Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wskazówka
Microsoft Fabric Data Warehouse to magazyn relacyjny w skali przedsiębiorstwa na podstawie bazy danych data lake z architekturą gotową do użycia w przyszłości, wbudowaną sztuczną inteligencją i nowymi funkcjami. Jeśli dopiero zaczynasz korzystać z magazynowania danych, zacznij od Fabric Data Warehouse. Istniejące obciążenia dedykowanej puli SQL mogą zostać zaktualizowane do Fabric, aby uzyskać dostęp do nowych możliwości w zakresie nauki o danych, analizy w czasie rzeczywistym i raportowania.
Gdy utworzysz nowy serwer logiczny w usłudze Azure Synapse Analytics o nazwie mysqlserver, na przykład, zapora na poziomie serwera blokuje cały dostęp do publicznego punktu końcowego dla serwera logicznego. Azure Synapse obsługuje reguły zapory ip na poziomie serwera. Dedykowane pule SQL w obszarach roboczych Azure Synapse Analytics nie korzystają z logicznych serwerów SQL i mają zaporę na poziomie obszaru roboczego.
- Aby uzyskać informacje o regułach zapory adresów IP serwera i bazy danych w Azure SQL Database, zobacz Azure SQL Database reguły zapory adresów IP
- Aby uzyskać informacje o konfiguracji sieci dla Azure SQL Managed Instance, zobacz Łączenie aplikacji z Azure SQL Managed Instance.
Jak działa zapora
Próby połączenia z Internetu i Azure muszą przejść przez zaporę, zanim dotrą do serwera lub bazy danych
Reguły zapory bazujące na adresach IP na poziomie serwera
Te reguły umożliwiają klientom uzyskiwanie dostępu do całego serwera, czyli wszystkich baz danych zarządzanych przez serwer. Reguły są przechowywane w master bazie danych. Maksymalna liczba reguł zapory adresów IP na poziomie serwera jest ograniczona do 256 dla serwera. Jeśli masz włączone ustawienie Zezwalaj usługom i zasobom platformy Azure na dostęp do tego serwera, to jest to liczone jako pojedyncza reguła zapory dla serwera.
Reguły zapory adresów IP na poziomie serwera można skonfigurować przy użyciu Azure portal, programu PowerShell lub instrukcji Transact-SQL.
Uwaga / Notatka
Maksymalna liczba reguł zapory adresów IP na poziomie serwera jest ograniczona do 256 podczas konfigurowania przy użyciu portalu Azure.
- Aby korzystać z portalu lub programu PowerShell, musisz być właścicielem subskrypcji lub współautorem subskrypcji.
- Aby użyć Transact-SQL, musisz połączyć się z bazą danych
masterjako główne konto logowania na poziomie serwera lub jako administrator Microsoft Entra. (Najpierw należy utworzyć regułę zapory adresów IP na poziomie serwera przez użytkownika, który ma uprawnienia na poziomie Azure).
Uwaga / Notatka
Domyślnie podczas tworzenia nowego serwera logicznego SQL z portalu Azure ustawienie Allow Azure Services and resources w celu uzyskania dostępu do tego serwera jest ustawione na No.
Zalecenia dotyczące ustawiania reguł zapory
Użyj reguł zapory adresów IP na poziomie serwera, jeśli masz wiele baz danych, które mają te same wymagania dostępu, i nie chcesz konfigurować poszczególnych baz danych osobno.
Połączenia z Internetu
Gdy komputer próbuje nawiązać połączenie z serwerem z Internetu, zapora najpierw sprawdza źródłowy adres IP żądania.
- Jeśli adres znajduje się w zakresie, który znajduje się w regułach zapory adresów IP na poziomie serwera, zostanie przyznane połączenie.
- Reguły zapory adresów IP na poziomie serwera mają zastosowanie do wszystkich baz danych zarządzanych przez serwer.
- Jeśli adres nie znajduje się w zakresie, który znajduje się w żadnej z reguł zapory adresów IP na poziomie serwera, żądanie połączenia kończy się niepowodzeniem.
Permissions
Aby utworzyć reguły zapory ip i zarządzać nimi, musisz mieć jedną z następujących ról:
- w roli współautora SQL Server
- w roli Menedżera zabezpieczeń SQL
- właściciel zasobu
Tworzenie reguł zapory bazujących na adresach IP i zarządzanie nimi
Pierwsze ustawienie zapory na poziomie serwera jest tworzone przy użyciu portalu Azure lub programowo przy użyciu Azure PowerShell, Azure CLI lub interfejsu API Azure REST. Tworzysz dodatkowe reguły zapory adresów IP na poziomie serwera i zarządzasz nimi przy użyciu tych metod lub Transact-SQL. Azure Synapse obsługuje tylko reguły zapory ip na poziomie serwera. Nie obsługuje reguł zapory adresów IP na poziomie bazy danych.
