Azure Synapse Analytics bağlantı ayarları

Bu makalede hem ayrılmış SQL havuzları hem de uygun olduğunda sunucusuz SQL havuzları dahil olmak üzere Azure Synapse Analytics'te bağlantı ayarlarının nasıl yapılandırıldığı açıklanmaktadır.

Azure Synapse Analytics havuzlarına ait bağlantı dizeleri için bkz. Synapse SQL'e Bağlanma.

Ayrılmış SQL havuzları için bağlantı ayarları ve Azure portalı deneyimi, havuzun tek başına ayrılmış SQL havuzlarında (eski adı SQL DW) veya Azure Synapse Analytics çalışma alanına dağıtılıp dağıtılmadığına bağlı olarak farklılık gösterir. Buna karşılık sunucusuz SQL havuzları yalnızca Synapse çalışma alanlarında kullanılabilir ve çalışma alanında oluşturulan ayrılmış SQL havuzlarıyla aynı bağlantı ayarlarını izler.

Çalışma alanında ayrılmış ve Sunucusuz SQL havuzları

Genel ağ erişimi

Uyarı

Bu ayarlar, azure synapse çalışma alanında oluşturulan ayrılmış SQL havuzları ve sunucusuz SQL havuzları için geçerlidir. Bu yönergeler, tek başına ayrılmış SQL havuzlarıyla (eski adı SQL DW) ilişkili ayrılmış SQL havuzları için geçerli değildir.

Azure Synapse çalışma alanınıza gelen ortak ağ bağlantısına izin vermek için ortak ağ erişimi özelliğini kullanabilirsiniz.

• Ortak ağ erişimi devre dışı bırakıldığında çalışma alanınıza yalnızca özel uç noktaları kullanarak bağlanabilirsiniz.
• Ortak ağ erişimi etkinleştirildiğinde çalışma alanınıza ortak ağlardan da bağlanabilirsiniz. Bu özelliği çalışma alanı oluşturma sırasında ve sonrasında yönetebilirsiniz.

Önemli

Bu özellik yalnızca Azure Synapse Analytics Yönetilen Sanal Ağı ile Azure Synapse çalışma alanlarında kullanılabilir. Ancak yönetilen bir sanal ağ ile ilişkisi ne olursa olsun Synapse çalışma alanlarınızı ortak ağ erişimine açabilirsiniz.

Genel ağ erişimi devre dışı bırakıldığında, kullanıcının tümleşik Git deposuna veya ilgili Git dalı erişimine yeterli izni olduğu sürece Synapse Studio'da GIT moduna erişim ve işleme değişiklikleri engellenmez. Ancak Canlı moda erişim güvenlik duvarı ayarları tarafından engellendiğinden yayımla düğmesi çalışmaz. Genel ağ erişimi devre dışı bırakıldığında, şirket içinde barındırılan tümleştirme çalışma zamanı Synapse ile iletişim kurmaya devam edebilir. Şu anda şirket içinde barındırılan tümleştirme çalışma zamanı ile Synapse denetim düzlemi arasında özel bağlantı oluşturmayı desteklemiyoruz.

Devre dışı bırak seçeneğinin seçilmesi, yapılandırabileceğiniz herhangi bir güvenlik duvarı kuralı uygulamaz. Buna ek olarak, Synapse portalındaki Ağ ayarında güvenlik duvarı kurallarınız gri görünür. Genel ağ erişimini yeniden etkinleştirdiğinizde güvenlik duvarı yapılandırmalarınız yeniden uygulanır.

İpucu

Etkinleştirmeye geri dönerken güvenlik duvarı kurallarını düzenlemeden önce biraz zaman tanıyın.

Çalışma alanınızı oluştururken ortak ağ erişimini yapılandırma

1. Azure portal çalışma alanınızı oluştururken Ağ sekmesini seçin.

2. Yönetilen sanal ağ altında, çalışma alanınızı yönetilen sanal ağ ile ilişkilendirmek ve ortak ağ erişimine izin vermek için Etkinleştir’i seçin.

3. Ortak ağ erişimi’nin altında Devre dışı bırak’ı seçerek çalışma alanınıza genel erişimi reddedin. Çalışma alanınıza genel erişime izin vermek istiyorsanız Etkinleştir’i seçin.

   

4. Çalışma alanı oluşturma akışının geri kalanını tamamlayın.

Çalışma alanınızı oluşturduktan sonra ortak ağ erişimini yapılandırma

1. Azure portal’da Synapse çalışma alanınızı seçin.

2. Sol taraftaki menüden Ağ’ı seçin.

3. Çalışma alanınıza genel erişimi reddetmek için Devre dışı seçeneğini belirleyin. Çalışma alanınıza genel erişime izin vermek istiyorsanız Etkinleştir’i seçin.

