Azure SQL Veritabanı ve Azure Synapse Analytics için Bağlan üretkenlik ayarları

Şunlar için geçerlidir:Azure SQL Veritabanı Azure Synapse Analytics (yalnızca ayrılmış SQL havuzları)

Bu makalede, Azure Synapse Analytics'te Azure SQL Veritabanı ve ayrılmış SQL havuzu (eski adı SQL DW) için sunucu bağlantısını denetleen ayarlar tanıtılıyor.

• Ağ trafiğini ve bağlantı ilkelerini yönlendiren çeşitli bileşenler hakkında daha fazla bilgi için bkz . bağlantı mimarisi.
• Bu makale Azure SQL Yönetilen Örneği için geçerli değildir, bunun yerine uygulamanızı Azure SQL Yönetilen Örneği Bağlan konusuna bakın.
• Bu makale, Azure Synapse Analytics çalışma alanlarındaki ayrılmış SQL havuzları için geçerli değildir. Çalışma alanlarıyla Azure Synapse Analytics için IP güvenlik duvarı kurallarını yapılandırma yönergeleri için bkz. Azure Synapse Analytics IP güvenlik duvarı kuralları.

Ağ ve Bağlantı

Bu ayarlar, sunucuyla ilişkilendirilmiş tüm SQL Veritabanı ve ayrılmış SQL havuzu (eski adı SQL DW) veritabanları için geçerlidir. Bu ayarları mantıksal sunucunuzun ağ sekmesinden değiştirebilirsiniz:

Genel ağ erişimini değiştirme

Azure portalı, Azure PowerShell ve Azure CLI aracılığıyla genel ağ erişimini değiştirmek mümkündür.

Portal

Veritabanlarınızı barındıran mantıksal sunucu için genel ağ erişimini etkinleştirmek için Azure'daki mantıksal sunucunuzun Azure portalındakiAğ sayfasına gidin, Genel erişim sekmesini seçin ve genel ağ erişimini Ağları seçin olarak ayarlayın.

Bu sayfadan bir sanal ağ kuralı ekleyebilir ve genel uç noktanız için güvenlik duvarı kurallarını yapılandırabilirsiniz.

Özel uç nokta yapılandırmak için Özel erişim sekmesini seçin.

Not

Bu ayarlar uygulandıktan hemen sonra etkinleşir. Müşterileriniz her ayarın gereksinimlerini karşılamazsa bağlantı kaybıyla karşılaşabilir.

PowerShell

Azure PowerShell kullanarak genel ağ erişimini değiştirmek mümkündür.

Önemli

Azure SQL Veritabanı hala PowerShell Azure Resource Manager modülünü destekler, ancak gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Bu cmdlet'ler için bkz . AzureRM.Sql. Az modülündeki ve AzureRm modüllerindeki komutların bağımsız değişkenleri önemli ölçüde aynıdır. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, nasıl yapılacağını Get ve SetGenel Ağ Erişimi özelliğinin sunucu düzeyinde nasıl yapıldığını gösterir:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI

Azure CLI kullanarak genel ağ ayarlarını değiştirmek mümkündür.

Önemli

Bu bölümdeki tüm betikler Için Azure CLI gerekir.

Aşağıdaki CLI betiği, Bash kabuğunda Genel Ağ Erişimi ayarının nasıl değiştireceğini gösterir:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Genel ağ erişimini engelleme

Genel ağ erişimi ayarı için varsayılan ayar Devre Dışı Bırak'tır. Müşteriler, ağ erişimine genel bakış bölümünde açıklandığı gibi genel uç noktaları (IP tabanlı sunucu düzeyinde güvenlik duvarı kurallarıyla veya sanal ağ güvenlik duvarı kurallarıyla) veya özel uç noktaları (Azure Özel Bağlantı kullanarak) kullanarak veritabanına bağlanmayı seçebilir.

Genel ağ erişimi Devre Dışı Bırak olarak ayarlandığında, yalnızca özel uç noktalardan gelen bağlantılara izin verilir. Genel uç noktalardan gelen tüm bağlantılar aşağıdakine benzer bir hata iletisiyle reddedilir:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Genel ağ erişimi Devre Dışı Bırak olarak ayarlandığında, güvenlik duvarı kurallarını ekleme, kaldırma veya düzenleme girişimleri aşağıdakine benzer bir hata iletisiyle reddedilir:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Azure SQL Veritabanı ve Azure Synapse Analytics için güvenlik duvarı kuralları ekleyebilmek, kaldırabilmek veya düzenleyebilmek için Genel ağ erişiminin Seçili ağlar olarak ayarlandığından emin olun.

En düşük TLS sürümü

En düşük Aktarım Katmanı Güvenliği (TLS) sürüm ayarı, müşterilerin SQL veritabanlarının hangi TLS sürümünü kullandığını seçmesine olanak tanır. Azure portalını, Azure PowerShell'i ve Azure CLI'yı kullanarak en düşük TLS sürümünü değiştirmek mümkündür.

Şu anda TLS 1.0, 1.1 ve 1.2’yi destekliyoruz. En düşük TLS sürümünü ayarlamak, daha yeni TLS sürümlerinin desteklendiğinden emin olmanızı sağlar. Örneğin TLS 1.1 sürümünü seçmek, yalnızca TLS 1.1 ve 1.2 ile bağlantıların kabul edileceği ve TLS 1.0 ile bağlantıların reddedileceği anlamına gelir. Uygulamalarınızın desteklediğini test edip onayladıktan sonra, en düşük TLS sürümü olarak 1.2’yi ayarlamanızı öneririz. Bu sürüm önceki sürümlerdeki güvenlik açıklarının düzeltmelerini içerir ve Azure SQL Veritabanı’nda desteklenen en yüksek TLS sürümüdür.

