你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure SQL 数据库和 Azure Synapse Analytics 连接体系结构
适用于:
Azure SQL 数据库 Azure Synapse Analytics(仅限专用 SQL 池)
本文介绍了将网络流量定向到 Azure SQL 数据库中的服务器或 Azure Synapse Analytics 中的专用 SQL 池的各种组件的体系结构。 它还介绍了不同的连接策略,以及这些策略如何影响从 Azure 内部连接的客户端以及从 Azure 外部连接的客户端。
- 有关 Azure SQL 数据库的连接字符串,请参阅连接到和查询 Azure SQL 数据库。
- 有关 Azure Synapse Analytics 池的连接字符串,请参阅连接到 Synapse SQL。
- 有关在 Azure Synapse Analytics 中控制与 Azure SQL 数据库和专用 SQL 池的逻辑服务器的连接的设置,请参阅连接设置。
- 本文不适用于 Azure SQL 托管实例。 请参阅 Azure SQL 托管实例的连接体系结构。
连接体系结构
下图提供连接体系结构的综合概述。
以下步骤介绍如何建立与 Azure SQL 数据库的连接:
- 客户端连接到网关,后者使用公共 IP 地址并侦听端口 1433。
- 根据有效的连接策略,网关将流量重定向或代理到正确的数据库群集。
- 在数据库群集中,流量被转发到相应的数据库。
连接策略
SQL 数据库中的服务器和 Azure Synapse 中的专用 SQL 池(以前称为 SQL DW)支持以下三个服务器连接策略设置选项。
注意
Azure Synapse Analytics 中专用 SQL 池(以前称为 SQL DW)的连接策略设置为“默认”。 无法为 Synapse 工作区中的专用 SQL 池更改此设置。
- 重定向(建议): 客户端直接与托管数据库的节点建立连接,从而降低延迟并改进吞吐量。 要通过连接来使用此模式,客户端需要:
- 在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使其更易于管理。 如果使用专用链接,请参阅将重定向连接策略与专用终结点配合使用,了解允许的端口范围。
- 在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 公共云获取你所在区域允许的 IP 地址列表。
- 代理: 在此模式下,所有连接都通过 Azure SQL 数据库网关来代理,导致延迟增大和吞吐量降低。 若要通过连接来使用此模式,客户端需满足以下条件:在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用代理连接策略时,请参阅本文后面的网关 IP 地址列表,了解你所在区域允许的 IP 地址。
- 默认值:除非显式将连接策略更改为
Proxy或Redirect,否则,在创建后,此连接策略将在所有服务器上生效。 对于所有源自 Azure 内部的客户端连接(例如,源自 Azure 虚拟机的连接),默认策略为Redirect;对于所有源自外部的客户端连接(例如,源自本地工作站的连接),默认策略为Proxy。
我们强烈建议使用 Redirect 连接策略而不要使用 Proxy 连接策略,以最大程度地降低延迟和提高吞吐量。 但是,你需要满足允许网络流量进行出站通信的附加要求:
- 如果客户端是 Azure 虚拟机,可将网络安全组 (NSG) 与服务标记配合使用来实现它。
- 如果客户端从本地工作站进行连接,则可能需要联系网络管理员,让其允许网络流量通过公司防火墙。
若要更改连接策略,请参阅更改连接策略。
从 Azure 内连接
如果从 Azure 内部连接,则连接默认具有 Redirect 连接策略。 Redirect 策略是指建立到 Azure SQL 数据库的 TCP 会话连接后,会将 Azure SQL 数据库网关的目标虚拟 IP 更改为群集的目标虚拟 IP,从而将客户端会话重定向到适当的数据库群集。 此后,所有后续数据包绕过 Azure SQL 数据库网关,直接传输到群集。 下图演示了此流量流。
从 Azure 外连接
如果从 Azure 外部连接,则连接默认具有 Proxy 连接策略。 Proxy 策略是指通过 Azure SQL 数据库网关建立 TCP 会话,并且所有后续数据包通过网关传输。 下图演示了此流量流。
重要
打开 TCP 端口 1434 和 14000-14999,以便使用 DAC 进行连接。
网关 IP 地址
下表列出了各个网关 IP 地址以及每个区域的网关 IP 地址子网。
Microsoft 会按照将 Azure SQL 数据库流量迁移到更新的网关中列出的过程,定期停用单个“网关 IP 地址”,并将流量迁移到“网关 IP 地址子网”。
我们强烈建议客户不要依赖任何单个网关 IP 地址(因为这些地址将在未来停用)。 请改为允许网络流量到达区域内的单个网关 IP 地址和网关 IP 地址子网。
重要
对于 SQL 数据库或 Azure Synapse 中的专用 SQL 池(以前称为 SQL DW),登录可以在区域中的任何单个网关 IP 地址或网关 IP 地址子网上进行。 为了与 SQL 数据库或 Azure Synapse 中的专用 SQL 池(以前称为 SQL DW)保持一致的连接,请允许进出该区域所有单个网关 IP 地址和网关 IP 地址子网的网络流量。