   

4. Devre dışı bırakıldığında güvenlik duvarı kurallarının etkin olmadığını belirtmek için Güvenlik duvarı kuralları gri görünür. Güvenlik duvarı kuralı yapılandırmaları korunur.

5. Değişiklikleri kaydetmek için Kaydet’i seçin. Bir bildirim, ağ ayarının başarıyla kaydedildiğini onaylar.

En düşük TLS sürümü

Sunucusuz SQL uç noktası ve geliştirme uç noktası yalnızca TLS 1.2'yi ve üzerini kabul eder.

Aralık 2021'den bu yana, yeni Synapse çalışma alanlarında çalışma alanı tarafından yönetilen ayrılmış SQL havuzları için en düşük TLS 1.2 düzeyi gereklidir. Hem yeni Synapse çalışma alanları hem de mevcut çalışma alanları için en düşük TLS REST API'sini kullanarak bu gereksinimi yükseltebilir veya düşürebilirsiniz, böylece çalışma alanlarında daha yüksek bir TLS istemci sürümü kullanamayan kullanıcılar bağlanabilir. Ayrıca müşteriler güvenlik gereksinimlerini karşılamak için de en düşük TLS sürümünü yükseltebilir.

Önemli

Azure, Kasım 2024'te başlayarak eski TLS sürümlerini (TLS 1.0 ve 1.1) kullanımdan kaldırmaya başlayacaktır. TLS 1.2 veya üzerini kullanın. 31 Mart 2025'in ardından Azure Synapse Analytics istemci bağlantıları için en düşük TLS sürümünü TLS 1.2'nin altında ayarlayamazsınız. Bu tarihten sonra, 1.2'den düşük bir TLS sürümü kullanan bağlantılardan oturum açma girişimleri başarısız olur. Daha fazla bilgi için bkz. Duyuru: TLS 1.0 ve TLS 1.1 için Azure desteği sona erecek.

Azure İlkesi

Synapse Çalışma Alanı'ndaki ağ ayarlarında değişiklik yapılmasını önlemeye yönelik Azure ilkesi şu anda kullanılamıyor.

Tek başına ayrılmış SQL havuzları (eski adıyla SQL DW)

Ağ ve Bağlantı

Bu ayarları mantıksal sunucunuzda değiştirebilirsiniz. Mantıksal SQL sunucusu, Azure Synapse Analytics çalışma alanında olmayan hem Azure SQL veritabanlarını hem de tek başına ayrılmış SQL havuzlarını barındırabilir.

Önemli

Bu ayarlar, Azure Synapse Analytics çalışma alanında değil mantıksal sunucuyla ilişkili tek başına ayrılmış SQL havuzları (eski adıyla SQL DW) için geçerlidir. Bu yönergeler, Azure Synapse analytics çalışma alanında ayrılmış SQL havuzları için geçerli değildir.

Genel ağ erişimini değiştirme

Azure portalı, Azure PowerShell ve Azure CLI aracılığıyla tek başına ayrılmış SQL havuzunuz için genel ağ erişimini değiştirebilirsiniz.

Uyarı

Bu ayarlar uygulandıktan hemen sonra etkinleşir. Müşterileriniz her ayarın gereksinimlerini karşılamazsa bağlantı kaybıyla karşılaşabilir.

Azure portalında genel erişimi yapılandırma

Tek başına ayrılmış SQL havuzunuzu barındıran mantıksal sunucu için genel ağ erişimini etkinleştirmek için:

1. Azure portalına gidin ve Azure'daki mantıksal sunucuya gidin.
2. Güvenlik altında Ağ sayfasını seçin.
3. Genel erişim sekmesini seçin ve genel ağ erişimini Ağları seç olarak ayarlayın.

Bu sayfadan bir sanal ağ kuralı ekleyebilir ve genel uç noktanız için güvenlik duvarı kurallarını yapılandırabilirsiniz.

Özel erişim sekmesini seçerek bir özel uç nokta yapılandırın.

PowerShell'de genel erişimi yapılandırma

Azure PowerShell kullanarak genel ağ erişimini değiştirmek mümkündür.

Önemli

Az modülü AzureRMdeğiştirir. Gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, sunucu düzeyinde Get özelliğinin nasıl Set ve yapılacağını gösterir. Aşağıdaki PowerShell örnek betiğinde <strong password> yerine güçlü bir parola sağlayın.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI'da genel erişimi yapılandırma

Azure CLI kullanarak genel ağ ayarlarını değiştirmek mümkündür.

Aşağıdaki CLI betiği, Bash kabuğunda Genel Ağ Erişimi ayarının nasıl değiştireceğini gösterir:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Genel ağ erişimini engelleme

Genel ağ erişimi ayarı için varsayılan ayar Devre Dışı Bırak'tır. Müşteriler, ağ erişimine genel bakış bölümünde açıklandığı gibi genel uç noktaları (IP tabanlı sunucu düzeyinde güvenlik duvarı kurallarıyla veya sanal ağ güvenlik duvarı kurallarıyla) veya özel uç noktaları (Azure Özel Bağlantı kullanarak) kullanarak veritabanına bağlanmayı seçebilir.

