Параметры подключения Azure SQL

Применимо к: Azure SQL Аналитика базы данных Azure Synapse (только выделенный пул SQL (ранее — хранилище данных SQL)

В этой статье описываются параметры, управляющие подключением к серверу для Базы данных SQL Azure и выделенного пула SQL (ранее — SQL DW) в Azure Synapse Analytics. Эти параметры применяются ко всем базам данных Базы данных SQL Azure и выделенного пула SQL (ранее SQL DW), связанным с сервером.

Эти параметры можно изменить на вкладке "Сеть" логического сервера:

Снимок экрана: параметры брандмауэров и виртуальных сетей в портал Azure для SQL Server.

Важно!

Эта статья не относится к Управляемому экземпляру SQL Azure. Сведения из этой статьи также не касаются выделенных пулов SQL в рабочей области Azure Synapse Analytics. Руководство по настройке правил брандмауэра для IP-адресов для Azure Synapse Analytics с помощью рабочих областей см. в этой статье.

Запрет доступа к общедоступной сети

По умолчанию для параметра метода подключения нет доступа, чтобы клиенты могли подключаться с помощью общедоступных конечных точек (с правилами брандмауэра на уровне IP-сервера или с правилами брандмауэра виртуальной сети) или частными конечными точками (с помощью Приватный канал Azure), как описано в обзоре сетевого доступа.

Если для метода подключения задано значение "Нет доступа", разрешены только подключения через частные конечные точки. Все подключения через общедоступные конечные точки будут отклоняться со следующим сообщением об ошибке:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Если для метода подключения задано значение "Нет доступа", любые попытки добавить, удалить или изменить правила брандмауэра будут отклонены с сообщением об ошибке следующего:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Убедитесь, что для метода подключения задана общедоступная конечная точка или частная конечная точка, чтобы иметь возможность добавлять, удалять или изменять правила брандмауэра для базы данных Azure SQL и аналитики Azure Synapse.

Изменение доступа к общедоступной сети

Доступ к общедоступной сети можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

Чтобы включить доступ к общедоступной сети для логического сервера, на котором размещены базы данных, перейдите на страницу "Сеть" в портал Azure, перейдите на вкладку "Общий доступ", а затем установите для параметра "Выбор сетей" доступ к общедоступной сети.

На этой странице можно добавить правило виртуальной сети, а также настроить правила брандмауэра для общедоступной конечной точки.

Выберите вкладку "Закрытый доступ" , чтобы настроить частную конечную точку.

Примечание

Эти параметры вступают в силу сразу же после применения. Ваши клиенты могут столкнуться с потерей подключения, если они не соответствуют требованиям для каждого параметра.

Минимальная версия TLS

Параметр минимальной версии протокола TLS позволяет клиентам выбрать версию TLS, используемую базой данных SQL. Минимальную версию TLS можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

В настоящее время поддерживаются протоколы TLS 1.0, 1.1 и 1.2. Указание минимальной версии TLS гарантирует, что будут поддерживаться более поздние версии TLS. Например, при выборе версии TLS 1.1 принимаются только соединения по TLS 1.1 и 1.2, а соединения по TLS 1.0 отклоняются. По завершении тестирования, призванного подтвердить, что приложения его поддерживают, рекомендуется установить минимальную версию TLS 1.2. Эта версия включает исправления уязвимостей, обнаруженных в предыдущих версиях, и является максимальной версией TLS, поддерживаемой в базе данных SQL Azure.

Важно!

Значение по умолчанию для минимальной версии TLS — "Разрешить все версии". После применения версии TLS вернуться к значению по умолчанию невозможно.

Для заказчиков, использующих приложения, которые применяют более ранние версии TLS, рекомендуется указывать минимальную версию TLS в соответствии с требованиями конкретного приложения. Для клиентов, которые используют приложения для подключения с использованием незашифрованного соединения, рекомендуется не указывать минимальную версию TLS.

Дополнительные сведения см. в разделе Рекомендации по использованию протокола TLS для подключения к базе данных SQL.

После установки минимальной версии TLS попытки входа от клиентов с версией TLS ниже минимальной версии TLS сервера будут завершаться неудачно со следующей ошибкой:

Error 47072
Login failed with invalid TLS version

На портале Azure перейдите к ресурсу SQL Server. В разделе "Параметры безопасности " выберите "Сеть" , а затем перейдите на вкладку "Подключение ". Выберите минимальную версию TLS , необходимую для всех баз данных, связанных с сервером, и нажмите кнопку "Сохранить".

Снимок экрана: вкладка

Изменение политики подключения

Политика подключения определяет, как клиенты подключаются к Базе данных SQL Azure.

Политику подключения можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

Политику подключения для логического сервера можно изменить с помощью портал Azure.

На портале Azure перейдите к ресурсу SQL Server. В разделе "Параметры безопасности " выберите "Сеть" , а затем перейдите на вкладку "Подключение ". Выберите нужную политику подключения и нажмите кнопку "Сохранить".

Снимок экрана: вкладка

Дальнейшие действия