Conectar e consultar o banco de dados SQL do Azure usando Python e o driver pyodbc
Aplica-se a: Banco de Dados SQL do Azure
Este início rápido descreve como conectar um aplicativo a um banco de dados no Banco de Dados SQL do Azure e executar consultas usando o Python e o Driver SQL de Python - pyodbc. Este guia de início rápido segue a abordagem sem senha recomendada para se conectar ao banco de dados. Você pode saber mais sobre conexões sem senha no hub sem senha.
Pré-requisitos
- Uma assinatura do Azure.
- Um banco de dados SQL do Azure configurado com autenticação do Microsoft Entra. Você pode criar um usando o Início rápido para criação do banco de dados.
- A versão mais recente da CLI do Azure.
- Visual Studio Code com a Extensão do Python.
- Python 3.8 ou posterior. Se você estiver usando uma máquina cliente Linux, consulte Instalar o driver ODBC.
Configurar o banco de dados
Conexões seguras e sem senha para o Banco de Dados SQL do Azure exigem determinadas configurações do banco de dados. Verifique as seguintes configurações no seu servidor lógico do Azure para se conectar corretamente ao Banco de Dados SQL do Azure em ambientes locais e hospedados:
Para conexões de desenvolvimento local, verifique se o servidor lógico está configurado para permitir que o endereço IP do computador local e outros serviços do Azure se conectem:
Navegue até a página de Rede do servidor.
Clique no botão de opção Redes selecionadas para mostrar opções de configuração adicionais.
Selecione Adicionar o endereço IPv4 do cliente(xx.xx.xx.xx) para adicionar uma regra de firewall que habilitará as conexões do endereço IPv4 do computador local. Como alternativa, você também pode selecionar + Adicionar uma regra de firewall para inserir um endereço IP específico de sua escolha.
Verifique se a caixa de seleção Permitir que serviços e recursos do Azure acessem este servidor está marcada.
Aviso
Habilitar a configuração Permitir que serviços e recursos do Azure acessem esse servidor não é uma prática de segurança recomendada para cenários de produção. Os aplicativos reais devem implementar abordagens mais seguras, como restrições de firewall mais fortes ou configurações de rede virtual.
Você pode ler mais sobre configurações de segurança de banco de dados nos seguintes recursos:
O servidor também deve ter a autenticação do Microsoft Entra habilitada e ter uma conta do administrador do Microsoft Entra atribuída. Para conexões de desenvolvimento local, a conta do administrador do Microsoft Entra deve ser uma conta com a qual você também pode fazer logon no Visual Studio ou na CLI do Azure localmente. Você pode verificar se o servidor tem a autenticação do Microsoft Entra habilitada na página Microsoft Entra ID do servidor lógico.
Se você estiver usando uma conta pessoal do Azure, verifique se tem a instalação e configuração do Microsoft Entra para o Banco de Dados SQL do Azure para atribuir sua conta à administração do servidor. Se você estiver usando uma conta corporativa, o Microsoft Entra ID provavelmente já estará configurado.
Criar o projeto
Crie um projeto Python usando o Visual Studio Code.
Abra o Visual Studio Code e crie uma nova pasta para seu projeto e altere o diretório para ele.
mkdir python-sql-azure cd python-sql-azure
Crie um ambiente virtual para o aplicativo.
py -m venv .venv .venv\scripts\activate
Criar um arquivo Python chamado
app.py
.
Instalar o driver pyodbc
Para se conectar ao Banco de Dados SQL do Azure usando o Python, instale o driver pyodbc
. Esse pacote atua como um provedor de dados para se conectar a bancos de dados, executar comandos e recuperar resultados. Neste início rápido, você também instala pacotes flask
, uvicorn
e pydantic
para criar e executar uma API.
Para obter detalhes e instruções específicas para instalar o driver pyodbc
em todos os sistemas operacionais, confira Configurar o ambiente de desenvolvimento para o desenvolvimento do Python pyodbc.
Crie um arquivo requirements.txt com as seguintes linhas:
pyodbc fastapi uvicorn[standard] pydantic azure-identity
Instale os requisitos.
pip install -r requirements.txt
Configurar a cadeia de conexão local
Para desenvolvimento local e conexão com Banco de Dados SQL do Azure, adicione a variável de ambiente AZURE_SQL_CONNECTIONSTRING
a seguir. Substitua os espaços reservados <database-server-name>
e <database-name>
pelos seus próprios valores. As variáveis de ambiente de exemplo são mostradas para o shell Bash.
A autenticação interativa fornece uma opção sem senha quando você está em execução localmente. Essa opção é recomendada porque você não precisa armazenar ou gerenciar segredos de autenticação em seu sistema local.
