Reguły zapory dla ruchu wychodzącego dla usług Azure SQL Database i Azure Synapse Analytics

Dotyczy:Azure SQL DatabaseAzure Synapse Analytics (tylko dedykowane pule SQL)

Reguły zapory ruchu wychodzącego ograniczają ruch sieciowy z serwera logicznego usługi Azure SQL Database do listy zdefiniowanych przez klienta kont usługi Azure Storage i serwerów logicznych usługi Azure SQL Database. Każda próba uzyskania dostępu do kont magazynu lub baz danych, których nie ma na tej liście, zostanie odrzucona. Następujące funkcje usługi Azure SQL Database obsługują tę funkcję:

• Inspekcja
• Ocena luk w zabezpieczeniach
• Importowanie/eksportowanie usługi
• OPENROWSET
• Wstawianie zbiorcze
• sp_invoke_external_rest_endpoint

Ważne

• Ten artykuł dotyczy zarówno usługi Azure SQL Database, jak i dedykowanej puli SQL (dawniej SQL DW) w usłudze Azure Synapse Analytics. Te ustawienia dotyczą wszystkich baz danych usługi SQL Database i dedykowanej puli SQL (dawniej SQL DW) skojarzonych z serwerem. Dla uproszczenia termin "baza danych" odnosi się do obu baz danych w usługach Azure SQL Database i Azure Synapse Analytics. Podobnie wszystkie odwołania do "serwera" odwołują się do logicznego serwera SQL, który hostuje usługę Azure SQL Database i dedykowaną pulę SQL (dawniej SQL DW) w usłudze Azure Synapse Analytics. Ten artykuł nie dotyczy usługi Azure SQL Managed Instance ani dedykowanych pul SQL w obszarach roboczych usługi Azure Synapse Analytics.
• Reguły zapory ruchu wychodzącego są definiowane na serwerze logicznym. Replikacja geograficzna i grupy trybu failover wymagają zdefiniowania tego samego zestawu reguł dla podstawowych i wszystkich serwerów pomocniczych.

Ustawianie reguł zapory dla ruchu wychodzącego w witrynie Azure Portal

1. W obszarze Zabezpieczenia wybierz pozycję Sieć.

2. Wybierz kartę Łączność . W obszarze Sieć wychodząca wybierz link Konfigurowanie ograniczeń sieci wychodzących.

   

   Spowoduje to otwarcie następującego okienka:

   

3. Zaznacz pole wyboru zatytułowane Ogranicz sieć wychodzącą.

4. Wybierz przycisk Dodaj domenę i podaj w pełni kwalifikowaną nazwę domeny dla kont magazynu (lub baz danych w usłudze Azure SQL Database).

5. Po zakończeniu powinien zostać wyświetlony ekran podobny do poniższego. Wybierz przycisk OK , aby zastosować te ustawienia.

   

Ustawianie reguł zapory dla ruchu wychodzącego przy użyciu programu PowerShell

Ważne

Moduł Azure Resource Manager (AzureRM) programu PowerShell został wycofany 29 lutego 2024 r. Wszystkie przyszłe programowanie powinno używać modułu Az.Sql. Zaleca się migrowanie użytkowników z modułu AzureRM do modułu Az programu PowerShell w celu zapewnienia ciągłej obsługi i aktualizacji. Moduł AzureRM nie jest już utrzymywany ani obsługiwany. Argumenty poleceń w module Az programu PowerShell i modułach AzureRM są zasadniczo identyczne. Aby uzyskać więcej informacji na temat ich zgodności, zapoznaj się z Wprowadzeniem do nowego modułu Az PowerShell.

Poniższy skrypt wymaga modułu Azure PowerShell.

Poniższy skrypt programu PowerShell pokazuje, jak zmienić ustawienie sieci wychodzącej (przy użyciu właściwości RestrictOutboundNetworkAccess):

# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess

# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force

Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString  -RestrictOutboundNetworkAccess "Enabled"

Użyj następujących poleceń cmdlet programu PowerShell, aby skonfigurować reguły zapory dla ruchu wychodzącego:

# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>

# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1

# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

Ustawianie reguł zapory dla ruchu wychodzącego przy użyciu interfejsu wiersza polecenia platformy Azure

Ważne

Wszystkie skrypty w tej sekcji wymagają interfejsu wiersza polecenia platformy Azure.

Interfejs wiersza polecenia platformy Azure w powłoce bash

Poniższy skrypt interfejsu wiersza polecenia pokazuje, jak zmienić ustawienie sieci wychodzącej (przy użyciu właściwości restrictOutboundNetworkAccess ) w powłoce powłoki bash:

# Get current setting for Outbound Networking 
az sql server show -n sql-server-name -g sql-server-group --query "restrictOutboundNetworkAccess"

# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set restrictOutboundNetworkAccess="Enabled"

Użyj tych poleceń interfejsu wiersza polecenia, aby skonfigurować reguły zapory dla ruchu wychodzącego:

# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name

# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

Treści powiązane

• Omówienie możliwości zabezpieczeń usługi Azure SQL Database i wystąpienia zarządzanego SQL
• Architektura łączności
• Kontrola dostępu do sieci w usłudze Azure SQL Database
• Usługa Azure Private Link dla usługi Azure SQL Database