Параметры подключений Azure Synapse Analytics

В этой статье объясняется, как настроить параметры подключения в Azure Synapse Analytics, включая выделенные пулы SQL и бессерверные пулы SQL, где это применимо.

Строки подключения к пулам Azure Synapse Analytics см. в статье Connect to Synapse SQL.

Параметры подключения и интерфейс портала Azure для выделенных пулов SQL различаются в зависимости от того, развертывается ли пул в автономных выделенных пулах SQL (ранее — хранилище данных SQL) или в рабочей области Azure Synapse Analytics. Напротив, бессерверные пулы SQL доступны только в рабочих областях Synapse и следуют тем же параметрам подключения, что и выделенные пулы SQL, созданные в рабочей области.

Выделенные и бессерверные пулы SQL в рабочей области

Доступ из общедоступной сети

Замечание

Эти параметры применяются к выделенным пулам SQL и бессерверным пулам SQL, созданным в рабочей области Azure Synapse. Эти инструкции не применяются к выделенным пулам SQL, связанным с автономными выделенными пулами SQL (ранее называемыми SQL DW).

Вы можете использовать функцию доступа к общедоступной сети, чтобы разрешить доступ к рабочей области Azure Synapse для входящего подключения из общедоступной сети.

• Если доступ к общедоступной сети отключен, то вы можете подключиться к рабочей области только с помощью частных конечных точек.
• Если доступ к общедоступной сети включен, то вы сможете подключиться к рабочей области из общедоступной сети. Вы можете управлять этой функцией как во время, так и после создания рабочей области.

Внимание

Эта функция доступна только для рабочих областей Azure Synapse, связанных с управляемой виртуальной сетью Azure Synapse Analytics. Тем не менее вы по-прежнему можете открывать рабочие области Synapse в общедоступной сети независимо от их связи с управляемой виртуальной сетью.

Если доступ к общедоступной сети отключен, доступ к режиму GIT в Synapse Studio и фиксации изменений не будет заблокирован, пока у пользователя достаточно разрешений для доступа к встроенному репозиторию Git или соответствующей ветви Git. Однако кнопка публикации не будет работать, так как доступ к режиму live заблокирован параметрами брандмауэра. Если доступ к общедоступной сети отключен, локальная среда выполнения интеграции по-прежнему может взаимодействовать с Synapse. В настоящее время мы не поддерживаем создание частной связи между локальной средой выполнения интеграции и плоскости управления Synapse.

При выборе параметра "Отключить" не будут применяться какие-либо правила брандмауэра, которые можно настроить. Кроме того, правила брандмауэра будут отображаться серым цветом в параметре сети на портале Synapse. Конфигурации брандмауэра повторно применяются при повторном включении доступа к общедоступной сети.

Совет

Когда вы повторно включите функцию, подождите немного, прежде чем менять правила брандмауэра.

Настройка доступа к общедоступной сети при создании рабочей области

1. Перейдите на вкладку Сетевые подключения во время создания рабочей области на портале Azure.

2. В разделе управляемая виртуальная сеть выберите вариант Включено, чтобы связать рабочую область с управляемой виртуальной сетью и разрешить доступ к общедоступной сети.

3. В разделе Доступ к общедоступной сети, выберите вариант Отключено для запрета доступа к своей рабочей области из общедоступной сети. Выберите Включить, если хотите разрешить доступ к своей рабочей области из общедоступной сети.

   

4. Выполните оставшуюся часть действий для создания рабочей области.

Настройка доступа к общедоступной сети после создании рабочей области

1. Выберите свою рабочую область Synapse на портале Azure.

2. В области навигации слева выберите Сетевые подключения.

3. Выберите Отключено, чтобы запретить доступ к рабочей области из общедоступной сети. Выберите Включить, если хотите разрешить доступ к своей рабочей области из общедоступной сети.

   

4. Если доступ отключен, Правила брандмауэра выделяются серым цветом. Это означает, что правила брандмауэра не действуют. Конфигурации правил брандмауэра будут сохранены.

5. Щелкните Сохранить для сохранения изменений. В уведомлении будет подтверждено, что сетевой параметр успешно сохранен.

Минимальная версия TLS

Бессерверная конечная точка SQL и конечная точка разработки принимают только TLS 1.2 и более поздних версий.

С декабря 2021 года для пулов SQL, управляемых рабочей областью, требуется минимальный уровень TLS 1.2 в новых рабочих областях Synapse. Это требование можно увеличить или уменьшить с помощью минимального REST API TLS для новых рабочих областей Synapse или существующих рабочих областей, поэтому пользователи, которые не могут использовать более высокую версию клиента TLS в рабочих областях, могут подключаться. Клиенты также могут повысить минимальную версию TLS в соответствии с потребностями безопасности.

Внимание

Azure начнет использовать старые версии TLS (TLS 1.0 и 1.1) начиная с ноября 2024 года. Используйте TLS 1.2 или более поздней версии. После 31 марта 2025 г. вы больше не сможете задать минимальную версию TLS для клиентских подключений Azure Synapse Analytics ниже TLS 1.2. После этой даты попытка входа из подключений с использованием версии TLS ниже 1.2 завершится ошибкой. Дополнительные сведения см. в разделе "Объявление": поддержка Azure для TLS 1.0 и TLS 1.1 будут завершены.

