Параметры подключения к Базе данных SQL Azure и Azure Synapse Analytics

Применимо к:База данных SQL Azure Azure Synapse Analytics (только выделенные пулы SQL)

В этой статье описываются параметры, управляющие подключением к серверу для Базы данных SQL Azure и выделенного пула SQL (ранее — SQL DW) в Azure Synapse Analytics.

• Дополнительные сведения о различных компонентах, которые направляют сетевой трафик и политики подключения, см . в архитектуре подключения.
• Эта статья не относится к Управляемый экземпляр SQL Azure, вместо этого см. Подключение приложения для Управляемый экземпляр SQL Azure.
• Эта статья не относится к выделенным пулам SQL в рабочих областях Azure Synapse Analytics. Руководство по настройке правил брандмауэра для IP-адресов для Azure Synapse Analytics с помощью рабочих областей см. в этой статье.

Сеть или подключение

Эти параметры применяются ко всем базам данных Базы данных SQL Azure и выделенного пула SQL (ранее SQL DW), связанным с сервером. Эти параметры можно изменить на вкладке сети логического сервера:

Изменение доступа к общедоступной сети

Можно изменить доступ к общедоступной сети с помощью портал Azure, Azure PowerShell и Azure CLI.

Портал

Чтобы включить доступ к общедоступной сети для логического сервера, на котором размещены базы данных, перейдите на страницу "Сеть" в портал Azure для логического сервера в Azure, перейдите на вкладку "Общедоступный доступ", а затем задайте для общедоступного сетевого доступа значениеSelect networks.

На этой странице можно добавить правило виртуальной сети, а также настроить правила брандмауэра для общедоступной конечной точки.

Выберите вкладку "Закрытый доступ", чтобы настроить частную конечную точку.

Примечание.

Эти параметры вступают в силу сразу же после применения. Ваши клиенты могут столкнуться с потерей подключения, если они не соответствуют требованиям для каждого параметра.

PowerShell

С помощью Azure PowerShell можно изменить доступ к общедоступной сети.

Внимание

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается Базой данных SQL Azure, но вся будущая разработка сосредоточена на модуле Az.Sql. Сведения об этих командлетах см. в разделе AzureRM.Sql. Аргументы команд в модулях Az и AzureRm практически идентичны. Для работы следующего сценария требуется модуль Azure PowerShell.

Следующий скрипт PowerShell показывает, как Get и Set свойство Public Network Access (Доступ из общедоступной сети) на уровне сервера:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI

Можно изменить параметры общедоступной сети с помощью Azure CLI.

Внимание

Для всех скриптов в этом разделе требуется Azure CLI.

Следующий скрипт CLI демонстрирует, как изменить параметр Public Network Access (Доступ из общедоступной сети) в оболочке bash:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Запретить доступ из общедоступной сети

Значение по умолчанию для параметра доступа к общедоступной сети — Disable. Клиенты могут подключаться к базе данных с помощью общедоступных конечных точек (с правилами брандмауэра на уровне IP-адресов или с правилами брандмауэра виртуальной сети) или частными конечными точками (с помощью Приватный канал Azure), как описано в обзоре сетевого доступа.

Если для общедоступного сетевого доступа задано значение Disable, разрешены только подключения из частных конечных точек. Все подключения из общедоступных конечных точек будут отклонены с сообщением об ошибке, аналогичным:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Если для общедоступного сетевого доступа задано значение Disable, любые попытки добавить, удалить или изменить правила брандмауэра будут отклонены с сообщением об ошибке, аналогичным:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Убедитесь, что для доступа к общедоступной сети задано значение "Выбранные сети", чтобы иметь возможность добавлять, удалять или изменять правила брандмауэра для База данных SQL Azure и Azure Synapse Analytics.

Минимальная версия TLS

Параметр минимальной версии протокола TLS позволяет клиентам выбрать версию TLS, используемую базой данных SQL. Минимальную версию TLS можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

В настоящее время поддерживаются протоколы TLS 1.0, 1.1 и 1.2. Указание минимальной версии TLS гарантирует, что будут поддерживаться более поздние версии TLS. Например, при выборе версии TLS 1.1 принимаются только соединения по TLS 1.1 и 1.2, а соединения по TLS 1.0 отклоняются. По завершении тестирования, призванного подтвердить, что приложения его поддерживают, рекомендуется установить минимальную версию TLS 1.2. Эта версия включает исправления уязвимостей, обнаруженных в предыдущих версиях, и является максимальной версией TLS, поддерживаемой в базе данных SQL Azure.

