Bağlantı ayarları

Şunlar için geçerlidir:Azure SQL VeritabanıFabric'deki SQL veritabanı

Bu makalede, Microsoft Fabric'te Azure SQL Veritabanı ve SQL veritabanı için sunucuya bağlantıyı denetleyen ayarlar açıklanır.

• Ağ trafiğini ve bağlantı ilkelerini yönlendiren çeşitli bileşenler hakkında daha fazla bilgi için bkz . bağlantı mimarisi.
• Bu makale Azure SQL Yönetilen Örneği için geçerli değildir. Bunun yerine, Uygulamanızı Azure SQL Yönetilen Örneği’ne bağlama bölümüne bakın.
• Bu makale Azure Synapse Analytics için geçerli değildir .
  • Azure Synapse Analytics'te ayrılmış SQL havuzlarına bağlantıyı denetleen ayarlar için bkz. Azure Synapse Analytics bağlantı ayarları.
  • Azure Synapse Analytics havuzlarına ait bağlantı dizeleri için bkz. Synapse SQL'e Bağlanma.
  • Azure Synapse Analytics çalışma alanları için IP güvenlik duvarı kurallarını yapılandırma konusunda kılavuz için Azure Synapse Analytics IP güvenlik duvarı kuralları'na bakın.

Ağ ve Bağlantı

Bu ayarları mantıksal sunucunuzda değiştirebilirsiniz.

Genel ağ erişimini değiştirme

Azure portalı, Azure PowerShell ve Azure CLI aracılığıyla Azure SQL Veritabanınızın genel ağ erişimini değiştirebilirsiniz.

Not

Bu ayarlar uygulandıktan hemen sonra etkinleşir. Müşterileriniz her ayarın gereksinimlerini karşılamazsa bağlantı kaybıyla karşılaşabilir.

Portal

Veritabanlarınızı barındıran mantıksal sunucu için genel ağ erişimini etkinleştirmek için:

1. Azure portalına gidin ve Azure'daki mantıksal sunucuya gidin.
2. Güvenlik altında Ağ sayfasını seçin.
3. Genel erişim sekmesini seçin ve genel ağ erişimini Ağları seç olarak ayarlayın.

Bu sayfadan bir sanal ağ kuralı ekleyebilir ve genel uç noktanız için güvenlik duvarı kurallarını yapılandırabilirsiniz.

Özel erişim sekmesini seçerek bir özel uç nokta yapılandırın.

PowerShell

Azure PowerShell kullanarak genel ağ erişimini değiştirmek mümkündür.

Önemli

Az modülü AzureRMdeğiştirir. Gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, Get ve Set öğelerini kullanarak Genel Ağ Erişimi özelliğini sunucu düzeyinde nasıl yapılandırıp yöneteceğinizi gösterir.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI

Azure CLI kullanarak genel ağ ayarlarını değiştirmek mümkündür.

Aşağıdaki CLI betiği, Bash kabuğunda Genel Ağ Erişimi ayarının nasıl değiştireceğini gösterir:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Genel ağ erişimini engelleme

Genel ağ erişimi ayarı için varsayılan ayar Devre Dışı Bırak'tır. Müşteriler, ağ erişimine genel bakış bölümünde açıklandığı gibi genel uç noktaları (IP tabanlı sunucu düzeyinde güvenlik duvarı kurallarıyla veya sanal ağ güvenlik duvarı kurallarıyla) veya özel uç noktaları (Azure Özel Bağlantı kullanarak) kullanarak veritabanına bağlanmayı seçebilir.