Wskazówka
Możesz użyć Inspekcji dla usługi Azure Synapse Analytics do inspekcji zmian zapory na poziomie serwera i bazy danych.
Zarządzanie regułami zapory adresów IP na poziomie serwera za pomocą portalu Azure
Aby ustawić regułę zapory adresów IP na poziomie serwera w portalu Azure, przejdź do strony Overview serwera logicznego.
Przejdź do strony Sieć .
Dodaj regułę w sekcji Reguły zapory , aby dodać adres IP używanego komputera, a następnie wybierz pozycję Zapisz. Dla bieżącego adresu IP jest tworzona reguła zapory adresów IP na poziomie serwera.
Zarządzanie regułami zapory ip przy użyciu Transact-SQL
| Widok katalogu lub procedura składowana | Level | Description |
|---|---|---|
| sp_set_firewall_rule | Serwer | Tworzy lub aktualizuje reguły zapory adresów IP na poziomie serwera |
| sp_delete_firewall_rule | Serwer | Usuwa reguły zapory adresów IP na poziomie serwera |
Aby dodać regułę zapory adresów IP na poziomie serwera.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Aby usunąć regułę zapory IP na poziomie serwera, wykonaj procedurę składowaną sp_delete_firewall_rule. Poniższy przykład usuwa regułę ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Zarządzanie regułami zapory adresów IP na poziomie serwera przy użyciu programu PowerShell
Uwaga / Notatka
W tym artykule użyto modułu Azure Az programu PowerShell, który jest zalecanym modułem programu PowerShell do interakcji z platformą Azure. Aby rozpocząć pracę z modułem Azure PowerShell, zobacz Instalowanie programu Azure PowerShell. Aby dowiedzieć się, jak przeprowadzić migrację do modułu Az PowerShell, zobacz Migracja programu Azure PowerShell z modułu AzureRM do modułu Az.
Important
Moduł PowerShell Azure Resource Manager (AzureRM) został wycofany 29 lutego 2024 r. Wszystkie przyszłe programowanie powinno używać modułu Az.Sql. Zaleca się migrowanie użytkowników z modułu AzureRM do modułu Az programu PowerShell w celu zapewnienia ciągłej obsługi i aktualizacji. Moduł AzureRM nie jest już utrzymywany ani obsługiwany. Argumenty poleceń w module Az programu PowerShell i modułach AzureRM są zasadniczo identyczne. Aby uzyskać więcej informacji na temat ich zgodności, zobacz Wprowadzenie nowego modułu Az PowerShell.
| cmdlet | Level | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Serwer | Zwraca reguły zapory usługi Synapse Analytics. |
| New-AzSynapseFirewallRule | Serwer | Tworzy regułę zapory usługi Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Serwer | Usuwa regułę zapory usługi Synapse Analytics. |
| Update-AzSynapseFirewallRule | Serwer | Aktualizuje regułę zapory usługi Synapse Analytics. |
Zarządzaj regułami zapory IP na poziomie serwera przy użyciu CLI
| cmdlet | Level | Description |
|---|---|---|
| az synapse sql | Zarządzanie pulami SQL. | |
| az synapse workspace firewall-rule | Zarządzanie regułami zapory obszaru roboczego. |
Aby zapoznać się z regułami zapory na poziomie obszaru roboczego, zobacz:
| cmdlet | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Serwer | Utwórz regułę zapory |
| az synapse workspace firewall-rule delete - polecenie do usunięcia reguły zapory w obszarze roboczym Synapse | Serwer | Usuń regułę zapory |
| az synapse workspace firewall-rule list | Serwer | Wyświetl listę wszystkich reguł zapory |
| az synapse workspace firewall-rule show | Serwer | Pobierz regułę zapory |
| az synapse workspace firewall-rule update | Serwer | Zaktualizuj regułę zapory |
| az synapse workspace firewall-rule wait | Serwer | Umieść interfejs wiersza polecenia w stanie oczekiwania do momentu spełnienia warunku reguły zapory |
W poniższym przykładzie użyto interfejsu wiersza polecenia do ustawienia reguły zapory adresów IP na poziomie serwera w Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Zarządzanie regułami zapory adresów IP na poziomie serwera przy użyciu interfejsu API REST
| Polecenie | Description |
|---|---|
| Pule SQL | Zarządzanie pulą SQL usługi Synapse. |
| reguły zapory ip | Zarządzanie regułami zapory IP w usłudze Synapse. |
Zrozumienie opóźnienia aktualizacji zapory
Model uwierzytelniania serwera ma opóźnienie 5 minut dla wszystkich zmian ustawień zabezpieczeń, chyba że baza danych jest utrzymywana bez partnera awaryjnego. Zmiany wprowadzone w zawartych bazach danych bez partnera trybu awaryjnego (failover) są natychmiastowe. W przypadku zamkniętych baz danych z partnerem trybu failover, każda aktualizacja zabezpieczeń jest natychmiastowa w podstawowej bazie danych, ale zmiany w dodatkowej bazie danych mogą być widoczne dopiero po 5 minutach.
