Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Tip
Microsoft Fabric Data Warehouse — это реляционное хранилище корпоративного масштаба на основе озера данных, с архитектурой, готовой к будущему, встроенным ИИ и новыми функциями. Если вы не знакомы с хранилищем данных, начните с Fabric Data Warehouse. Существующие рабочие нагрузки выделенных пулов SQL могут быть обновлены до Fabric для доступа к новым возможностям в области науки о данных, аналитики в реальном времени и создания отчётов.
При создании нового логического сервера в Azure Synapse Analytics с именем mysqlserver, например брандмауэр на уровне сервера блокирует доступ ко всей общедоступной конечной точке для сервера логического сервера. Azure Synapse поддерживает правила брандмауэра IP-адресов на уровне сервера. Выделенные пулы SQL в рабочих областях Azure Synapse Analytics не используют логические серверы SQL и имеют брандмауэр уровня рабочей области.
- Сведения о правилах брандмауэра IP-адресов сервера и базы данных в База данных SQL Azure см. в разделе База данных SQL Azure правила брандмауэра IP
- Сведения о конфигурации сети для Управляемый экземпляр SQL Azure см. в разделе Connect your application to Управляемый экземпляр SQL Azure.
Как работает брандмауэр
Попытки подключения из Интернета и Azure должны пройти через брандмауэр, прежде чем они достигают сервера или базы данных.
Правила брандмауэра для IP-адресов на уровне сервера
Эти правила позволяют клиентам обращаться ко всему серверу, то есть ко всем базам данных, которыми он управляет. Правила хранятся в master базе данных. Максимальное количество правил брандмауэра IP на уровне сервера ограничено 256 для сервера. Если у вас включен параметр Разрешить службам и ресурсам Azure доступ к этому серверу, это считается одним правилом брандмауэра для сервера.
Правила брандмауэра IP-адресов уровня сервера можно настроить с помощью портала Azure, PowerShell или инструкций Transact-SQL.
Note
Максимальное количество правил брандмауэра IP-адресов на уровне сервера ограничено 256 при настройке с помощью портала Azure.
- Чтобы использовать портал или PowerShell, необходимо быть владельцем подписки или участником подписки.
- Чтобы использовать Transact-SQL, необходимо подключиться к базе данных
masterв качестве имени входа на уровне сервера или администратора Microsoft Entra. (Сначала правило брандмауэра IP-адресов на уровне сервера должно быть создано пользователем, имеющим разрешения на уровне Azure.)
Note
По умолчанию, при создании нового логического сервера SQL на портале Azure, параметр Разрешить службам и ресурсам Azure доступ к этому серверу установлен на Нет.
Рекомендации по настройке правил брандмауэра
Используйте правила брандмауэра IP-адресов на уровне сервера, если у вас есть множество баз данных с одинаковыми требованиями к доступу, и вы не хотите настраивать каждую базу данных по отдельности.
Подключения через Интернет
Когда компьютер пытается подключиться к серверу из Интернета, брандмауэр сначала проверяет исходный IP-адрес запроса.
- Если адрес находится в диапазоне, указанном в правилах брандмауэра для IP-адресов на уровне сервера, то подключение разрешается.
- Правила брандмауэра для IP-адресов на уровне сервера применяются ко всем базам данных, управляемым сервером.
- Если адрес не находится в диапазоне, который находится в любом из правил брандмауэра IP-адресов на уровне сервера, запрос на подключение завершается сбоем.
Permissions
Чтобы создать правила брандмауэра IP-адресов и управлять ими, необходимо иметь одну из следующих ролей:
- в роли участника SQL Server Contributor
- в роли диспетчера безопасности SQL
- Владелец ресурса
Создание и администрирование правил брандмауэра для IP-адресов
Вы создаете первый параметр брандмауэра на уровне сервера с помощью портала
Tip
Вы можете использовать аудит в Azure Synapse Analytics для отслеживания изменений правил брандмауэра на уровне сервера и базы данных.
Использование портала Azure для управления правилами брандмауэра IP на уровне сервера
Чтобы задать правило брандмауэра IP на уровне сервера на портале Azure, перейдите на страницу Overview логического сервера.
Перейдите на страницу "Сеть ".
Добавьте правило в раздел правил брандмауэра , чтобы добавить IP-адрес компьютера, который вы используете, и нажмите кнопку "Сохранить". Для вашего текущего IP-адреса создано правило брандмауэра на уровне сервера.
Управляйте правилами IP-брандмауэра с помощью Transact-SQL
| Представление каталога или хранимая процедура | Level | Description |
|---|---|---|
| sp_set_firewall_rule | Сервер | Создает или обновляет правила брандмауэра для IP-адресов на уровне сервера |
| sp_delete_firewall_rule | Сервер | Удаляет правила брандмауэра для IP-адресов на уровне сервера |
Чтобы добавить правило IP-брандмауэра на уровне сервера.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Чтобы удалить правило брандмауэра IP на уровне сервера, выполните хранимую процедуру sp_delete_firewall_rule . В следующем примере удаляется правило ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Управление правилами брандмауэра для IP-адресов на уровне сервера с помощью PowerShell
Note
В этой статье используется модуль Azure Az PowerShell, который является рекомендуемым модулем PowerShell для взаимодействия с Azure. Чтобы приступить к работе с модулем Az PowerShell, см. статью "Установка Azure PowerShell". Чтобы узнать, как перейти на модуль Az PowerShell, см. статью Перенос Azure PowerShell с AzureRM на Az.
