure SQL Database Azure Synapse Analytics (alleen toegewezen SQL-pool (voorheen SQL DW)

In dit artikel worden instellingen geïntroduceerd waarmee de connectiviteit met de server wordt beheerd voor Azure SQL Database en toegewezen SQL-pool (voorheen SQL DW) in Azure Synapse Analytics. Deze instellingen zijn van toepassing op alle SQL Database en toegewezen SQL-pooldatabases (voorheen SQL DW) die zijn gekoppeld aan de server.

U kunt deze instellingen wijzigen op het tabblad Netwerken van uw logische server:

Schermopname van de instellingen voor firewalls en virtuele netwerken in Azure Portal voor SQL Server.

Belangrijk

Dit artikel is niet van toepassing op Azure SQL Managed Instance. Dit artikel is ook niet van toepassing op toegewezen SQL-pools in Azure Synapse Analytics-werkruimten. Zie Azure Synapse Analytics IP-firewallregels voor hulp bij het configureren van IP-firewallregels voor Azure Synapse Analytics met werkruimten.

Openbare netwerktoegang weigeren

De standaardinstelling voor openbare netwerktoegang is Uitschakelen. Klanten kunnen ervoor kiezen om verbinding te maken met een database met behulp van openbare eindpunten (met firewallregels op IP-niveau op serverniveau of met firewallregels voor virtuele netwerken) of privé-eindpunten (met behulp van Azure Private Link), zoals wordt beschreven in het overzicht van netwerktoegang.

Wanneer openbare netwerktoegang is ingesteld op Uitschakelen, zijn alleen verbindingen van privé-eindpunten toegestaan. Alle verbindingen van openbare eindpunten worden geweigerd met een foutbericht dat vergelijkbaar is met:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Wanneer openbare netwerktoegang is ingesteld op Uitschakelen, worden pogingen om firewallregels toe te voegen, te verwijderen of te bewerken geweigerd met een foutbericht dat vergelijkbaar is met:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Zorg ervoor dat openbare netwerktoegang is ingesteld op Geselecteerde netwerken om firewallregels voor Azure SQL Database en Azure Synapse Analytics toe te voegen, te verwijderen of te bewerken.

Openbare netwerktoegang wijzigen

Het is mogelijk om de openbare netwerktoegang te wijzigen via de Azure Portal, Azure PowerShell en de Azure CLI.

Als u openbare netwerktoegang wilt inschakelen voor de logische server die als host fungeert voor uw databases, gaat u naar de pagina Netwerken in de Azure Portal, kiest u het tabblad Openbare toegang en stelt u vervolgens de openbare netwerktoegang in opNetwerken selecteren.

Op deze pagina kunt u een regel voor een virtueel netwerk toevoegen en firewallregels configureren voor uw openbare eindpunt.

Kies het tabblad Persoonlijke toegang om een privé-eindpunt te configureren.

Notitie

Deze instellingen worden onmiddellijk van kracht nadat ze zijn toegepast. Uw klanten kunnen verbindingsverlies ondervinden als ze niet voldoen aan de vereisten voor elke instelling.

Minimale TLS-versie

Met de minimale TLS-versie-instelling (Transport Layer Security) kunnen klanten kiezen welke versie van TLS hun SQL-database gebruikt. Het is mogelijk om de minimale TLS-versie te wijzigen met behulp van de Azure Portal, Azure PowerShell en de Azure CLI.

Momenteel bieden we ondersteuning voor TLS 1.0, 1.1 en TLS 1.2. Door een minimale TLS-versie in te stellen zorgt u ervoor dat nieuwere versies van TLS worden ondersteund. Als u bijvoorbeeld een TLS-versie 1.1 kiest, betekent dit dat alleen verbindingen via TLS 1.1 en 1.2 worden geaccepteerd. Verbindingen via TLS 1.0 worden geweigerd. Als u hebt getest of uw toepassingen inderdaad ondersteuning bieden voor TLS 1.2, raden we u aan de minimale TLS-versie hierop in te stellen. Deze versie omvat oplossingen voor beveiligingsproblemen in eerdere versies, en is de hoogste versie van TLS die wordt ondersteund in Azure SQL Database.

Belangrijk

De standaardinstelling voor de minimale TLS-versie is om alle versies toe te staan. Wanneer u een versie van TLS afdwingt, is het niet mogelijk om terug te keren naar de standaardinstelling.

Voor klanten met toepassingen die afhankelijk zijn van oudere versies van TLS, wordt u aangeraden de minimale TLS-versie in te stellen op basis van de vereisten van uw toepassingen. Voor klanten die afhankelijk zijn van toepassingen om verbinding te maken met behulp van een niet-versleutelde verbinding, wordt u aangeraden geen minimale TLS-versie in te stellen.

Zie TLS-overwegingen voor SQL Database-connectiviteit voor meer informatie.

Nadat u de minimale TLS-versie hebt ingesteld, mislukken aanmeldingspogingen van klanten die een TLS-versie gebruiken die lager is dan de minimale TLS-versie van de server, met de volgende fout:

Error 47072
Login failed with invalid TLS version

Notitie

Wanneer u een minimale TLS-versie configureert, wordt die minimale versie afgedwongen op de toepassingslaag. Hulpprogramma's die tls-ondersteuning op de protocollaag proberen te bepalen, kunnen TLS-versies retourneren naast de minimale vereiste versie wanneer ze rechtstreeks worden uitgevoerd op het SQL Database-eindpunt.

Ga in de Azure Portal naar uw SQL Server-resource. Selecteer Onder de beveiligingsinstellingennetwerken en kies vervolgens het tabblad Connectiviteit . Selecteer de minimale TLS-versie die u wilt gebruiken voor alle databases die aan de server zijn gekoppeld en selecteer Opslaan.

Schermopname van het tabblad Connectiviteit van de netwerkinstellingen voor uw logische server, minimale vervolgkeuzelijst met TLS-versies geselecteerd.

Het verbindingsbeleid wijzigen

Verbindingsbeleid bepaalt hoe klanten verbinding maken met Azure SQL Database.

Het is mogelijk om het verbindingsbeleid te wijzigen met behulp van de Azure Portal, Azure PowerShell en de Azure CLI.

U kunt het verbindingsbeleid voor uw logische server wijzigen met behulp van de Azure Portal.

Ga in de Azure Portal naar uw SQL Server-resource. Selecteer Onder de beveiligingsinstellingennetwerken en kies vervolgens het tabblad Connectiviteit . Kies het gewenste verbindingsbeleid en selecteer Opslaan.

Schermopname van het tabblad Connectiviteit van de pagina Netwerken, Verbindingsbeleid geselecteerd.

Volgende stappen

  • Raadpleeg de connectiviteitsarchitectuur voor een overzicht van de werking van connectiviteit in Azure SQL Database.
  • Zie conn-beleid voor informatie over het wijzigen van het verbindingsbeleid voor een server.