Политика Azure

Политика Azure для предотвращения изменений параметров сети в Рабочей области Synapse в настоящее время недоступна.

Автономные выделенные пулы SQL (ранее — хранилище данных SQL)

Сеть или подключение

Эти параметры можно изменить на логическом сервере. Логический сервер SQL Server может размещать как базы данных SQL Azure, так и автономные выделенные пулы SQL, а не в рабочей области Azure Synapse Analytics.

Внимание

Эти параметры применяются к автономным выделенным пулам SQL (ранее — хранилище данных SQL), связанным с логическим сервером, а не в рабочей области Azure Synapse Analytics. Эти инструкции не применяются к выделенным пулам SQL в рабочей области Аналитики Azure Synapse.

Изменение доступа к общедоступной сети

Вы можете изменить доступ к общедоступной сети для автономного выделенного пула SQL с помощью портала Azure, Azure PowerShell и Azure CLI.

Замечание

Эти параметры вступают в силу сразу же после применения. Ваши клиенты могут столкнуться с потерей подключения, если они не соответствуют требованиям для каждого параметра.

Настройка общедоступного доступа на портале Azure

Чтобы включить доступ к общедоступной сети для логического сервера, на котором размещен автономный выделенный пул SQL:

1. Перейдите на портал Azure и перейдите на логический сервер в Azure.
2. В разделе "Безопасность" выберите страницу "Сеть ".
3. Выберите вкладку Общедоступный доступ, затем установите доступ к общедоступной сети на Выбор сетей.

На этой странице можно добавить правило виртуальной сети, а также настроить правила брандмауэра для общедоступной конечной точки.

Выберите вкладку "Закрытый доступ", чтобы настроить частную конечную точку.

Настройка общедоступного доступа в PowerShell

С помощью Azure PowerShell можно изменить доступ к общедоступной сети.

Внимание

Модуль Az заменяет AzureRM. Все будущие разработки предназначены для модуля Az.Sql. Для работы следующего сценария требуется модуль Azure PowerShell.

В следующем скрипте PowerShell показано, как Get и Set параметр общего сетевого доступа на уровне сервера. Укажите надежный пароль для замены <strong password> в следующем примере скрипта PowerShell.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Настройка общедоступного доступа в Azure CLI

Можно изменить параметры общедоступной сети с помощью Azure CLI.

Следующий скрипт CLI демонстрирует, как изменить параметр Public Network Access (Доступ из общедоступной сети) в оболочке bash:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Запретить доступ из общедоступной сети

Значение по умолчанию для параметра доступа к общедоступной сети — Disable. Клиенты могут подключаться к базе данных с помощью общедоступных конечных точек (с правилами брандмауэра на уровне IP-адреса сервера или с правилами брандмауэра виртуальной сети), или частных конечных точек (используя Azure Private Link), как описано в обзоре сетевого доступа.

Если для общедоступного сетевого доступа задано значение Disable, разрешены только подключения из частных конечных точек. Все подключения из общедоступных конечных точек будут отклонены с сообщением об ошибке, аналогичным:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Если для общедоступного сетевого доступа задано значение Disable, любые попытки добавить, удалить или изменить правила брандмауэра будут отклонены с сообщением об ошибке, аналогичным:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Убедитесь, что для доступа к общедоступной сети задано значение "Выбранные сети ", чтобы иметь возможность добавлять, удалять или изменять правила брандмауэра для Azure Synapse Analytics.

Минимальная версия TLS

Минимальный параметр версии TLS позволяет клиентам выбрать используемую версию TLS. Минимальную версию TLS можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

После тестирования убедитесь, что приложения поддерживают его, рекомендуется установить минимальную версию TLS на 1.3. Эта версия включает исправления уязвимостей в предыдущих версиях и является самой высокой поддерживаемой версией TLS для автономных выделенных пулов SQL.

Предстоящие изменения в пенсионной системе

Azure объявила, что поддержка старых версий TLS (TLS 1.0 и 1.1) заканчивается 31 августа 2025 г. Для получения дополнительной информации см. статью Об прекращении поддержки TLS 1.0 и 1.1.

Начиная с ноября 2024 г. вы больше не сможете установить минимальную версию TLS для клиентских подключений Azure Synapse Analytics ниже TLS 1.2.

Настройка минимальной версии TLS

Минимальную версию TLS для клиентских подключений можно настроить с помощью портал Azure, Azure PowerShell или Azure CLI.

Осторожность

• Значение по умолчанию для минимальной версии TLS — "Разрешить все версии". После применения версии TLS невозможно вернуться к значениям по умолчанию.
• Принудительное применение протокола TLS 1.3 может вызвать проблемы с подключениями от клиентов, которые не поддерживают TLS 1.3, так как не все драйверы и операционные системы поддерживают TLS 1.3.

