Architektura łączności usług Azure SQL Database i Azure Synapse Analytics
Dotyczy: 
Azure SQL Database Azure Synapse Analytics (tylko dedykowane pule SQL)
W tym artykule wyjaśniono architekturę różnych składników, które kierują ruch sieciowy do serwera w usłudze Azure SQL Database lub dedykowane pule SQL w usłudze Azure Synapse Analytics. Wyjaśniono również różne zasady połączeń i wpływ na klientów łączących się z platformy Azure i klientów łączących się spoza platformy Azure.
- Aby uzyskać parametry połączenia do usługi Azure SQL Database, zobacz Nawiązywanie połączeń i wykonywanie zapytań względem usługi Azure SQL Database.
- Aby uzyskać parametry połączenia do pul usługi Azure Synapse Analytics, zobacz Nawiązywanie połączenia z usługą Synapse SQL.
- Aby uzyskać ustawienia kontrolujące łączność z serwerem logicznym dla usługi Azure SQL Database i dedykowanych pul SQL w usłudze Azure Synapse Analytics, zobacz ustawienia łączności.
- Ten artykuł nie dotyczy usługi Azure SQL Managed Instance. Zapoznaj się z tematem Architektura łączności dla usługi Azure SQL Managed Instance.
Architektura łączności
Na poniższym diagramie przedstawiono ogólne omówienie architektury łączności.
W poniższych krokach opisano sposób nawiązywania połączenia z usługą Azure SQL Database:
- Klienci łączą się z bramą mającą publiczny adres IP i nasłuchują na porcie 1433.
- W zależności od obowiązujących zasad połączenia brama przekierowuje lub serwer proxy ruchu do poprawnego klastra bazy danych.
- W klastrze bazy danych ruch jest kierowany do odpowiedniej bazy danych.
Zasady połączeń
Serwery w usłudze SQL Database i dedykowane pule SQL (dawniej SQL DW) w usłudze Azure Synapse obsługują następujące trzy opcje ustawienia zasad połączenia serwera.
Uwaga
Zasady połączenia dla dedykowanych pul SQL (dawniej SQL DW) w usłudze Azure Synapse Analytics są ustawione na wartość Domyślna. Nie można tego zmienić dla dedykowanych pul SQL w obszarach roboczych usługi Synapse.
- Przekierowanie (zalecane): klienci nawiązują połączenia bezpośrednio z węzłem hostowanym w bazie danych, co prowadzi do zmniejszenia opóźnienia i zwiększenia przepływności. W przypadku połączeń korzystających z tego trybu klienci muszą:
- Zezwalaj na komunikację wychodzącą od klienta do wszystkich adresów IP usługi Azure SQL w regionie na portach z zakresu od 11000 do 11999. Użyj tagów usługi dla języka SQL, aby ułatwić zarządzanie tym elementem. Jeśli używasz usługi Private Link, zobacz Use Redirect connection policy with private endpoints for the port ranges to allow (Używanie zasad połączenia przekierowania z prywatnymi punktami końcowymi dla zakresów portów).
- Zezwalaj na komunikację wychodzącą z klienta do adresów IP bramy usługi Azure SQL Database na porcie 1433.
- W przypadku korzystania z zasad połączenia przekierowania zapoznaj się z tematem Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna, aby uzyskać listę dozwolonych adresów IP twojego regionu.
- Serwer proxy: W tym trybie wszystkie połączenia są proxied za pośrednictwem bram usługi Azure SQL Database, co prowadzi do zwiększenia opóźnienia i mniejszej przepływności. W przypadku połączeń korzystających z tego trybu klienci muszą zezwolić na komunikację wychodzącą z klienta do adresów IP bramy usługi Azure SQL Database na porcie 1433.
- W przypadku korzystania z zasad połączenia serwera proxy zapoznaj się z listą Adresy IP bramy w dalszej części tego artykułu, aby zezwolić na adresy IP twojego regionu.
- Ustawienie domyślne: są to zasady połączenia obowiązujące na wszystkich serwerach po utworzeniu, chyba że jawnie zmienisz zasady połączenia na
ProxylubRedirect. Domyślne zasady sąRedirectprzeznaczone dla wszystkich połączeń klientów pochodzących z platformy Azure (na przykład z maszyny wirtualnej platformy Azure) iProxydla wszystkich połączeń klientów pochodzących poza (na przykład połączeń z lokalnej stacji roboczej).