W poniższej tabeli opisano opóźnienia zmian ustawień zabezpieczeń na podstawie typu bazy danych i konfiguracji trybu failover:
| Model uwierzytelniania | Konfigurowanie trybu failover | Opóźnienie zmian ustawień zabezpieczeń | Latentne wystąpienia |
|---|---|---|---|
| Uwierzytelnianie serwera | Yes | 5 minut | wszystkie bazy danych |
| Uwierzytelnianie serwera | No | 5 minut | wszystkie bazy danych |
| Zawarta baza danych | Yes | 5 minut | pomocnicza baza danych |
| Zawarta baza danych | No | none | none |
Ręczne odświeżanie reguł zapory
Jeśli chcesz, aby reguły zapory były aktualizowane szybciej niż 5-minutowe opóźnienie, możesz ręcznie odświeżyć reguły zapory. Zaloguj się do wystąpienia bazy danych, które wymaga zaktualizowania reguł, i uruchom komendę DBCC FLUSHAUTHCACHE. Spowoduje to opróżnienie lokalnej pamięci podręcznej wystąpienia bazy danych i odświeżenie zasad zapory sieciowej.
DBCC FLUSHAUTHCACHE[;]
Rozwiąż problemy z zaporą
Jeśli dostęp nie zachowuje się zgodnie z oczekiwaniami, należy wziąć pod uwagę następujące kwestie.
Konfiguracja zapory lokalnej:
Zanim komputer będzie mógł uzyskać dostęp do dedykowanej puli SQL, może być konieczne utworzenie wyjątku zapory na komputerze dla portu TCP 1433. Aby nawiązać połączenia wewnątrz granicy chmury Azure, może być konieczne otwarcie dodatkowych portów.
Translacja adresów sieciowych:
Ze względu na translator adresów sieciowych (NAT) adres IP używany przez komputer do nawiązywania połączenia z Azure Synapse Analytics może być inny niż adres IP w ustawieniach konfiguracji adresu IP komputera. Aby wyświetlić adres IP używany przez komputer do nawiązywania połączenia z Azure:
- Zaloguj się w portalu.
- Przejdź na kartę Konfiguracja serwera hostującego bazę danych.
- Bieżący adres IP klienta jest wyświetlany w sekcji Dozwolone adresy IP. Wybierz pozycję Dodaj dla pozycji Dozwolone adresy IP , aby zezwolić temu komputerowi na dostęp do serwera.
Zmiany na liście dozwolonych nie zostały jeszcze wprowadzone:
Może wystąpić opóźnienie do pięciu minut, zanim zmiany w konfiguracji zapory Azure Synapse Analytics zaczną obowiązywać.
Logowanie nie jest autoryzowane lub użyto nieprawidłowego hasła:
Jeśli logowanie nie ma uprawnień na serwerze lub hasło jest niepoprawne, połączenie z serwerem zostanie odrzucone. Utworzenie ustawienia zapory tylko daje klientom szansę na spróbowanie nawiązania połączenia z twoim serwerem. Klient musi nadal podać niezbędne poświadczenia zabezpieczeń. Aby uzyskać więcej informacji, zobacz Azure Synapse Analytics ustawienia łączności.
Dynamiczny adres IP:
Jeśli masz połączenie internetowe korzystające z dynamicznego adresowania IP i masz problemy z przejściem przez zaporę, wypróbuj jedno z następujących rozwiązań:
- Poproś dostawcę usług internetowych o zakres adresów IP przypisany do klientów uzyskujących dostęp do serwera. Dodaj ten zakres adresów IP jako regułę zapory adresów IP.
- Zamiast tego uzyskaj statyczne adresowanie IP dla komputerów klienckich. Dodaj adresy IP jako reguły zapory sieciowej IP.