Genel ağ erişimi Devre Dışı Bırak olarak ayarlandığında, yalnızca özel uç noktalardan gelen bağlantılara izin verilir. Genel uç noktalardan gelen tüm bağlantılar aşağıdakine benzer bir hata iletisiyle reddedilir:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Genel ağ erişimi Devre Dışı Bırak olarak ayarlandığında, güvenlik duvarı kurallarını ekleme, kaldırma veya düzenleme girişimleri aşağıdakine benzer bir hata iletisiyle reddedilir:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Azure SQL Veritabanı için güvenlik duvarı kuralları ekleyebilmek, kaldırabilmek veya düzenleyebilmek için Genel ağ erişimininSeçili ağlar olarak ayarlandığından emin olun.

Minimum TLS sürümü

En düşük Aktarım Katmanı Güvenliği (TLS) sürüm ayarı, müşterilerin SQL veritabanlarının hangi TLS sürümünü kullandığını seçmesine olanak tanır. Azure portalını, Azure PowerShell'i ve Azure CLI'yı kullanarak en düşük TLS sürümünü değiştirmek mümkündür.

Şu anda Azure SQL Veritabanı TLS 1.0, 1.1, 1.2 ve 1.3'i desteklemektedir. En düşük TLS sürümünü ayarlamak, daha yeni TLS sürümlerinin desteklenmesine güvence sağlar. Örneğin TLS 1.1 sürümünü seçmek, yalnızca TLS 1.1 ve 1.2 ile bağlantıların kabul edileceği ve TLS 1.0 ile bağlantıların reddedileceği anlamına gelir. Uygulamalarınızın desteklediğini doğrulamak için test ettikten sonra en düşük TLS sürümünü 1.3 olarak ayarlamanızı öneririz. Bu sürüm önceki sürümlerdeki güvenlik açıklarının düzeltmelerini içerir ve Azure SQL Veritabanı’nda desteklenen en yüksek TLS sürümüdür.

Yaklaşan emeklilik değişiklikleri

Azure, eski TLS sürümleri (TLS 1.0 ve 1.1) desteğinin 31 Ağustos 2025'de sona erdiğini duyurdu. Daha fazla bilgi için bkz . TLS 1.0 ve 1.1 kullanımdan kaldırma.

Kasım 2024'den itibaren, Azure SQL Veritabanı istemci bağlantıları için en düşük TLS sürümünü TLS 1.2'nin altına ayarlayamazsınız.

En düşük TLS sürümünü yapılandırma

azure portalını, Azure PowerShell'i veya Azure CLI'yı kullanarak istemci bağlantıları için en düşük TLS sürümünü yapılandırabilirsiniz.

Dikkat

• En düşük TLS sürümü için varsayılan ayar tüm sürümlere izin vermektir. TLS’nin bir sürümünü zorunlu tuttuktan sonra varsayılan sürüme geri dönmek mümkün değildir.
• Tüm sürücüler ve işletim sistemleri TLS 1.3'i desteklemediğinden, en az TLS 1.3'ün zorunlu olması, TLS 1.3'i desteklemeyen istemcilerden gelen bağlantılarda sorunlara neden olabilir.

TLS’nin daha eski sürümlerine bağımlı olan uygulamalara sahip müşteriler için, en düşük TLS sürümünü uygulamalarınızın gereksinimlerine göre ayarlamanızı öneririz. Uygulama gereksinimleri bilinmiyorsa veya iş yükleri artık korunmayan eski sürücüleri kullanıyorsa, en düşük TLS sürümünü ayarlamamanızı öneririz.

Daha fazla bilgi için bkz. SQL Veritabanı bağlantısı için TLS ile ilgili dikkat edilmesi gerekenler.

En düşük TLS sürümünü ayarladıktan sonra, sunucunun en düşük TLS sürümünden daha düşük bir TLS sürümü kullanan müşteriler aşağıdaki hatayla kimlik doğrulaması başarısız olur:

Error 47072
Login failed with invalid TLS version

Not

En düşük izin verilen TLS sürümü uygulama katmanında uygulanmaktadır. Protokol katmanında TLS desteğini belirlemeye çalışan araçlar, doğrudan SQL Veritabanı uç noktasında çalıştırıldığında gereken en düşük sürüme ek olarak TLS sürümlerini döndürebilir.

