Udostępnij za pośrednictwem

Ustawienia łączności dla usług Azure SQL Database i Azure Synapse Analytics

  • Artykuł

Dotyczy: Azure SQL Database Azure Synapse Analytics (tylko dedykowane pule SQL)

W tym artykule przedstawiono ustawienia kontrolujące łączność z serwerem dla usługi Azure SQL Database i dedykowaną pulę SQL (dawniej SQL DW) w usłudze Azure Synapse Analytics.

  • Aby uzyskać więcej informacji na temat różnych składników, które kierują ruch sieciowy i zasady połączeń, zobacz Architektura łączności.
  • Ten artykuł nie dotyczy usługi Azure SQL Managed Instance. Zamiast tego zobacz Łączenie aplikacji z usługą Azure SQL Managed Instance.
  • Ten artykuł nie dotyczy dedykowanych pul SQL w obszarach roboczych usługi Azure Synapse Analytics. Zobacz Reguły zapory adresów IP usługi Azure Synapse Analytics, aby uzyskać wskazówki dotyczące konfigurowania reguł zapory adresów IP dla usługi Azure Synapse Analytics z obszarami roboczymi.

Sieć i łączność

Te ustawienia można zmienić na serwerze logicznym. Serwer logiczny SQL może hostować zarówno bazy danych Azure SQL Database, jak i autonomiczne dedykowane pule SQL, a nie w obszarze roboczym usługi Azure Synapse Analytics.

Uwaga

Te ustawienia dotyczą baz danych Azure SQL Database i dedykowanych pul SQL (dawniej SQL DW) skojarzonych z serwerem logicznym. Te instrukcje nie dotyczą dedykowanych pul SQL w obszarze roboczym analizy usługi Azure Synapse.

Zrzut ekranu przedstawiający ustawienia Zapory i sieci wirtualne w witrynie Azure Portal dla programu SQL Server.

Zmienianie dostępu do sieci publicznej

Istnieje możliwość zmiany dostępu do sieci publicznej dla usługi Azure SQL Database lub autonomicznej dedykowanej puli SQL za pośrednictwem witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Uwaga

Te ustawienia zostaną zastosowane natychmiast po ich zastosowaniu. Klienci mogą napotkać utratę połączenia, jeśli nie spełniają wymagań dla każdego ustawienia.

Aby włączyć dostęp do sieci publicznej dla serwera logicznego hostowania baz danych:

  1. Przejdź do witryny Azure Portal i przejdź do serwera logicznego na platformie Azure.
  2. W obszarze Zabezpieczenia wybierz stronę Sieć .
  3. Wybierz kartę Dostęp publiczny, a następnie ustaw pozycję Dostęp do sieci publicznej na Wybierz sieci.

Na tej stronie można dodać regułę sieci wirtualnej, a także skonfigurować reguły zapory dla publicznego punktu końcowego.

Wybierz kartę Dostęp prywatny, aby skonfigurować prywatny punkt końcowy.

Odmowa dostępu do sieci publicznej

Ustawienie Domyślne dla ustawienia Dostęp do sieci publicznej to Wyłącz. Klienci mogą łączyć się z bazą danych przy użyciu publicznych punktów końcowych (z regułami zapory na poziomie serwera opartymi na adresach IP lub regułami zapory sieci wirtualnej) lub prywatnymi punktami końcowymi (przy użyciu usługi Azure Private Link), jak opisano w omówieniu dostępu do sieci.

Gdy dostęp do sieci publicznej jest ustawiony na Wartość Wyłącz, dozwolone są tylko połączenia z prywatnych punktów końcowych. Wszystkie połączenia z publicznych punktów końcowych zostaną odrzucone z komunikatem o błędzie podobnym do następującego:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Po ustawieniu opcji Dostęp do sieci publicznej na wartość Wyłącz wszelkie próby dodania, usunięcia lub edytowania reguł zapory zostaną odrzucone z komunikatem o błędzie podobnym do następującego:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Upewnij się, że dla opcji Dostęp do sieci publicznej ustawiono opcję Wybrane sieci , aby móc dodawać, usuwać lub edytować wszystkie reguły zapory dla usług Azure SQL Database i Azure Synapse Analytics.

Wersja minimalna protokołu TLS

Minimalne ustawienie wersji protokołu Transport Layer Security (TLS) umożliwia klientom wybranie wersji protokołu TLS używanej przez bazę danych SQL. Można zmienić minimalną wersję protokołu TLS przy użyciu witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Obecnie usługa Azure SQL Database obsługuje protokoły TLS 1.0, 1.1, 1.2 i 1.3. Ustawienie minimalnej wersji protokołu TLS gwarantuje, że nowsze wersje protokołu TLS są obsługiwane. Na przykład wybranie wersji protokołu TLS 1.1 oznacza, że akceptowane będą tylko połączenia nawiązywane za pomocą protokołów TLS 1.1 i 1.2, a protokół TLS 1.0 będzie odrzucany. Zalecamy ustawienie minimalnej wersji protokołu TLS na 1.2 po wcześniejszym przeprowadzeniu testów potwierdzających zgodność aplikacji z tą wersją. Zawiera ona poprawki dla luk w zabezpieczeniach znalezionych w poprzednich wydaniach i jest najwyższą wersją protokołu TLS obsługiwaną w usłudze Azure SQL Database.

