Azure SQL Veritabanı ve Azure Synapse Analytics ağ erişim denetimleri

Şunlar için geçerlidir:Azure Synapse Analytics Azure SQL Veritabanı (yalnızca ayrılmış SQL havuzları)

Başlangıç Kılavuzu: Azure SQL Veritabanı - Tek veritabanı oluşturma ve Azure Synapse Analytics'le Azure SQL Veritabanı’ndan bir mantıksal sunucu oluşturduğunuzda, sonuç şu formatta bir genel uç noktadır: yourservername.database.windows.net.

Varsayılan olarak, mantıksal sunucu güvenliği sağlamak için tüm bağlantıları reddeder. Bir veritabanına genel uç nokta üzerinden seçmeli olarak erişim izni vermek için aşağıdaki ağ erişim denetimlerinden birini veya daha fazlasını kullanabilirsiniz

IP tabanlı güvenlik duvarı kuralları: Belirli bir IP adresinden gelen bağlantılara açıkça izin vermek için bu özelliği kullanın. Örneğin, şirket içi makinelerden veya başlangıç ve bitiş IP adresini belirterek bir IP adresi aralığından.
Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver: Etkinleştirildiğinde, Azure sınırındaki diğer kaynaklar SQL Veritabanı erişebilir. Örneğin, bir Azure Sanal Makinesi SQL Veritabanı kaynaklarına erişebilir.

Sanal ağlardan veritabanına özel erişim sağlayabilirsiniz:

Sanal ağ güvenlik duvarı kuralları: Azure sınırı içindeki belirli bir sanal ağdan gelen trafiğe izin vermek için bu özelliği kullanın.
Özel Bağlantı: Azure'da belirli bir sanal ağ içindeki mantıksal sunucu için özel bir uç nokta oluşturmak için bu özelliği kullanın.

Önemli

Bu makale SQL Yönetilen Örneği için geçerli değildir. Ağ yapılandırması hakkında daha fazla bilgi için bkz. Azure SQL Yönetilen Örneği'ne bağlanma.

IP güvenlik duvarı kuralları

IP tabanlı güvenlik duvarı kuralları, siz istemci makinelerinin IP adreslerini açıkça ekleyene kadar sunucunuza tüm erişimi engelleyen Azure'daki mantıksal sunucunun bir özelliğidir.

İki tür güvenlik duvarı kuralı vardır:

Sunucu düzeyinde güvenlik duvarı kuralları: Bu kurallar sunucudaki tüm veritabanları için geçerlidir. Bunlar Azure portalı, PowerShell veya sp_set_firewall_rulegibi T-SQL komutları aracılığıyla yapılandırılabilir.
Veritabanı düzeyinde güvenlik duvarı kuralları: Bu kurallar tek tek veritabanları için geçerlidir ve sp_set_database_firewall_rule gibi T-SQL komutları kullanılarak yalnızca yapılandırılabilir

Güvenlik duvarı kurallarını adlandırmaya yönelik kısıtlamalar şunlardır:

Güvenlik duvarı kuralı adı boş olamaz.
Şu karakterleri içeremez: <, >, *, %, &, :, \\, /, ?.
Nokta (.) ile bitemez.
Güvenlik duvarı kuralı adı 128 karakteri aşamaz.

Bu kısıtlamaları karşılamayen güvenlik duvarı kuralları oluşturma girişimleri bir hata iletisiyle başarısız olur. Mevcut IP tabanlı güvenlik duvarı kurallarında yapılan değişikliklerin geçerlilik kazanması 5 dakika kadar sürebilir.

Azure hizmetlerine izin ver

Varsayılan olarak, Azure portalından yeni bir mantıksal sunucu oluşturulurken Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver seçeneği işaretlenmez ve etkinleştirilmez. Genel uç nokta üzerinden bağlantıya izin verildiğinde bu ayar görüntülenir.

Mantıksal sunucu oluşturulduktan sonra ağ ayarı aracılığıyla da bu ayarı aşağıdaki gibi değiştirebilirsiniz:

Sunucu güvenlik duvarı ayarlarını yönet sayfasının ekran görüntüsü.

Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver etkinleştirildiğinde, sunucunuz aboneliğinizin parçası olup olmadığına bakılmaksızın Azure sınırındaki tüm kaynaklardan gelen iletişimlere izin verir. Arka planda, 0.0.0.0IP adresiyle başlayan ve biten özel bir sunucu düzeyinde güvenlik duvarı kuralı eklenir.

Çoğu durumda, ayarın etkinleştirilmesi, çoğu müşterinin istediğinden daha izin vericidir. Bu ayarın işaretini kaldırıp daha kısıtlayıcı IP güvenlik duvarı kurallarıyla değiştirmek veya özel erişim seçeneklerinden birini kullanmak isteyebilirsiniz.