Внимание

Значение по умолчанию для минимальной версии TLS — "Разрешить все версии". После применения версии TLS невозможно вернуться к значениям по умолчанию.

Для заказчиков, использующих приложения, которые применяют более ранние версии TLS, рекомендуется указывать минимальную версию TLS в соответствии с требованиями конкретного приложения. Если требования к приложению неизвестны или рабочие нагрузки используют старые драйверы, которые больше не поддерживаются, рекомендуется не устанавливать минимальную версию TLS.

Дополнительные сведения см. в разделе Рекомендации по использованию протокола TLS для подключения к базе данных SQL.

После установки минимальной версии TLS клиенты, использующие версию TLS ниже минимальной версии TLS сервера, не смогут пройти проверку подлинности с следующей ошибкой:

Error 47072
Login failed with invalid TLS version

Примечание.

При настройке минимальной версии TLS эта минимальная версия применяется на уровне приложения. Средства, пытающиеся определить поддержку TLS на уровне протокола, могут возвращать версии TLS в дополнение к минимальной требуемой версии при выполнении непосредственно с конечной точкой База данных SQL.

Портал

На портале Azure перейдите к ресурсу SQL Server. В разделе "Параметры безопасности" выберите "Сеть" и перейдите на вкладку "Подключение тивность". Выберите минимальную версию TLS, необходимую для всех баз данных, связанных с сервером, и нажмите кнопку "Сохранить".

PowerShell

Можно изменить минимальную версию TLS с помощью Azure PowerShell.

Внимание

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается Базой данных SQL Azure, но вся будущая разработка сосредоточена на модуле Az.Sql. Сведения об этих командлетах см. в разделе AzureRM.Sql. Аргументы команд в модулях Az и AzureRm практически идентичны. Для работы следующего сценария требуется модуль Azure PowerShell.

В следующем скрипте PowerShell показано, как использовать Getсвойство минимальной версии TLS на уровне логического сервера:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Для Set свойства "Минимальная версия TLS" на уровне логического сервера замените пароль strong_password_here_passwordsql Администратор istrator и выполните следующую команду:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI

Можно изменить минимальные параметры TLS с помощью Azure CLI.

Внимание

Для всех скриптов в этом разделе требуется Azure CLI.

Следующий скрипт CLI демонстрирует, как изменить параметр минимальной версии TLS в оболочке bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Изменение политики подключения

Политика подключения определяет, как клиенты подключаются к Базе данных SQL Azure.

Чтобы задержка была минимальной, а пропускная способность высокой, настоятельно рекомендуется использовать политику перенаправления подключения Redirect через политику подключения Proxy.

Политику подключения можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

Портал

Можно изменить политику подключения для логического сервера с помощью портал Azure.

На портале Azure перейдите к ресурсу SQL Server. В разделе "Параметры безопасности" выберите "Сеть" и перейдите на вкладку "Подключение тивность". Выберите нужную политику подключения и нажмите кнопку "Сохранить".

PowerShell

Можно изменить политику подключения для логического сервера с помощью Azure PowerShell.

Внимание

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается Базой данных SQL Azure, но вся будущая разработка сосредоточена на модуле Az.Sql. Сведения об этих командлетах см. в разделе AzureRM.Sql. Аргументы команд в модулях Az и AzureRm практически идентичны. Для работы следующего сценария требуется модуль Azure PowerShell.

Следующий сценарий PowerShell демонстрирует, как изменить политику подключения с помощью PowerShell:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Azure CLI

Можно изменить политику подключения для логического сервера с помощью Azure CLI.

Внимание

Для всех скриптов в этом разделе требуется Azure CLI.

Azure CLI в оболочке Bash

Следующий скрипт CLI демонстрирует, как изменить политику подключения в оболочке bash:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Azure CLI в командной строке Windows

Следующий скрипт CLI демонстрирует, как изменить политику подключения из командной строки Windows (если установлен Azure CLI):

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Связанный контент

• Архитектура подключения к Базе данных SQL Azure и Azure Synapse Analytics
• conn-policy