Azure SQL Veritabanı ve Azure Synapse Analizi için giden güvenlik duvarı kuralları

Şunlar için geçerlidir: Azure SQL Veritabanı Azure Synapse Analytics (yalnızca ayrılmış SQL havuzu (eski adı SQL DW)

Giden güvenlik duvarı kuralları, Azure SQL mantıksal sunucusundan gelen ağ trafiğini müşteri tanımlı Azure Depolama hesapları ve Azure SQL mantıksal sunucuları listesiyle sınırlar. Bu listede olmayan depolama hesaplarına veya veritabanlarına erişim girişimleri reddedilir. Aşağıdaki Azure SQL Veritabanı özellikleri bu özelliği destekler:

Önemli

  • Bu makale hem Azure SQL Veritabanı hem de Azure Synapse Analytics'teki ayrılmış SQL havuzu (eski adı SQL DW) için geçerlidir. Bu ayarlar, sunucuyla ilişkili tüm SQL Veritabanı ve ayrılmış SQL havuzu (eski adıyla SQL DW) veritabanları için geçerlidir. Kolaylık olması için "veritabanı" terimi hem Azure SQL Veritabanı'ndaki hem de Azure Synapse Analytics'teki veritabanlarını ifade eder. Benzer şekilde, 'server' için yapılan tüm başvurular, Azure Synapse Analytics'te Azure SQL Veritabanı'nı ve ayrılmış SQL havuzunu (eski adı SQL DW) barındıran mantıksal SQL sunucusuna başvurur. Bu makale, Azure Synapse Analytics çalışma alanlarındaki Azure SQL Yönetilen Örneği veya ayrılmış SQL havuzları için geçerli değildir.
  • Giden güvenlik duvarı kuralları mantıksal sunucuda tanımlanır. Coğrafi çoğaltma ve Otomatik yük devretme grupları, birincil ve tüm ikincillerde aynı kural kümesinin tanımlanmasını gerektirir.

Azure portal giden güvenlik duvarı kurallarını ayarlama

  1. Azure SQL Veritabanınızın Güvenlik duvarları ve sanal ağlar dikey penceresindeki Giden bölümüne gidin ve Giden ağ kısıtlamalarını yapılandır'ı seçin.

    Giden Ağ bölümünün ekran görüntüsü

    Bu işlem sağ tarafta aşağıdaki dikey pencereyi açar:

    Hiçbir şey seçilmeden Giden Ağ dikey penceresinin ekran görüntüsü

  2. Giden ağı kısıtla başlıklı onay kutusunu seçin ve ardından Etki alanı ekle düğmesini kullanarak Depolama hesapları (veya SQL Veritabanları) için FQDN'yi ekleyin.

    FQDN eklemeyi gösteren Giden Ağ dikey penceresinin ekran görüntüsü

  3. İşiniz bittiğinde aşağıdakine benzer bir ekran görmeniz gerekir. Bu ayarları uygulamak için Tamam'ı seçin.

    FQDN'ler eklendikten sonra Giden Ağ dikey penceresinin ekran görüntüsü

PowerShell kullanarak giden güvenlik duvarı kurallarını ayarlama

Önemli

Azure SQL Veritabanı hala PowerShell Azure Resource Manager modülünü destekler, ancak gelecekteki tüm geliştirmeler Az.Sql modülüne yöneliktir. Bu cmdlet'ler için bkz. AzureRM.Sql. Az modülündeki ve AzureRm modüllerindeki komutların bağımsız değişkenleri önemli ölçüde aynıdır. Aşağıdaki betik Azure PowerShell modülünü gerektirir.

Aşağıdaki PowerShell betiği, giden ağ ayarının nasıl değiştirileceğini gösterir ( RestrictOutboundNetworkAccess özelliğini kullanarak):

# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess

# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force

Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString  -RestrictOutboundNetworkAccess "Enabled"

Giden güvenlik duvarı kurallarını yapılandırmak için bu PowerShell cmdlet'lerini kullanın

# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>

# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1

# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

Azure CLI kullanarak giden güvenlik duvarı kurallarını ayarlama

Önemli

Bu bölümdeki tüm betikler Için Azure CLI gerekir.

Bash kabuğunda Azure CLI

Aşağıdaki CLI betiği, bash kabuğunda giden ağ ayarının ( RestrictOutboundNetworkAccess özelliğini kullanarak) nasıl değiştirileceğini gösterir:

# Get current setting for Outbound Networking 
az sql server show -n sql-server-name -g sql-server-group --query "RestrictOutboundNetworkAccess"

# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set RestrictOutboundNetworkAccess="Enabled"

Giden güvenlik duvarı kurallarını yapılandırmak için bu CLI komutlarını kullanın

# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name

# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

Sonraki adımlar