Portal

1. Azure portalına gidin ve Azure'daki mantıksal sunucuya gidin.
2. Güvenlik altında Ağ sayfasını seçin.
3. Bağlantı sekmesini seçin. Sunucuyla ilişkilendirilmiş tüm veritabanları için istenen En Düşük TLS Sürümünü seçin ve kaydet'i seçin.

PowerShell

Azure PowerShell kullanarak en düşük TLS sürümünü değiştirmek mümkündür.

Önemli

Az modülü AzureRMdeğiştirir. Gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, mantıksal sunucu düzeyinde En Düşük TLS Sürümü özelliğinin nasıl yapılacağını Getgösterir:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Set Mantıksal sunucu düzeyindeki En Düşük TLS Sürümü özelliğini ayarlamak için strong_password_here_password'yi Sql Yöneticisi parolanızla değiştirin ve çalıştırın:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI

Azure CLI kullanarak en düşük TLS ayarlarını değiştirmek mümkündür.

Önemli

Bu bölümdeki tüm betikler Azure CLI gerektirir.

Aşağıdaki CLI betiğinde Bash kabuğunda En Düşük TLS Sürümü ayarının nasıl değiştirileceği gösterilmektedir.

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

İstemci bağlantılarını tanımlama

TLS 1.0 ve 1.0 kullanarak bağlanan istemcileri belirlemek için Azure portalını ve SQL denetim günlüklerini kullanabilirsiniz.

Azure portalında, veritabanı kaynağınız için İzleme altında bulunan Ölçümler'e gidin ve ardından Başarılı bağlantılar ve TLS sürümleri ile filtreleyin.

doğrudan veritabanınızda sys.fn_get_audit_file'ü sorgulayarak denetim dosyasındaki client_tls_version_name görüntüleyebilir ve audit_event adlı olayları arayabilirsiniz.

Bağlantı ilkesini değiştirme

Bağlantı ilkesi , müşterilerin nasıl bağlandığını belirler. En düşük gecikme süresi ve en yüksek aktarım hızı için Redirect bağlantı ilkesi yerine Proxy bağlantı ilkesini kesinlikle öneririz.

Azure portalı, Azure PowerShell ve Azure CLI kullanarak bağlantı ilkesini değiştirmek mümkündür.

Portal

Azure portalını kullanarak mantıksal sunucunuz için bağlantı ilkenizi değiştirebilirsiniz.

1. Azure portala gidin. Azure'da mantıksal sunucuya gidin.
2. Güvenlik altında Ağ sayfasını seçin.
3. Bağlantı sekmesini seçin. İstediğiniz bağlantı ilkesini seçin ve Kaydet'i seçin.

PowerShell

Azure PowerShell kullanarak mantıksal sunucunuzun bağlantı ilkesini değiştirebilirsiniz.

Önemli

Az modülü AzureRMdeğiştirir. Gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, PowerShell kullanarak bağlantı ilkesinin nasıl değiştireceğini gösterir:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Azure CLI

Azure CLI kullanarak mantıksal sunucunuzun bağlantı ilkesini değiştirebilirsiniz.

Önemli

Bu bölümdeki tüm betikler Azure CLI gerektirir.

Bash kabuğunda Azure CLI

Bir sunucu için Azure SQL Veritabanı bağlantı ilkesini değiştirme hakkında bilgi için bkz. conn-policy

Aşağıdaki CLI betiğinde Bash kabuğundaki bağlantı ilkesinin nasıl değiştireceği gösterilmektedir:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Azure CLI'yi Windows komut isteminden çalıştırma

Aşağıdaki CLI betiği, bir Windows komut isteminden (Azure CLI yüklü olarak) bağlantı ilkesinin nasıl değiştireceğini gösterir:

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

İlgili içerik

• Bağlantı mimarisi