Zdecydowanie zalecamy Redirect stosowanie zasad Proxy połączenia względem zasad połączenia w celu uzyskania najmniejszego opóźnienia i najwyższej przepływności. Należy jednak spełnić dodatkowe wymagania dotyczące zezwalania na ruch sieciowy dla komunikacji wychodzącej:
- Jeśli klient jest maszyną wirtualną platformy Azure, można to zrobić przy użyciu sieciowych grup zabezpieczeń (NSG) z tagami usług.
- Jeśli klient łączy się ze stacji roboczej lokalnie, może być konieczne skontaktowanie się z administratorem sieci w celu zezwolenia na ruch sieciowy przez zaporę firmową.
Aby zmienić zasady połączenia, zobacz Zmienianie zasad połączenia.
Łączność z poziomu platformy Azure
Jeśli nawiązujesz połączenie z poziomu platformy Azure, domyślnie mają zasady Redirect połączenia. Zasady Redirect oznaczają, że po ustanowieniu sesji TCP w usłudze Azure SQL Database sesja klienta jest następnie przekierowywana do odpowiedniego klastra bazy danych ze zmianą docelowego wirtualnego adresu IP z bramy usługi Azure SQL Database na klaster. Następnie wszystkie kolejne pakiety przepływają bezpośrednio do klastra, pomijając bramę usługi Azure SQL Database. Na poniższym diagramie przedstawiono ten przepływ ruchu.
Łączność spoza platformy Azure
Jeśli łączysz się spoza platformy Azure, połączenia mają domyślnie zasady Proxy połączenia. Zasady Proxy oznaczają, że sesja TCP jest ustanawiana za pośrednictwem bramy usługi Azure SQL Database i wszystkich kolejnych pakietów przepływa przez bramę. Na poniższym diagramie przedstawiono ten przepływ ruchu.
Ważne
Otwórz porty TCP 1434 i 14000-14999, aby włączyć nawiązywanie połączenia z funkcją DAC.
Adresy IP bramy
W poniższej tabeli wymieniono poszczególne adresy IP bramy i podsieci adresów IP bramy na region.
Okresowo firma Microsoft wycofuje poszczególne adresy IP bramy i migruje ruch do podsieci adresów IP bramy zgodnie z procesem opisanym w temacie Migracja ruchu usługi Azure SQL Database do nowszych bram.
Zdecydowanie zachęcamy klientów do odejścia od korzystania z dowolnego indywidualnego adresu IP bramy (ponieważ zostaną one wycofane w przyszłości). Zamiast tego zezwalaj na ruch sieciowy do poszczególnych adresów IP bramy i podsieci adresów IP bramy w regionie.
Ważne
Identyfikatory logowania dla usługi SQL Database lub dedykowanych pul SQL (dawniej SQL DW) w usłudze Azure Synapse mogą znajdować się w dowolnym z poszczególnych adresów IP bramy lub podsieci adresów IP bramy w regionie. Aby zapewnić spójną łączność z usługą SQL Database lub dedykowanymi pulami SQL (dawniej SQL DW) w usłudze Azure Synapse, zezwól na ruch sieciowy do i ze wszystkich poszczególnych adresów IP bramy i podsieci adresów IP bramy w regionie.
Użyj poszczególnych adresów IP bramy i podsieci adresów IP bramy w tej sekcji, jeśli używasz zasad połączenia serwera proxy do nawiązywania połączenia z usługą Azure SQL Database. Jeśli używasz zasad przekierowywania połączeń, zapoznaj się z tematem Zakresy adresów IP platformy Azure i tagi usługi — chmura publiczna, aby uzyskać listę dozwolonych adresów IP twojego regionu.
