Поделиться через

Правила IP-брандмауэра Azure Synapse Analytics

В этой статье вы узнаете о правилах брандмауэра для IP-адресов и научитесь настраивать их в Azure Synapse Analytics.

Правила брандмауэра для IP-адресов

Правила брандмауэра для IP-адресов разрешают или запрещают доступ к рабочей области Azure Synapse на основе исходного IP-адреса каждого запроса. Вы можете настроить правила IP-брандмауэра для вашей рабочей области. Правила брандмауэра для IP-адресов, настроенные на уровне рабочей области, применяются ко всем общедоступным конечным точкам рабочей области (выделенные пулы SQL, бессерверный пул SQL и ресурсы разработки). Максимальное количество правил брандмауэра для IP-адресов — 128. Если у вас включен параметр Разрешить доступ к серверу службам и ресурсам Azure, это считается одним правилом брандмауэра для рабочей области.

Создание и администрирование правил брандмауэра для IP-адресов

Существует два способа добавления правил брандмауэра для IP-адресов в рабочую область Azure Synapse. Чтобы добавить брандмауэр для IP-адресов в рабочую область, выберите Сеть и установите флажок Allow connections from all IP addresses (Разрешить подключения со всех IP-адресов) во время создания рабочей области.

Внимание

Эта функция доступна только рабочим областям Azure Synapse, не связанным с управляемой виртуальной сетью.

Снимок экрана, на котором выделена вкладка

Вы также можете добавить правила брандмауэра для IP-адресов в рабочую область Synapse после создания рабочей области. Выберите брандмауэры в разделе Безопасность на портале Azure. Чтобы добавить новое правило брандмауэра для IP-адресов, присвойте ему имя, начальный и конечный IP-адреса. По завершении нажмите кнопку Сохранить.

Примечание.

Функция доступа из общедоступной сети предлагается только для рабочих областей Azure Synapse, связанных с управляемой виртуальной сетью Azure Synapse Analytics. Однако вы по-прежнему можете открывать рабочие области Azure Synapse в общедоступной сети независимо от его связи с управляемой виртуальной сетью. Дополнительные сведения см. в разделе Доступ из общедоступной сети.

Снимок экрана: страница

Подключение к Azure Synapse из вашей сети

Вы можете подключиться к рабочей области Synapse с помощью Synapse Studio. SQL Server Management Studio (SSMS) можно также использовать в рабочей области для подключения к ресурсам SQL (выделенным пулам SQL и бессерверному пулу SQL).

Убедитесь, что брандмауэр в сети и на локальном компьютере допускают исходящие подключения через TCP-порт 80, 443 и 1443. Эти порты используются Synapse Studio.

Для подключения с помощью таких средств, как SSMS и Power BI, необходимо разрешить исходящие подключения через TCP-порт 1433. Порт 1433, используемый SSMS (настольное приложение).

Примечание.

Политика Azure функционирует на более высоком уровне по сравнению с другими службами Azure, применяя правила политики к запросам PUT и ответам GET ресурсов, обмениваемым между Azure Resource Manager и поставщиком ресурсов (RP). Однако обновления параметров брандмауэра рабочей области Synapse на портале Azure выполняются с помощью вызовов POST, таких как операция replaceAllIpFirewallRules.
Из-за этого определения политики Azure не могут блокировать изменения параметров сети, выполненные через операции POST. В результате изменения правил брандмауэра через портал Azure могут обойти политику Azure, даже если применяются ограничительные политики.

Управление брандмауэром рабочей области Azure Synapse

Дополнительные сведения об управлении брандмауэром см. в документации Azure SQL по управлению брандмауэрами уровня сервера. Azure Synapse поддерживает только правила брандмауэра для IP-адресов на уровне сервера. It doesn't support database-level IP firewall rules.

Дополнительные сведения о способах программного управления брандмауэром см. в следующих статьях:

Связанный контент