No Windows, a Autenticação Interativa do Microsoft Entra pode usar a tecnologia de autenticação multifator do Microsoft Entra para configurar a conexão. Nesse modo, ao fornecer a ID de entrada, uma caixa de diálogo de autenticação do Azure é acionada para permitir que o usuário insira a senha e conclua a conexão.
export AZURE_SQL_CONNECTIONSTRING='Driver={ODBC Driver 18 for SQL Server};Server=tcp:<database-server-name>.database.windows.net,1433;Database=<database-name>;Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30'
Para obter mais informações, consulte Usar o Microsoft Entra ID com o driver ODBC. Se você usar essa opção, procure a janela que solicita credenciais.
Você pode obter os detalhes para criar sua cadeia de conexão a partir do portal do Azure:
Vá para o SQL Server do Azure, selecione a página bancos de dados SQL para localizar o nome do banco de dados e selecione o banco de dados.
No banco de dados, vá para a página Cadeias de conexão para obter informações de cadeia de conexão. Procure na guia ODBC .
Observação
Se você instalou o Azure Arc e o associou à sua assinatura do Azure, também poderá usar a abordagem de identidade gerenciada mostrada para o aplicativo implantado em Serviço de Aplicativo.
Adicionar um código para se conectar a um Banco de Dados SQL do Azure
Na pasta do projeto, crie um arquivo app.py e adicione o código de exemplo. Esse código cria uma API que:
- Recupera uma cadeia de conexão de banco de dados SQL do Azure de uma variável de ambiente.
- Cria uma tabela
Persons
no banco de dados durante a inicialização (somente para cenários de teste). - Define uma função para recuperar todos os registros
Person
do banco de dados. - Define uma função para recuperar um registro
Person
do banco de dados. - Define uma função para adicionar novos registros
Person
ao banco de dados.
import os
import pyodbc, struct
from azure import identity
from typing import Union
from fastapi import FastAPI
from pydantic import BaseModel
class Person(BaseModel):
first_name: str
last_name: Union[str, None] = None
connection_string = os.environ["AZURE_SQL_CONNECTIONSTRING"]
app = FastAPI()
@app.get("/")
def root():
print("Root of Person API")
try:
conn = get_conn()
cursor = conn.cursor()
# Table should be created ahead of time in production app.
cursor.execute("""
CREATE TABLE Persons (
ID int NOT NULL PRIMARY KEY IDENTITY,
FirstName varchar(255),
LastName varchar(255)
);
""")
conn.commit()
except Exception as e:
# Table may already exist
print(e)
return "Person API"
@app.get("/all")
def get_persons():
rows = []
with get_conn() as conn:
cursor = conn.cursor()
cursor.execute("SELECT * FROM Persons")
for row in cursor.fetchall():
print(row.FirstName, row.LastName)
rows.append(f"{row.ID}, {row.FirstName}, {row.LastName}")
return rows
@app.get("/person/{person_id}")
def get_person(person_id: int):
with get_conn() as conn:
cursor = conn.cursor()
cursor.execute("SELECT * FROM Persons WHERE ID = ?", person_id)
row = cursor.fetchone()
return f"{row.ID}, {row.FirstName}, {row.LastName}"
@app.post("/person")
def create_person(item: Person):
with get_conn() as conn:
cursor = conn.cursor()
cursor.execute(f"INSERT INTO Persons (FirstName, LastName) VALUES (?, ?)", item.first_name, item.last_name)
conn.commit()
return item
def get_conn():
credential = identity.DefaultAzureCredential(exclude_interactive_browser_credential=False)
token_bytes = credential.get_token("https://database.windows.net/.default").token.encode("UTF-16-LE")
token_struct = struct.pack(f'<I{len(token_bytes)}s', len(token_bytes), token_bytes)
SQL_COPT_SS_ACCESS_TOKEN = 1256 # This connection option is defined by microsoft in msodbcsql.h
conn = pyodbc.connect(connection_string, attrs_before={SQL_COPT_SS_ACCESS_TOKEN: token_struct})
return conn
Aviso
O código de exemplo mostra instruções SQL brutas, que não devem ser usadas no código de produção. Em vez disso, use um pacote ORM (Object Relational Mapper), como SqlAlchemy, que gera uma camada de objeto mais segura para acessar seu banco de dados.
Executar e testar o aplicativo localmente
O aplicativo está pronto para ser testado localmente.
Execute o arquivo
app.py
no Visual Studio Code.uvicorn app:app --reload
Na página interface do usuário do Swagger para o aplicativo http://127.0.0.1:8000/docs, expanda o método POST e selecione Experimentar.
Você também pode usar try /redoc para ver outra forma de documentação gerada para a API.
Modifique o JSON de amostra para incluir valores para o nome e sobrenome. Selecione Executar para adicionar um novo registro ao banco de dados. A API retorna uma resposta bem-sucedida.
Expanda o método GET na página da interface do usuário do Swagger e selecione Experimentar. Escolha Executar e a pessoa que você acabou de criar será retornada.
Implantar no Serviço de Aplicativo do Azure
O aplicativo está pronto para ser implantado no Azure.