| Nazwa regionu | Adresy IP bramy | Podsieci adresów IP bramy |
|---|---|---|
| Australia Środkowa | 20.36.104.6, 20.36.104.7 | 20.36.105.32/29, 20.53.48.96/27 |
| Australia Środkowa 2 | 20.36.113.0, 20.36.112.6 | 20.36.113.32/29,20.53.56.32/27 |
| Australia Wschodnia | 13.75.149.87, 40.79.161.1, 13.70.112.9 | 13.70.112.32/29, 40.79.160.32/29, 40.79.168.32/29,20.53.46.128/27 |
| Australia Południowo-Wschodnia | 13.73.109.251, 13.77.48.10, 13.77.49.32 | 13.77.49.32/29,104.46.179.160/27 |
| Brazylia Południowa | 191.233.200.14, 191.234.144.16, 191.234.152.3 | 191.233.200.32/29, 191.234.144.32/29, 191.234.152.32/27, 191.234.153.32/27, 191.234.157.136/29 |
| Kanada Środkowa | 52.246.152.0, 20.38.144.1 | 13.71.168.32/29, 20.38.144.32/29, 52.246.152.32/29,20.48.196.32/27 |
| Kanada Wschodnia | 40.69.105.9, 40.69.105.10 | 40.69.105.32/29,52.139.106.192/27 |
| Środkowe stany USA | 104.208.21.1, 13.89.169.20 | 104.208.21.192/29, 13.89.168.192/29, 52.182.136.192/29,20.40.228.128/27 |
| Chiny Wschodnie | 139.219.130.35 | 52.130.112.136/29 |
| Chiny Wschodnie 2 | 40.73.82.1 | 52.130.120.88/29 |
| Chiny Północne | 52.130.128.88/29 | |
| Chiny Północne 2 | 40.73.50.0 | 52.130.40.64/29 |
| Azja Wschodnia | 13.75.32.4, 13.75.32.14, 20.205.77.200, 20.205.83.224 | 13.75.32.192/29, 13.75.33.192/29, 20.195.72.32/27,20.205.77.176/29, 20.205.77.200/29, 20.205.83.224/29 |
| Wschodnie stany USA | 40.121.158.30, 40.79.153.12, 40.78.225.32 | 20.42.65.64/29, 20.42.73.0/29, 52.168.116.64/29, 20.62.132.160/29 |
| Wschodnie stany USA 2 | 40.79.84.180, 52.177.185.181, 52.167.104.0, 104.208.150.3, 40.70.144.193 | 104.208.150.192/29, 40.70.144.192/29, 52.167.104.192/29,20.62.58.128/27 |
| Francja Środkowa | 40.79.129.1, 40.79.137.8, 40.79.145.12 | 40.79.136.32/29, 40.79.144.32/29, 40.79.128.32/29, 20.43.47.192/27 |
| Francja Południowa | 40.79.177.0, 40.79.177.10, 40.79.177.12 | 40.79.176.40/29, 40.79.177.32/29, 52.136.185.0/27 |
| Niemcy Środkowo-Zachodnie | 51.116.240.0, 51.116.248.0, 51.116.152.0 | 51.116.152.32/29, 51.116.240.32/29, 51.116.248.32/29, 51.116.149.32/27 |
| Niemcy Północne | 51.116.56.0 | 51.116.57.32/29, 51.116.54.96/27 |
| Indie Centralne | 104.211.96.159, 104.211.86.30, 104.211.86.31, 40.80.48.32, 20.192.96.32 | 104.211.86.32/29, 20.192.96.32/29, 40.80.48.32/29, 20.192.43.160/29 |
| Indie Południowe | 104.211.224.146 | 40.78.192.32/29, 40.78.193.32/29, 52.172.113.96/27 |
| Indie Zachodnie | 104.211.160.80, 104.211.144.4 | 104.211.144.32/29, 104.211.145.32/29, 52.136.53.160/27 |
| Środkowy Izrael | 20.217.59.248/29, 20.217.91.192/29,20.217.75.192/29 | |
| Włochy Północne | 4.232.107.184/29, 4.232.195.192/29, 4.232.123.192/29 | |
| Japonia Wschodnia | 40.79.184.8, 40.79.192.5, 13.78.104.32, 40.79.184.32 | 13.78.104.32/29, 40.79.184.32/29, 40.79.192.32/29, 20.191.165.160/27 |
| Japonia Zachodnia | 104.214.148.156, 40.74.97.10 | 40.74.96.32/29, 20.18.179.192/29, 20.189.225.160/27 |
| Korea Środkowa | 52.231.32.42, 52.231.17.22, 52.231.17.23, 20.44.24.32, 20.194.64.33 | 20.194.64.32/29, 20.44.24.32/29, 52.231.16.32/29,20.194.73.64/27 |
| Korea Południowa | 52.231.151.96 | 52.231.151.96/27, 52.231.151.88/29, 52.147.112.160/27 |
| Malezja Południowa | 20.17.67.248/29 | |
| Północno-środkowe stany USA | 52.162.104.33, 52.162.105.9 | 52.162.105.200/29, 52.162.105.192/29, 20.49.119.32/27, 20.125.171.192/29 |
