Правила брандмауэра для исходящего трафика Базы данных SQL Azure и Azure Synapse Analytics

Применимо к: Azure SQL Аналитика базы данных Azure Synapse (только выделенный пул SQL (ранее — хранилище данных SQL)

Правила брандмауэра для исходящего трафика ограничивают сетевой трафик, отправляемый с логического сервера Azure SQL в учетные записи службы хранилища Azure и на логические серверы Azure SQL Azure, с помощью определяемого клиентом списка. Любая попытка доступа к учетным записям хранения или базам данных с ресурсов, не входящих в этот список, отклоняется. Эта возможность поддерживается для следующих функций Базы данных SQL Azure:

Важно!

  • Эта статья применима к Базе данных Azure SQL и выделенному пулу SQL (ранее — SQL DW) в Azure Synapse Analytics. Эти параметры применяются ко всем базам данных Базы данных SQL Azure и выделенного пула SQL (ранее SQL DW), связанным с сервером. Для простоты термин "база данных" применяется к обеим из них. Аналогичным образом, сервером называется логический экземпляр SQL Server, на котором размещены База данных SQL Azure выделенный пул SQL (ранее — SQL DW) в Azure Synapse Analytics. Эта статья не применима к Управляемому экземпляру SQL Azure или выделенным пулам SQL в рабочих областях Azure Synapse Analytics.
  • Правила брандмауэра для исходящего трафика определяются на логическом сервере. Для георепликации и групп автоматической отработки отказа требуется, чтобы в первичной реплике и во всех вторичных репликах был определен одинаковый набор правил.

Настройка правил брандмауэра для исходящего трафика на портале Azure

  1. Перейдите к разделу Outbound networking (Исходящий сетевой трафик) в колонке Брандмауэры и виртуальные сети своей Базы данных SQL Azure и выберите Configure outbound networking restrictions (Настроить ограничения для исходящего сетевого трафика).

    Снимок экрана: раздел

    С правой стороны откроется следующая колонка:

    Снимок экрана: колонка

  2. Установите флажок Restrict outbound networking (Ограничить исходящий сетевой трафик) и добавьте полные доменные имена нужных учетных записей службы хранилища (или баз данных SQL) с помощью кнопки Add domain (Добавить домен).

    Снимок экрана: колонка

  3. Завершив ввод данных, вы увидите примерно такую информацию на экране. Чтобы применить эти параметры, щелкните ОК.

    Снимок экрана: колонка

Настройка правил брандмауэра для исходящего трафика с помощью PowerShell

Важно!

Модуль PowerShell Azure Resource Manager по-прежнему поддерживается Базой данных SQL Azure, но вся будущая разработка сосредоточена на модуле Az.Sql. Сведения об этих командлетах см. в разделе AzureRM.Sql. Аргументы команд в модулях Az и AzureRm практически идентичны. Для работы следующего сценария требуется модуль Azure PowerShell.

Следующий скрипт PowerShell демонстрирует, как изменить параметры для исходящего сетевого трафика (с помощью свойства RestrictOutboundNetworkAccess):

# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess

# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force

Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString  -RestrictOutboundNetworkAccess "Enabled"

Используйте эти командлеты PowerShell для настройки правил брандмауэра для исходящего трафика

# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>

# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1

# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

Настройка правил брандмауэра для исходящего трафика с помощью Azure CLI

Важно!

Для всех скриптов в этом разделе требуется Azure CLI.

Azure CLI в оболочке Bash

Следующий скрипт для CLI демонстрирует, как изменить параметры исходящего сетевого трафика (с помощью свойства RestrictOutboundNetworkAccess) в оболочке Bash:

# Get current setting for Outbound Networking 
az sql server show -n sql-server-name -g sql-server-group --query "RestrictOutboundNetworkAccess"

# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set RestrictOutboundNetworkAccess="Enabled"

Используйте эти команды CLI для настройки правил брандмауэра для исходящего трафика

# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name

# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

Дальнейшие действия