如果使用代理连接策略连接到 Azure SQL 数据库,请使用本部分中的单个网关 IP 地址和网关 IP 地址子网。 如果使用重定向连接策略,请参阅 Azure IP 范围和服务标记 - 公有云获取你所在区域允许的 IP 地址列表。
| 区域名称 | 网关 IP 地址 | 网关 IP 地址子网 |
|---|---|---|
| 澳大利亚中部 | 20.36.104.6、20.36.104.7 | 20.36.105.32/29、20.53.48.96/27 |
| 澳大利亚中部 2 | 20.36.113.0, 20.36.112.6 | 20.36.113.32/29、20.53.56.32/27 |
| 澳大利亚东部 | 13.75.149.87, 40.79.161.1, 13.70.112.9 | 13.70.112.32/29、40.79.160.32/29、40.79.168.32/29、20.53.46.128/27 |
| Australia Southeast | 13.73.109.251、13.77.48.10、13.77.49.32 | 13.77.49.32/29、104.46.179.160/27 |
| Brazil South | 191.233.200.14, 191.234.144.16, 191.234.152.3 | 191.233.200.32/29、191.234.144.32/29、191.234.152.32/27、191.234.153.32/27、191.234.157.136/29 |
| 加拿大中部 | 52.246.152.0、20.38.144.1 | 13.71.168.32/29、20.38.144.32/29、52.246.152.32/29、20.48.196.32/27 |
| 加拿大东部 | 40.69.105.9、40.69.105.10 | 40.69.105.32/29、52.139.106.192/27 |
| 美国中部 | 104.208.21.1、13.89.169.20 | 104.208.21.192/29、13.89.168.192/29、52.182.136.192/29、20.40.228.128/27 |
| 中国东部 | 139.219.130.35 | 52.130.112.136/29 |
| 中国东部 2 | 40.73.82.1 | 52.130.120.88/29 |
| 中国北部 | 52.130.128.88/29 | |
| 中国北部 2 | 40.73.50.0 | 52.130.40.64/29 |
| 东亚 | 13.75.32.4、13.75.32.14、20.205.77.200、20.205.83.224 | 13.75.32.192/29、13.75.33.192/29、20.195.72.32/27、20.205.77.176/29、20.205.77.200/29、20.205.83.224/29 |
| 美国东部 | 40.121.158.30, 40.79.153.12, 40.78.225.32 | 20.42.65.64/29、20.42.73.0/29、52.168.116.64/29、20.62.132.160/29 |
| 美国东部 2 | 40.79.84.180、52.177.185.181、52.167.104.0、104.208.150.3、40.70.144.193 | 104.208.150.192/29、40.70.144.192/29、52.167.104.192/29、20.62.58.128/27 |
| 法国中部 | 40.79.129.1、40.79.137.8、40.79.145.12 | 40.79.136.32/29、40.79.144.32/29、40.79.128.32/29、20.43.47.192/27 |
| 法国南部 | 40.79.177.0、40.79.177.10、40.79.177.12 | 40.79.176.40/29、40.79.177.32/29、52.136.185.0/27 |
| 德国中西部 | 51.116.240.0, 51.116.248.0, 51.116.152.0 | 51.116.152.32/29、51.116.240.32/29、51.116.248.32/29、51.116.149.32/27 |
| 德国北部 | 51.116.56.0 | 51.116.57.32/29、51.116.54.96/27 |
| 印度中部 | 104.211.96.159、104.211.86.30、104.211.86.31、40.80.48.32、20.192.96.32 | 104.211.86.32/29、20.192.96.32/29、40.80.48.32/29、20.192.43.160/29 |
| 印度南部 | 104.211.224.146 | 40.78.192.32/29、40.78.193.32/29、52.172.113.96/27 |
| 印度西部 | 104.211.160.80, 104.211.144.4 | 104.211.144.32/29、104.211.145.32/29、52.136.53.160/27 |
| 以色列中部 | 20.217.59.248/29, 20.217.91.192/29,20.217.75.192/29 | |