Nadchodzące zmiany w emeryturze

Platforma Azure ogłosiła, że wsparcie dla starszych wersji protokołu TLS (TLS 1.0 i 1.1) kończy się 31 sierpnia 2025 r. Aby uzyskać więcej informacji, zobacz Wycofywanie protokołów TLS 1.0 i 1.1.

Od listopada 2024 r. nie będzie już można ustawić minimalnej wersji protokołu TLS dla połączeń klienckich usługi Azure SQL Database i Azure Synapse Analytics poniżej protokołu TLS 1.2.

Konfigurowanie minimalnej wersji protokołu TLS

Minimalną wersję protokołu TLS dla połączeń klienckich można skonfigurować przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Uwaga

  • Ustawieniem domyślnym dla minimalnej wersji protokołu TLS jest zezwalanie na wszystkie wersje. Po wymuszeniu wersji protokołu TLS nie można przywrócić wartości domyślnej.
  • Wymuszanie co najmniej protokołu TLS 1.3 może powodować problemy z połączeniami klientów, którzy nie obsługują protokołu TLS 1.3, ponieważ nie wszystkie sterowniki i systemy operacyjne obsługują protokół TLS 1.3.

W przypadku klientów z aplikacjami, które opierają się na starszych wersjach protokołu TLS, zalecamy ustawienie minimalnej wersji protokołu TLS zgodnie z wymaganiami aplikacji. Jeśli wymagania aplikacji są nieznane lub obciążenia korzystają ze starszych sterowników, które nie są już obsługiwane, zalecamy ustawienie minimalnej wersji protokołu TLS.

Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące protokołu TLS dotyczące łączności z usługą SQL Database.

Po ustawieniu minimalnej wersji protokołu TLS klienci korzystający z wersji protokołu TLS niższej niż minimalna wersja protokołu TLS serwera nie będą uwierzytelniać się z powodu następującego błędu:

Error 47072
Login failed with invalid TLS version

Uwaga

Minimalna wersja protokołu TLS jest wymuszana w warstwie aplikacji. Narzędzia, które próbują określić obsługę protokołu TLS w warstwie protokołu, mogą zwracać wersje protokołu TLS oprócz minimalnej wymaganej wersji podczas uruchamiania bezpośrednio względem punktu końcowego usługi SQL Database.

  1. Przejdź do witryny Azure Portal i przejdź do serwera logicznego na platformie Azure.
  2. W obszarze Zabezpieczenia wybierz stronę Sieć .
  3. Wybierz kartę Łączność . Wybierz minimalną wersję protokołu TLS żądaną dla wszystkich baz danych skojarzonych z serwerem, a następnie wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający kartę Łączność ustawień sieci dla serwera logicznego z wybraną listą rozwijaną Minimalna wersja protokołu TLS.

Identyfikowanie połączeń klientów

Dzienniki inspekcji w witrynie Azure Portal i usłudze SQL umożliwiają identyfikowanie klientów łączących się przy użyciu protokołów TLS 1.0 i 1.0.

W witrynie Azure Portal przejdź do obszaru Metryki w obszarze Monitorowanie zasobu bazy danych, a następnie przefiltruj według pozycji Pomyślne połączenia oraz wersje1.0 = protokołu TLS i 1.1:

Zrzut ekranu przedstawiający stronę montowania zasobu bazy danych w witrynie Azure Portal z odfiltrowanym pomyślnie połączeniami tls 1.0 i 1.1.

Możesz również wykonać zapytanie sys.fn_get_audit_file bezpośrednio w bazie danych, aby wyświetlić element client_tls_version_name w pliku inspekcji:

Zrzut ekranu przedstawiający wynik zapytania pliku inspekcji z połączeniami wersji protokołu TLS.

Zmienianie zasad połączenia

Zasady połączeń określają sposób nawiązywania połączenia przez klientów. Zdecydowanie zalecamy Redirect stosowanie zasad Proxy połączenia względem zasad połączenia w celu uzyskania najmniejszego opóźnienia i najwyższej przepływności.

Istnieje możliwość zmiany zasad połączenia przy użyciu witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Istnieje możliwość zmiany zasad połączenia dla serwera logicznego przy użyciu witryny Azure Portal.

  1. Przejdź do portalu Azure Portal. Przejdź do serwera logicznego na platformie Azure.
  2. W obszarze Zabezpieczenia wybierz stronę Sieć .
  3. Wybierz kartę Łączność . Wybierz odpowiednie zasady połączenia, a następnie wybierz pozycję Zapisz.

Zrzut ekranu przedstawiający kartę Łączność na stronie Sieć, wybrane zasady połączeń.

Powiązana zawartość