Important
Модуль PowerShell Azure Resource Manager (AzureRM) был объявлен устаревшим 29 февраля 2024 г. Все будущие разработки должны использовать модуль Az.Sql. Пользователям рекомендуется перейти с AzureRM на модуль Az PowerShell, чтобы обеспечить продолжение поддержки и обновлений. Модуль AzureRM больше не поддерживается и не обновляется. Аргументы команд в модуле Az PowerShell и в модулях AzureRM существенно идентичны. Дополнительные сведения о совместимости см. в статье Знакомство с новым модулем Az PowerShell.
| Командлет | Level | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Сервер | Возвращает правила брандмауэра Synapse Analytics. |
| New-AzSynapseFirewallRule | Сервер | Создает правило брандмауэра Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Сервер | Удаляет правило брандмауэра Synapse Analytics. |
| Update-AzSynapseFirewallRule | Сервер | Обновляет правило брандмауэра Synapse Analytics. |
Управление правилами брандмауэра для IP-адресов на уровне сервера с помощью интерфейса командной строки
| Командлет | Level | Description |
|---|---|---|
| az synapse sql | Управление пулами SQL. | |
| az synapse workspace firewall-rule | Управление правилами брандмауэра рабочей области. |
Сведения о правилах брандмауэра на уровне рабочей области см. в следующей статье:
| Командлет | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Сервер | Создание правила брандмауэра |
| az synapse workspace firewall-rule delete | Сервер | Удаление правила брандмауэра |
| az synapse workspace firewall-rule list | Сервер | Список всех правил брандмауэра |
| az synapse workspace firewall-rule show | Сервер | Получите правило брандмауэра |
| az synapse workspace firewall-rule update | Сервер | Обновление правила брандмауэра |
| az synapse workspace firewall-rule wait | Сервер | Поместите интерфейс командной строки в состояние ожидания до тех пор, пока не будет выполнено условие правила брандмауэра. |
В следующем примере интерфейс командной строки используется для установки правила брандмауэра IP-адресов на уровне сервера в Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Управление правилами брандмауэра для IP-адресов на уровне сервера с помощью REST API
| Command | Description |
|---|---|
| пулы SQL | Управление пулом Synapse SQL. |
| Правила IP-брандмауэра | Управление правилами брандмауэра Synapse Ip. |
Общие сведения о задержке обновлений брандмауэра
Модель проверки подлинности сервера имеет задержку в 5 минут для всех изменений параметров безопасности, если база данных содержится и не имеет партнера для отработки отказа. Изменения, внесенные в содержащиеся базы данных без партнера резервирования, происходят мгновенно. Для изолированных баз данных с резервным партнером каждое обновление безопасности происходит мгновенно в основной базе данных, тогда как вторичная база данных может отображать изменения с задержкой до 5 минут.
В следующей таблице описывается задержка изменений параметров безопасности на основе типа базы данных и конфигурации отработки отказа:
| Модель проверки подлинности | Настройка отработки отказа | Задержка изменений параметров безопасности | Латентные экземпляры |
|---|---|---|---|
| Аутентификация сервера | Да | 5 мин | все базы данных |
| Аутентификация сервера | Нет | 5 мин | все базы данных |
| Содержащаяся база данных | Да | 5 мин | вторичная база данных |
| Содержащаяся база данных | Нет | нет | нет |
Обновление правил брандмауэра вручную
Если вам нужно быстро обновить правила брандмауэра, чем задержка в 5 минут, можно вручную обновить правила брандмауэра. Войдите в экземпляр базы данных, требующий обновления правил, и запустите DBCC FLUSHAUTHCACHE. Это приведет к тому, что экземпляр базы данных очищает локальный кэш и обновляет правила брандмауэра.
DBCC FLUSHAUTHCACHE[;]
Устранение неполадок брандмауэра
Обратите внимание на следующие моменты, если доступ работает не так, как ожидается.
Конфигурация локального брандмауэра:
Прежде чем компьютер сможет получить доступ к выделенному пулу SQL, может потребоваться создать исключение брандмауэра на компьютере для TCP-порта 1433. Чтобы сделать подключения внутри Azure облачной границы, может потребоваться открыть дополнительные порты.
Преобразование сетевых адресов:
Из-за преобразования сетевых адресов (NAT) IP-адрес, используемый компьютером для подключения к Azure Synapse Analytics, может отличаться от IP-адреса в параметрах IP-конфигурации компьютера. Чтобы просмотреть IP-адрес, используемый компьютером для подключения к Azure, выполните следующие действия.
- Выполните вход на портал.
- Перейдите на вкладку Настройка на сервере, на котором размещена ваша база данных.
- Текущий IP-адрес клиента отображается в разделе "Разрешенные IP-адреса". Выберите "Добавить для разрешенных IP-адресов" , чтобы разрешить этому компьютеру доступ к серверу.
Изменения в списке разрешений еще не вступили в силу:
Для изменения конфигурации брандмауэра Azure Synapse Analytics может потребоваться до пяти минут.
Имя входа не авторизовано или использовался неверный пароль:
Если имя для входа не имеет разрешений на сервере или пароль указан неправильно, подключение к серверу будет отклонено. Создание параметра брандмауэра дает клиентам возможность подключаться только к серверу. Каждый клиент по-прежнему должен предоставлять необходимые учетные данные безопасности. Дополнительные сведения см. в разделе Azure Synapse Analytics параметры подключения.
Динамический IP-адрес:
При наличии подключения к Интернету с динамическим предоставлением IP-адресов и возникновении проблем с прохождением через брандмауэр можно попробовать применить одно из описанных ниже решений.
- Попросите поставщика услуг Интернета указать диапазон IP-адресов, назначенный клиентским компьютерам, обращающимся к серверу. Добавьте этот диапазон IP-адресов в качестве правила брандмауэра для IP-адресов.
- Настройте статическую IP-адресацию для клиентских компьютеров. Добавьте эти IP-адреса в качестве правил брандмауэра для IP-адресов.