Crie um arquivo start.sh para que o gunicorn no Serviço de Aplicativo do Azure possa executar uvicorn. O start.sh tem uma linha:
gunicorn -w 4 -k uvicorn.workers.UvicornWorker app:app
Use o az webapp up para implantar o código em Serviço de Aplicativo. (Você pode usar a opção
-dryrun
para ver o que o comando faz sem criar o recurso.)az webapp up \ --resource-group <resource-group-name> \ --name <web-app-name>
Use o comando az webapp config set para configurar o Serviço de Aplicativo para usar o arquivo start.sh.
az webapp config set \ --resource-group <resource-group-name> \ --name <web-app-name> \ --startup-file start.sh
Use o comando az webapp identity assign para habilitar uma identidade gerenciada atribuída pelo sistema para o Serviço de Aplicativo.
az webapp identity assign \ --resource-group <resource-group-name> \ --name <web-app-name>
Neste início rápido, uma identidade gerenciada atribuída pelo sistema é usada para demonstração. Uma identidade gerenciada atribuída pelo usuário é mais eficiente em uma variedade mais ampla de cenários. Para obter mais informações, confira Recomendações de melhores práticas para identidade gerenciada. Para obter um exemplo de como usar uma identidade gerenciada atribuída pelo usuário com pyodbc, confira Migrar um aplicativo Python para o uso de conexões sem senha com o Banco de Dados SQL do Azure.
Conectar o Serviço de Aplicativo ao Banco de Dados SQL do Azure
Na seção Configurar o banco de dados, você configurou a autenticação de rede e Microsoft Entra para o servidor de banco de dados SQL do Azure. Nesta seção, você concluirá a configuração do banco de dados e configurará o Serviço de Aplicativo com uma cadeia de conexão para acessar o servidor de banco de dados.
Para executar esses comandos, você pode usar qualquer ferramenta ou IDE que possa se conectar ao Banco de Dados SQL do Azure, incluindo SQL Server Management Studio (SSMS),Azure Data Studio e Visual Studio Code com a extensão mssql do SQL Server. Além disso, você pode usar o portal do Azure conforme descrito em Início Rápido: usar o editor de consultas portal do Azure para consultar o banco de Dados SQL do Azure.
Adicione um usuário ao Banco de Dados SQL do Azure com comandos SQL para criar um usuário e uma função para acesso sem senha.
CREATE USER [<web-app-name>] FROM EXTERNAL PROVIDER ALTER ROLE db_datareader ADD MEMBER [<web-app-name>] ALTER ROLE db_datawriter ADD MEMBER [<web-app-name>]
Para obter mais informações, consulte Usuários de bancos de dados independentes – Tornando seu banco de dados portátil. Para obter um exemplo que mostra o mesmo princípio, mas aplicado à VM do Azure, confira Tutorial: usar uma identidade gerenciada atribuída pelo sistema da VM do Windows para acessar o SQL do Azure. Para obter mais informações sobre as funções atribuídas, confira Funções de banco de dados fixo.
Se você desabilitar e habilitar a identidade gerenciada atribuída pelo sistema do Serviço de Aplicativo, descarte o usuário e recrie-o. Execute
DROP USER [<web-app-name>]
e execute novamente os comandosCREATE
eALTER
. Para ver os usuários, useSELECT * FROM sys.database_principals
.Use o comando az webapp config appsettings set para adicionar uma configuração de aplicativo para a cadeia de conexão.
az webapp config appsettings set \ --resource-group <resource-group-name> \ --name <web-app-name> \ --settings AZURE_SQL_CONNECTIONSTRING="<connection-string>"
Para o aplicativo implantado, a cadeia de conexão deve ser semelhante a:
Driver={ODBC Driver 18 for SQL Server};Server=tcp:<database-server-name>.database.windows.net,1433;Database=<database-name>;Encrypt=yes;TrustServerCertificate=no;Connection Timeout=30
Preencha
<dabaser-server-name>
e<database-name>
com os seus valores.A cadeia de conexão sem senha não contém um nome de usuário ou senha. Em vez disso, quando o aplicativo é executado no Azure, o código usa
DefaultAzureCredential
da biblioteca de Identidade do Azure para obter um token a ser usado compyodbc
.
Testar o aplicativo implantado
Navegue até a URL do aplicativo para testar se a conexão com o Banco de Dados SQL do Azure está funcionando. Você pode localizar a URL do aplicativo na página de visão geral do Serviço de Aplicativo.
https://<web-app-name>.azurewebsites.net
Acrescente /docs à URL para ver a interface do usuário do Swagger e testar os métodos de API.
Parabéns! Seu aplicativo agora está conectado ao Banco de Dados SQL do Azure em ambientes locais e hospedados.
Conteúdo relacionado
- Migrar um aplicativo Python para o uso de conexões sem senha com o Banco de Dados SQL do Azure – Mostra a identidade gerenciada atribuída pelo usuário.
- Conexões sem senha para serviços do Azure
- Recomendações de melhores práticas de identidade gerenciada