Genel ağ erişimi Devre Dışı Bırak olarak ayarlandığında, yalnızca özel uç noktalardan gelen bağlantılara izin verilir. Genel uç noktalardan gelen tüm bağlantılar aşağıdakine benzer bir hata iletisiyle reddedilir:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Genel ağ erişimi Devre Dışı Bırak olarak ayarlandığında, güvenlik duvarı kurallarını ekleme, kaldırma veya düzenleme girişimleri aşağıdakine benzer bir hata iletisiyle reddedilir:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Azure Synapse Analytics güvenlik duvarı kurallarını ekleyebilmek, kaldırabilmek veya düzenleyebilmek için Genel ağ erişimininSeçili ağlar olarak ayarlandığından emin olun.

Minimum TLS sürümü

En düşük Aktarım Katmanı Güvenliği (TLS) sürüm ayarı, müşterilerin hangi TLS sürümünün kullanımda olduğunu seçmesine olanak tanır. Azure portalını, Azure PowerShell'i ve Azure CLI'yı kullanarak en düşük TLS sürümünü değiştirmek mümkündür.

Uygulamalarınızın desteklediğini doğrulamak için test ettikten sonra en düşük TLS sürümünü 1.3 olarak ayarlamanızı öneririz. Bu sürüm, önceki sürümlerdeki güvenlik açıklarına yönelik düzeltmeler içerir ve tek başına ayrılmış SQL havuzları için desteklenen en yüksek TLS sürümüdür.

Yaklaşan emeklilik değişiklikleri

Azure, eski TLS sürümleri (TLS 1.0 ve 1.1) desteğinin 31 Ağustos 2025'de sona erdiğini duyurdu. Daha fazla bilgi için bkz . TLS 1.0 ve 1.1 kullanımdan kaldırma.

Kasım 2024'den itibaren, Azure Synapse Analytics istemci bağlantıları için en düşük TLS sürümünü TLS 1.2'nin altında ayarlayamazsınız.

En düşük TLS sürümünü yapılandırma

azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak istemci bağlantıları için en düşük TLS sürümünü yapılandırabilirsiniz.

Dikkat

• En düşük TLS sürümü için varsayılan ayar tüm sürümlere izin vermektir. TLS’nin bir sürümünü zorunlu tuttuktan sonra varsayılan sürüme geri dönmek mümkün değildir.
• Tüm sürücüler ve işletim sistemleri TLS 1.3'i desteklemediğinden, en az TLS 1.3'ün zorunlu olması, TLS 1.3'i desteklemeyen istemcilerden gelen bağlantılarda sorunlara neden olabilir.

TLS’nin daha eski sürümlerine bağımlı olan uygulamalara sahip müşteriler için, en düşük TLS sürümünü uygulamalarınızın gereksinimlerine göre ayarlamanızı öneririz. Uygulama gereksinimleri bilinmiyorsa veya iş yükleri artık korunmayan eski sürücüleri kullanıyorsa, en düşük TLS sürümünü ayarlamamanızı öneririz.

Daha fazla bilgi için bkz. Veritabanı bağlantısı için TLS ile ilgili dikkat edilmesi gerekenler.

En düşük TLS sürümünü ayarladıktan sonra, sunucunun en düşük TLS sürümünden daha düşük bir TLS sürümü kullanan müşteriler aşağıdaki hatayla kimlik doğrulaması başarısız olur:

Error 47072
Login failed with invalid TLS version

Uyarı

En düşük izin verilen TLS sürümü uygulama katmanında uygulanmaktadır. Protokol katmanında TLS desteğini belirlemeye çalışan araçlar, doğrudan uç noktada çalıştırıldığında gereken en düşük sürüme ek olarak TLS sürümlerini döndürebilir.

Azure portalında en düşük TLS sürümünü yapılandırma

1. Azure portalına gidin ve Azure'daki mantıksal sunucuya gidin.
2. Güvenlik altında Ağ sayfasını seçin.
3. Bağlantı sekmesini seçin. Sunucuyla ilişkilendirilmiş tüm veritabanları için istenen En Düşük TLS Sürümünü seçin ve kaydet'i seçin.

PowerShell'de en düşük TLS sürümünü yapılandırma

Azure PowerShell kullanarak en düşük TLS sürümünü değiştirmek mümkündür.

