ustawienia Połączenie ivity dla usług Azure SQL Database i Azure Synapse Analytics

  • Artykuł

Dotyczy:Azure SQL DatabaseAzure Synapse Analytics (tylko dedykowane pule SQL)

W tym artykule przedstawiono ustawienia kontrolujące łączność z serwerem dla usługi Azure SQL Database i dedykowaną pulę SQL (dawniej SQL DW) w usłudze Azure Synapse Analytics.

  • Aby uzyskać więcej informacji na temat różnych składników, które kierują ruch sieciowy i zasady połączeń, zobacz Architektura łączności.
  • Ten artykuł nie dotyczy usługi Azure SQL Managed Instance. Zamiast tego zobacz Połączenie aplikacji do usługi Azure SQL Managed Instance.
  • Ten artykuł nie dotyczy dedykowanych pul SQL w obszarach roboczych usługi Azure Synapse Analytics. Zobacz Reguły zapory adresów IP usługi Azure Synapse Analytics, aby uzyskać wskazówki dotyczące konfigurowania reguł zapory adresów IP dla usługi Azure Synapse Analytics z obszarami roboczymi.

Sieć i łączność

Te ustawienia dotyczą wszystkich baz danych usługi SQL Database i dedykowanej puli SQL (dawniej SQL DW) skojarzonych z serwerem. Te ustawienia można zmienić na karcie sieci serwera logicznego:

Screenshot of the Firewalls and virtual networks settings in Azure portal for SQL server.

Zmienianie dostępu do sieci publicznej

Istnieje możliwość zmiany dostępu do sieci publicznej za pośrednictwem witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Aby włączyć dostęp do sieci publicznej dla serwera logicznego hostowania baz danych, przejdź do strony Sieć w witrynie Azure Portal dla serwera logicznego na platformie Azure, wybierz kartę Dostęp publiczny, a następnie ustaw opcję Dostęp do sieci publicznej na Wybierz sieci.

Na tej stronie można dodać regułę sieci wirtualnej, a także skonfigurować reguły zapory dla publicznego punktu końcowego.

Wybierz kartę Dostęp prywatny, aby skonfigurować prywatny punkt końcowy.

Uwaga

Te ustawienia zostaną zastosowane natychmiast po ich zastosowaniu. Klienci mogą napotkać utratę połączenia, jeśli nie spełniają wymagań dla każdego ustawienia.

Odmowa dostępu do sieci publicznej

Ustawienie Domyślne dla ustawienia Dostęp do sieci publicznej to Wyłącz. Klienci mogą łączyć się z bazą danych przy użyciu publicznych punktów końcowych (z regułami zapory na poziomie serwera opartymi na adresach IP lub regułami zapory sieci wirtualnej) lub prywatnymi punktami końcowymi (przy użyciu usługi Azure Private Link), jak opisano w omówieniu dostępu do sieci.

Gdy dostęp do sieci publicznej jest ustawiony na Wartość Wyłącz, dozwolone są tylko połączenia z prywatnych punktów końcowych. Wszystkie połączenia z publicznych punktów końcowych zostaną odrzucone z komunikatem o błędzie podobnym do następującego:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Po ustawieniu opcji Dostęp do sieci publicznej na wartość Wyłącz wszelkie próby dodania, usunięcia lub edytowania reguł zapory zostaną odrzucone z komunikatem o błędzie podobnym do następującego:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Upewnij się, że dla opcji Dostęp do sieci publicznej ustawiono opcję Wybrane sieci , aby móc dodawać, usuwać lub edytować wszystkie reguły zapory dla usług Azure SQL Database i Azure Synapse Analytics.

Minimalna wersja protokołu TLS

Minimalne ustawienie wersji protokołu Transport Layer Security (TLS) umożliwia klientom wybranie wersji protokołu TLS używanej przez bazę danych SQL. Można zmienić minimalną wersję protokołu TLS przy użyciu witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Obecnie obsługujemy protokół TLS 1.0, 1.1 i 1.2. Ustawienie minimalnej wersji protokołu TLS zapewnia obsługę nowszych wersji tego protokołu. Na przykład wybranie wersji protokołu TLS 1.1 oznacza, że akceptowane będą tylko połączenia nawiązywane za pomocą protokołów TLS 1.1 i 1.2, a protokół TLS 1.0 będzie odrzucany. Zalecamy ustawienie minimalnej wersji protokołu TLS na 1.2 po wcześniejszym przeprowadzeniu testów potwierdzających zgodność aplikacji z tą wersją. Zawiera ona poprawki dla luk w zabezpieczeniach znalezionych w poprzednich wydaniach i jest najwyższą wersją protokołu TLS obsługiwaną w usłudze Azure SQL Database.

Ważne

Ustawieniem domyślnym dla minimalnej wersji protokołu TLS jest zezwalanie na wszystkie wersje. Po wymuszeniu wersji protokołu TLS nie można przywrócić wartości domyślnej.

W przypadku klientów z aplikacjami, które opierają się na starszych wersjach protokołu TLS, zalecamy ustawienie minimalnej wersji protokołu TLS zgodnie z wymaganiami aplikacji. Jeśli wymagania aplikacji są nieznane lub obciążenia korzystają ze starszych sterowników, które nie są już obsługiwane, zalecamy ustawienie minimalnej wersji protokołu TLS.

Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące protokołu TLS dotyczące łączności z usługą SQL Database.

Po ustawieniu minimalnej wersji protokołu TLS klienci korzystający z wersji protokołu TLS niższej niż minimalna wersja protokołu TLS serwera nie będą uwierzytelniać się z powodu następującego błędu:

Error 47072
Login failed with invalid TLS version

Uwaga

Po skonfigurowaniu minimalnej wersji protokołu TLS minimalna wersja jest wymuszana w warstwie aplikacji. Narzędzia, które próbują określić obsługę protokołu TLS w warstwie protokołu, mogą zwracać wersje protokołu TLS oprócz minimalnej wymaganej wersji podczas uruchamiania bezpośrednio względem punktu końcowego usługi SQL Database.

W witrynie Azure Portal przejdź do zasobu serwera SQL. W obszarze Ustawienia zabezpieczeń wybierz pozycję Sieć, a następnie wybierz kartę Połączenie ivity. Wybierz minimalną wersję protokołu TLS wymaganą dla wszystkich baz danych skojarzonych z serwerem, a następnie wybierz pozycję Zapisz.

Screenshot of the Connectivity tab of the Networking settings for your logical server, minimal TLS version drop-down selected.

Zmienianie zasad połączenia

zasady Połączenie ion określają, jak klienci łączą się z usługą Azure SQL Database.

Zdecydowanie zalecamy Redirect stosowanie zasad Proxy połączenia względem zasad połączenia w celu uzyskania najmniejszego opóźnienia i najwyższej przepływności.

Istnieje możliwość zmiany zasad połączenia przy użyciu witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Istnieje możliwość zmiany zasad połączenia dla serwera logicznego przy użyciu witryny Azure Portal.

W witrynie Azure Portal przejdź do zasobu serwera SQL. W obszarze Ustawienia zabezpieczeń wybierz pozycję Sieć, a następnie wybierz kartę Połączenie ivity. Wybierz odpowiednie zasady połączenia, a następnie wybierz pozycję Zapisz.

Screenshot of the Connectivity tab of the Networking page, Connection policy selected.

Powiązana zawartość