Önemli

Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver seçeneğinin işaretlenmesi, başlangıç ve bitiş IP adresi 0.0.0.0 olan BIR IP tabanlı güvenlik duvarı kuralı ekler

Ancak bunu yapmak, Azure'da sanal ağınızın parçası olmayan sanal makinelerde çalışan ve bu nedenle bir Azure IP adresi aracılığıyla veritabanına bağlanan aşağıdaki özellikleri etkiler:

İthalat İhracat Hizmeti

Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver özelliği etkinleştirilmediğinde İçeri Aktarma Hizmeti çalışmıyor. Ancak SqlPackage'ı bir Azure VM'den el ile çalıştırarak veya DACFx API'sini kullanarak doğrudan kodunuzda dışarı aktarma gerçekleştirerek sorunu çözebilirsiniz.

Veri Senkronizasyonu

Azure hizmetleri ve kaynaklarının bu sunucuya erişmesine izin ver seçeneği etkinleştirilmediğinde Veri eşitleme özelliğini kullanmak için, Hub veritabanını barındıran bölgenin Sql hizmet etiketinden IP adreslerini eklemek amacıyla tek tek güvenlik duvarı kuralı girdileri oluşturmanız gerekmektedir. Bu sunucu düzeyindeki güvenlik duvarı kurallarını hem Hubhem de Üye veritabanlarını (farklı bölgelerde olabilir) barındıran sunuculara ekleyin.

Batı ABD bölgesinin SQL hizmet etiketine karşılık gelen IP adreslerini oluşturmak için aşağıdaki PowerShell betiğini kullanın.

PS C:\>  $serviceTags = Get-AzNetworkServiceTag -Location eastus2
PS C:\>  $sql = $serviceTags.Values | Where-Object { $_.Name -eq "Sql.WestUS" }
PS C:\> $sql.Properties.AddressPrefixes.Count
70
PS C:\> $sql.Properties.AddressPrefixes
13.86.216.0/25
13.86.216.128/26
13.86.216.192/27
13.86.217.0/25
13.86.217.128/26
13.86.217.192/27

İpucu

Get-AzNetworkServiceTag, Location parametresi belirtilmesine rağmen SQL Hizmet Etiketi için genel aralığı döndürür. Eşitleme grubunuz tarafından kullanılan Hub veritabanını barındıran bölgeye göre filtrelemeyi unutmayın

PowerShell betiğinin çıktısı, sınıfsız etki alanlar arası yönlendirme (CIDR) biçimindedir. Bunun Get-IPrangeStartEnd.ps1 kullanılarak Başlangıç ve Bitiş IP adresi biçimine dönüştürülmesi gerekir:

PS C:\> Get-IPrangeStartEnd -ip 52.229.17.93 -cidr 26
start        end
-----        ---
52.229.17.64 52.229.17.127

Tüm IP adreslerini CIDR'den Başlangıç ve Bitiş IP adresi biçimine dönüştürmek için aşağıdaki PowerShell betiğini kullanabilirsiniz.

PS C:\>foreach( $i in $sql.Properties.AddressPrefixes) {$ip,$cidr= $i.split('/') ; Get-IPrangeStartEnd -ip $ip -cidr $cidr;}
start          end
-----          ---
13.86.216.0    13.86.216.127
13.86.216.128  13.86.216.191
13.86.216.192  13.86.216.223

Artık bunları ayrı güvenlik duvarı kuralları olarak ekleyebilir ve ardından Azure hizmetlerinin ve kaynaklarının bu sunucuya erişmesine izin ver ayarını devre dışı bırakabilirsiniz.

Sql Hizmet Etiketi

Hizmet etiketleri, güvenlik kurallarında ve istemcilerden SQL Veritabanı yollarda kullanılabilir. Hizmet etiketleri ağ güvenlik gruplarında, Azure Güvenlik Duvarı ve kullanıcı tanımlı yollarda bir güvenlik kuralının kaynak veya hedef alanında belirtilerek kullanılabilir.
Sql hizmet etiketi, SQL Veritabanı tarafından kullanılan tüm IP adreslerinden oluşur. Etiket bölgelere göre daha fazla segmentlere ayrılmıştır. Örneğin Sql.WestUS, Batı ABD'de SQL Veritabanı tarafından kullanılan tüm IP adreslerini listeler.

Sql hizmet etiketi, SQL Veritabanı bağlantısı kurmak için gerekli IP adreslerinden oluşur ve bu adresler Ağ Geçidi IP adresleri bölümünde belgelenmiştir. Ayrıca, bir hizmet etiketi aşağıdaki gibi özelliklerde kullanılan SQL Veritabanı giden trafikle de ilişkilendirilecektir:

SqlManagement Hizmet Etiketi

SqlManagement hizmet etiketi, SQL Veritabanı karşı denetim düzlemi işlemleri için kullanılır.

Sanal ağ güvenlik duvarı kuralları

Azure SQL Veritabanı'ndaki sunucular için sanal ağ hizmet uç noktalarını ve kurallarını kullanma, VM'lerinizi içeren belirli bir alt ağdan erişim oluşturmak ve yönetmek için daha kolay alternatiflerdir.

Özel Bağlantı

Özel Bağlantı özel uç nokta üzerinden bir sunucuya bağlanmanızı sağlar. Özel uç nokta, belirli bir sanal ağ ve alt ağ içindeki özel bir IP adresidir.

Geri Bildirim

Bu sayfayı yararlı buldunuz mu?

Last updated on 2025-06-30