| Europa Północna | 52.138.224.1, 13.74.104.113 | 13.69.233.136/29, 13.74.105.192/29, 52.138.229.72/29, 52.146.133.128/27 |
| Norwegia Wschodnia | 51.120.96.0, 51.120.96.33, 51.120.104.32, 51.120.208.32 | 51.120.96.32/29, 51.120.104.32/29, 51.120.208.32/29, 51.120.232.192/27 |
| Norwegia Zachodnia | 51.120.216.0 | 51.120.217.32/29,51.13.136.224/27 |
| Polska Środkowa | 20.215.27.192/29, 20.215.155.248/29,20.215.19.192/29 | |
| Katar Środkowy | 20.21.43.248/29, 20.21.75.192/29, 20.21.67.192/29 | |
| Hiszpania Środkowa | 68.221.99.184/29, 68.221.154.88/29, 68.221.147.192/29 | |
| Północna Republika Południowej Afryki | 102.133.152.0, 102.133.120.2, 102.133.152.32 | 102.133.120.32/29, 102.133.152.32/29, 102.133.248.32/29, 102.133.221.224/27 |
| Zachodnia Republika Południowej Afryki | 102.133.24.0 | 102.133.25.32/29,102.37.80.96/27 |
| South Central US | 104.214.16.32, 20.45.121.1, 20.49.88.1 | 20.45.121.32/29, 20.49.88.32/29, 20.49.89.32/29, 40.124.64.136/29, 20.65.132.160/27 |
| Azja Południowo-Wschodnia | 104.43.15.0, 40.78.232.3, 13.67.16.193 | 13.67.16.192/29, 23.98.80.192/29, 40.78.232.192/29,20.195.65.32/27 |
| Szwecja Środkowa | 51.12.224.32/29, 51.12.232.32/29 | |
| Szwecja Południowa | 51.12.200.32/29, 51.12.201.32/29 | |
| Szwajcaria Północna | 51.107.56.0 | 51.107.56.32/29, 20.208.19.192/29, 51.103.203.192/29, 51.107.242.32/27 |
| Północny Tajwan | 51.53.107.248/29 | |
| Tajwan Północny Zachód | 51.53.187.248/29 | |
| Szwajcaria Zachodnia | 51.107.152.0 | 51.107.153.32/29, 51.107.250.64/27 |
| Środkowe Zjednoczone Emiraty Arabskie | 20.37.72.64 | 20.37.72.96/29, 20.37.73.96/29 |
| Północne Zjednoczone Emiraty Arabskie | 65.52.248.0 | 40.120.72.32/29, 65.52.248.32/29, 20.38.152.24/29, 20.38.143.64/27 |
| Południowe Zjednoczone Królestwo | 51.140.184.11, 51.105.64.0, 51.140.144.36, 51.105.72.32 | 51.105.64.32/29, 51.105.72.32/29, 51.140.144.32/29, 51.143.209.224/27 |
| Zachodnie Zjednoczone Królestwo | 51.141.8.11, 51.140.208.96, 51.140.208.97 | 51.140.208.96/29, 51.140.209.32/29, 20.58.66.128/27 |
| Zachodnio-środkowe stany USA | 13.78.145.25, 13.78.248.43, 13.71.193.32, 13.71.193.33 | 13.71.193.32/29, 20.69.0.32/27 |
| West Europe | 104.40.168.105, 52.236.184.163 | 104.40.169.32/29, 13.69.112.168/29, 52.236.184.32/29,20.61.99.192/27 |
| Zachodnie stany USA | 104.42.238.205, 13.86.216.196 | 13.86.217.224/29, 20.168.163.192/29, 20.66.3.64/27 |
| Zachodnie stany USA 2 | 40.78.240.8, 40.78.248.10 | 13.66.136.192/29, 40.78.240.192/29, 40.78.248.192/29, 20.51.9.128/27 |
| Zachodnie stany USA 3 | 20.150.168.0, 20.150.184.2 | 20.150.168.32/29, 20.150.176.32/29, 20.150.184.32/29, 20.150.241.128/27 |
Powiązana zawartość
- Aby uzyskać informacje na temat zmiany zasad połączenia usługi Azure SQL Database dla serwera, zobacz conn-policy.
- Aby uzyskać informacje o zachowaniu połączenia usługi Azure SQL Database dla klientów korzystających z wersji ADO.NET 4.5 lub nowszej, zobacz Porty przekraczające 1433 dla ADO.NET 4.5.
- Aby uzyskać ogólne informacje na temat programowania aplikacji, zobacz Omówienie tworzenia aplikacji usługi SQL Database.
- Zapoznaj się z tematem Zakresy adresów IP platformy Azure i tagi usług — chmura publiczna
- Co to jest logiczny serwer SQL w usługach Azure SQL Database i Azure Synapse?
- Jaka jest różnica między usługą Azure Synapse (dawniej SQL DW) i obszarem roboczym usługi Azure Synapse Analytics