Önemli

En düşük TLS sürümü için varsayılan ayar tüm sürümlere izin vermektir. TLS’nin bir sürümünü zorunlu tuttuktan sonra varsayılan sürüme geri dönmek mümkün değildir.

TLS’nin daha eski sürümlerine bağımlı olan uygulamalara sahip müşteriler için, en düşük TLS sürümünü uygulamalarınızın gereksinimlerine göre ayarlamanızı öneririz. Uygulama gereksinimleri bilinmiyorsa veya iş yükleri artık korunmayan eski sürücüleri kullanıyorsa, en düşük TLS sürümünü ayarlamamanızı öneririz.

Daha fazla bilgi için bkz. SQL Veritabanı bağlantısı için TLS ile ilgili dikkat edilmesi gerekenler.

En düşük TLS sürümünü ayarladıktan sonra, sunucunun en düşük TLS sürümünden daha düşük bir TLS sürümü kullanan müşteriler aşağıdaki hatayla kimlik doğrulaması başarısız olur:

Error 47072
Login failed with invalid TLS version

Not

En düşük TLS sürümünü yapılandırdığınızda, bu en düşük sürüm uygulama katmanında zorlanır. Protokol katmanında TLS desteğini belirlemeye çalışan araçlar, doğrudan SQL Veritabanı uç noktasında çalıştırıldığında gereken en düşük sürüme ek olarak TLS sürümlerini döndürebilir.

Portal

Azure portalında SQL server kaynağınıza gidin. Güvenlik ayarları'nın altında Ağ'ı seçin ve ardından Bağlan ivity sekmesini seçin. Sunucuyla ilişkilendirilmiş tüm veritabanları için istenen En Düşük TLS Sürümünü seçin ve kaydet'i seçin.

PowerShell

Azure PowerShell kullanarak en düşük TLS sürümünü değiştirmek mümkündür.

Önemli

Azure SQL Veritabanı hala PowerShell Azure Resource Manager modülünü destekler, ancak gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Bu cmdlet'ler için bkz . AzureRM.Sql. Az modülündeki ve AzureRm modüllerindeki komutların bağımsız değişkenleri önemli ölçüde aynıdır. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, mantıksal sunucu düzeyinde En Düşük TLS Sürümü özelliğinin nasıl yapılacağını Getgösterir:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

SetMantıksal sunucu düzeyindeki En Düşük TLS Sürümü özelliğine, için strong_password_here_passwordSql Yönetici istrator parolanızı değiştirin ve şunu yürütür:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI

Azure CLI kullanarak en düşük TLS ayarlarını değiştirmek mümkündür.

Önemli

Bu bölümdeki tüm betikler Için Azure CLI gerekir.

Aşağıdaki CLI betiğinde Bash kabuğunda En Düşük TLS Sürümü ayarının nasıl değiştireceği gösterilmektedir:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Bağlantı ilkesini değiştirme

Bağlan ilkesi, müşterilerin Azure SQL Veritabanı nasıl bağlandığını belirler.

En düşük gecikme süresi ve en yüksek aktarım hızı için bağlantı ilkesi üzerinden Proxy bağlantı ilkesini kesinlikle öneririzRedirect.

Azure portalı, Azure PowerShell ve Azure CLI kullanarak bağlantı ilkesini değiştirmek mümkündür.

Portal

Azure portalını kullanarak mantıksal sunucunuz için bağlantı ilkenizi değiştirebilirsiniz.

Azure portalında SQL server kaynağınıza gidin. Güvenlik ayarları'nın altında Ağ'ı seçin ve ardından Bağlan ivity sekmesini seçin. İstenen bağlantı ilkesini seçin ve Kaydet'i seçin.

PowerShell

Azure PowerShell kullanarak mantıksal sunucunuzun bağlantı ilkesini değiştirebilirsiniz.

Önemli

Azure SQL Veritabanı hala PowerShell Azure Resource Manager modülünü destekler, ancak gelecekteki tüm geliştirmeler Az.Sql modülü içindir. Bu cmdlet'ler için bkz . AzureRM.Sql. Az modülündeki ve AzureRm modüllerindeki komutların bağımsız değişkenleri önemli ölçüde aynıdır. Aşağıdaki betik, Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, PowerShell kullanarak bağlantı ilkesinin nasıl değiştireceğini gösterir:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Azure CLI

Azure CLI kullanarak mantıksal sunucunuzun bağlantı ilkesini değiştirebilirsiniz.

Önemli

Bu bölümdeki tüm betikler Için Azure CLI gerekir.

Bash kabuğunda Azure CLI

Aşağıdaki CLI betiğinde Bash kabuğundaki bağlantı ilkesinin nasıl değiştireceği gösterilmektedir:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Windows komut isteminden Azure CLI

Aşağıdaki CLI betiği, bir Windows komut isteminden (Azure CLI yüklü olarak) bağlantı ilkesinin nasıl değiştireceğini gösterir:

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

İlgili içerik

• Azure SQL Veritabanı ve Azure Synapse Analytics bağlantı mimarisi
• conn-policy