Önemli

Az modülü AzureRMdeğiştirir. Gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, mantıksal sunucu düzeyinde En Düşük TLS Sürümü özelliğinin nasıl yapılacağını Getgösterir:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Set Mantıksal sunucu düzeyindeki En Düşük TLS Sürümü özelliğini ayarlamak için <strong_password_here_password>'yi Sql Yöneticisi parolanızla değiştirin ve çalıştırın:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI'da en düşük TLS sürümünü yapılandırma

Azure CLI kullanarak en düşük TLS ayarlarını değiştirmek mümkündür.

Önemli

Bu bölümdeki tüm betikler Azure CLI gerektirir.

Aşağıdaki CLI betiğinde Bash kabuğunda En Düşük TLS Sürümü ayarının nasıl değiştirileceği gösterilmektedir.

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

İstemci bağlantılarını tanımlama

TLS 1.0 ve 1.0 kullanarak bağlanan istemcileri belirlemek için Azure portalını ve SQL denetim günlüklerini kullanabilirsiniz.

Azure portalında, veritabanı kaynağınız için İzleme altında bulunan Ölçümler'e gidin ve ardından Başarılı bağlantılar ve TLS sürümleri ile filtreleyin.

Ayrıca sys.fn_get_audit_file fonksiyonunu doğrudan veritabanınızda sorgulayarak denetim dosyasındaki client_tls_version_name'i görüntüleyebilirsiniz.

Bağlantı ilkesi

Azure Synapse Analytics’te Synapse SQL için bağlantı ilkesi Varsayılan olarak ayarlanır. Azure Synapse Analytics'te ayrılmış veya sunucusuz SQL havuzları için bağlantı ilkesini değiştiremezsiniz.

Azure Synapse Analytics'teki SQL havuzları için oturum açma işlemleri, bölgedeki tek tek Ağ Geçidi IP adreslerinden veya Ağ Geçidi IP adresi alt ağlarından herhangi birine bağlanabilir. Tutarlı bağlantı için, bir bölgedeki tüm ağ geçidi IP adreslerine ve ağ geçidi IP adresi alt ağlarına giden ve gelen ağ trafiğine izin verin. Bölgenizin IP adreslerinin izin verilmesi gereken bir listesi için Azure IP Aralıkları ve Hizmet Etiketleri - Genel Bulut'e bakın.

• Varsayılan: Bağlantı ilkesini açıkça Proxy veya Redirect olarak değiştirmediğiniz sürece, bu, oluşturulduktan sonra tüm sunucularda geçerli olan bağlantı ilkesidir. Varsayılan ilke:
  • Azure'ın içinden (örneğin, bir Azure Sanal Makinesinden) kaynaklanan tüm istemci bağlantıları için Redirect.
  • Dış kaynaklı (örneğin, yerel iş istasyonunuzdan gelen) tüm istemci bağlantıları için Proxy.
• Yönlendirme: İstemciler, veritabanını barındıran düğüme doğrudan bağlantı kurar ve bu da gecikme süresinin azalmasına ve gelişmiş aktarım hızına neden olur. Bağlantıların bu modu kullanması için istemcilerin şunları kullanması gerekir:
  • 11000 ile 11999 aralığındaki bağlantı noktalarında istemciden bölgedeki tüm Azure SQL IP adreslerine giden iletişime izin verin. Bunu yönetmeyi kolaylaştırmak için SQL için Hizmet Etiketleri'ni kullanın. Özel Bağlantı kullanıyorsanız, izin verilecek bağlantı noktası aralıkları için özel uç noktalarla Yeniden yönlendirme bağlantı ilkesini kullanma bölümüne bakın.
  • İstemciden 1433 numaralı bağlantı noktasında Azure SQL Veritabanı ağ geçidi IP adreslerine giden iletişime izin verin.
  • Yeniden yönlendirme bağlantı ilkesini kullanırken, izin vereceğiniz IP adreslerinin bir listesi için Azure IP Aralıkları ve Hizmet Etiketleri – Genel Bulut kısmına başvurun.
• Ara sunucu: Bu modda, tüm bağlantılar Azure SQL Veritabanı ağ geçitleri aracılığıyla proksid edilir ve bu da gecikme süresinin artmasına ve aktarım hızının azalmasına neden olur. Bağlantıların bu modu kullanabilmesi için istemcilerin, 1433 numaralı bağlantı noktasında, istemciden Azure SQL Veritabanı ağ geçidi IP adreslerine giden iletişime izin vermeleri gerekir.
  • Ara sunucu bağlantı ilkesini kullanırken, ağ geçidi IP adresleri listesinden bölgenizin IP adreslerine izin verin.

İlgili içerik

• Azure Synapse Analytics IP güvenlik duvarı kuralları
• Azure Synapse (eski adı SQL DW) ile Azure Synapse Analytics Çalışma Alanı arasındaki fark nedir?
• Azure SQL Veritabanı ve Azure Synapse'te mantıksal SQL sunucusu nedir?