Для заказчиков, использующих приложения, которые применяют более ранние версии TLS, рекомендуется указывать минимальную версию TLS в соответствии с требованиями конкретного приложения. Если требования к приложению неизвестны или рабочие нагрузки используют старые драйверы, которые больше не поддерживаются, рекомендуется не устанавливать минимальную версию TLS.

Дополнительные сведения см. в аспектах TLS для подключения к базе данных.

После установки минимальной версии TLS клиенты, использующие версию TLS ниже минимальной версии TLS сервера, не смогут пройти проверку подлинности с следующей ошибкой:

Error 47072
Login failed with invalid TLS version

Замечание

Минимальная версия TLS применяется на уровне приложения. Средства, пытающиеся определить поддержку TLS на уровне протокола, могут возвращать версии TLS вместе с минимально требуемой версией при обращении непосредственно к точке доступа.

Настройка минимальной версии TLS на портале Azure

1. Перейдите на портал Azure и перейдите на логический сервер в Azure.
2. В разделе "Безопасность" выберите страницу "Сеть ".
3. Перейдите на вкладку "Подключение". Выберите минимальную версию TLS, необходимую для всех баз данных, связанных с сервером, и нажмите кнопку "Сохранить".

Настройка минимальной версии TLS в PowerShell

Можно изменить минимальную версию TLS с помощью Azure PowerShell.

Внимание

Модуль Az заменяет AzureRM. Все будущие разработки предназначены для модуля Az.Sql. Для работы следующего сценария требуется модуль Azure PowerShell.

В следующем скрипте PowerShell показано, как использовать Getсвойство минимальной версии TLS на уровне логического сервера:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Для Set свойства минимальной версии TLS на уровне логического сервера замените пароль <strong_password_here_password>администратора SQL и выполните следующие действия:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Настройка минимальной версии TLS в Azure CLI

Можно изменить минимальные параметры TLS с помощью Azure CLI.

Внимание

Для всех скриптов в этом разделе требуется Azure CLI.

Следующий скрипт CLI демонстрирует, как изменить параметр минимальной версии TLS в оболочке bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Определение клиентских подключений

Портал Azure и журналы аудита SQL можно использовать для идентификации клиентов, подключающихся с помощью TLS 1.0 и 1.1.

В портале Azure перейдите на вкладку Метрики в разделе Мониторинг для вашего ресурса базы данных, а затем отфильтруйте по успешным подключениям и по версиям TLS = 1.0:1.1.

Вы также можете выполнить запрос sys.fn_get_audit_file непосредственно в базе данных, чтобы просмотреть client_tls_version_name в файле аудита.

Политика подключения

Для политики подключения Synapse SQL в Azure Synapse Analytics задано значение По умолчанию. Политику подключения нельзя изменить для выделенных или бессерверных пулов SQL в Azure Synapse Analytics.

Имена входа для пулов SQL в Azure Synapse Analytics могут направляться на любой из отдельных IP-адресов или подсетей шлюза в пределах региона. Для обеспечения согласованного подключения разрешите сетевой трафик из и в всех отдельных IP-адресов шлюза и подсетей IP-адресов шлюза в регионе. Обратитесь к диапазонам IP-адресов Azure и тегам служб — общедоступного облака для получения списка IP-адресов вашего региона, которые необходимо разрешить.

• По умолчанию: Это политика подключения, действующая на всех серверах после создания, если вы явно не измените политику подключения на Proxy или Redirect. Политика по умолчанию:
  • Redirect для всех клиентских подключений, поступающих в Azure (например, из виртуальной машины Azure).
  • Proxy для всех клиентских подключений, исходящих вне (например, подключений с локальной рабочей станции).
• Перенаправить: Клиенты устанавливают подключения непосредственно к узлу, в котором размещена база данных, что приводит к снижению задержки и повышению пропускной способности. Для подключения к этому режиму клиентам необходимо:
  • Разрешить исходящее подключение от клиента ко всем IP-адресам SQL Azure в регионе на портах в диапазоне от 11000 до 11999. Используйте теги службы для SQL, чтобы упростить управление. Если вы используете приватный канал, ознакомьтесь с политикой подключения перенаправления с частными конечными точками для разрешенных диапазонов портов.
  • Разрешить исходящее подключение от клиента к IP-адресам шлюза базы данных SQL Azure через порт 1433.
  • При использовании политики подключения перенаправления обратитесь к разделам Диапазоны IP-адресов Azure и Теги служб – Общественное облако для получения списка разрешенных IP-адресов вашего региона.
• Прокси: В этом режиме все подключения проходят через шлюзы базы данных Azure SQL, что ведет к увеличенной задержке и снижению пропускной способности. Для подключения в этом режиме клиентам необходимо разрешить исходящее подключение от клиента к IP-адресам шлюза Azure SQL Database через порт 1433.
  • При использовании политики подключения прокси-сервера разрешите IP-адреса вашего региона из списка IP-адресов шлюза.

Связанный контент

• Правила брандмауэра для IP-адресов Azure Synapse Analytics
• Разница между Azure Synapse (прежнее название — хранилище данных SQL) и рабочей областью Azure Synapse Analytics
• Что такое логический СЕРВЕР SQL в Базе данных SQL Azure и Azure Synapse?