| 意大利北部 | 4.232.107.184/29, 4.232.195.192/29, 4.232.123.192/29 | |
| Japan East | 40.79.184.8、40.79.192.5、13.78.104.32、40.79.184.32 | 13.78.104.32/29、40.79.184.32/29、40.79.192.32/29、20.191.165.160/27 |
| 日本西部 | 104.214.148.156、40.74.97.10 | 40.74.96.32/29、20.18.179.192/29、20.189.225.160/27 |
| 韩国中部 | 52.231.32.42、52.231.17.22、52.231.17.23、20.44.24.32、20.194.64.33 | 20.194.64.32/29、20.44.24.32/29、52.231.16.32/29、20.194.73.64/27 |
| 韩国南部 | 52.231.151.96 | 52.231.151.96/27、52.231.151.88/29、52.147.112.160/27 |
| 马来西亚南部 | 20.17.67.248/29 | |
| 美国中北部 | 52.162.104.33、52.162.105.9 | 52.162.105.200/29、52.162.105.192/29、20.49.119.32/27、20.125.171.192/29 |
| 北欧 | 52.138.224.1、13.74.104.113 | 13.69.233.136/29、13.74.105.192/29、52.138.229.72/29、52.146.133.128/27 |
| 挪威东部 | 51.120.96.0, 51.120.96.33, 51.120.104.32, 51.120.208.32 | 51.120.96.32/29、51.120.104.32/29、51.120.208.32/29、51.120.232.192/27 |
| 挪威西部 | 51.120.216.0 | 51.120.217.32/29、51.13.136.224/27 |
| 波兰中部 | 20.215.27.192/29, 20.215.155.248/29,20.215.19.192/29 | |
| 卡塔尔中部 | 20.21.43.248/29, 20.21.75.192/29, 20.21.67.192/29 | |
| 西班牙中部 | 68.221.99.184/29, 68.221.154.88/29, 68.221.147.192/29 | |
| 南非北部 | 102.133.152.0, 102.133.120.2, 102.133.152.32 | 102.133.120.32/29、102.133.152.32/29、102.133.248.32/29、102.133.221.224/27 |
| 南非西部 | 102.133.24.0 | 102.133.25.32/29、102.37.80.96/27 |
| 美国中南部 | 104.214.16.32、20.45.121.1、20.49.88.1 | 20.45.121.32/29、20.49.88.32/29、20.49.89.32/29、40.124.64.136/29、20.65.132.160/27 |
| 东南亚 | 104.43.15.0, 40.78.232.3, 13.67.16.193 | 13.67.16.192/29、23.98.80.192/29、40.78.232.192/29、20.195.65.32/27 |
| 瑞典中部 | 51.12.224.32/29, 51.12.232.32/29 | |
| 瑞典南部 | 51.12.200.32/29, 51.12.201.32/29 | |
| 瑞士北部 | 51.107.56.0 | 51.107.56.32/29、20.208.19.192/29、51.103.203.192/29、51.107.242.32/27 |
| 台湾北部 | 51.53.107.248/29 | |
| 台湾西北部 | 51.53.187.248/29 | |
| 瑞士西部 | 51.107.152.0 | 51.107.153.32/29、51.107.250.64/27 |
| 阿联酋中部 | 20.37.72.64 | 20.37.72.96/29、20.37.73.96/29 |
| 阿拉伯联合酋长国北部 | 65.52.248.0 | 40.120.72.32/29、65.52.248.32/29、20.38.152.24/29、20.38.143.64/27 |
| 英国南部 | 51.140.184.11、51.105.64.0、51.140.144.36、51.105.72.32 | 51.105.64.32/29、51.105.72.32/29、51.140.144.32/29、51.143.209.224/27 |
| 英国西部 | 51.141.8.11、51.140.208.96、51.140.208.97 | 51.140.208.96/29、51.140.209.32/29、20.58.66.128/27 |
| 美国中西部 | 13.78.145.25、13.78.248.43、13.71.193.32、13.71.193.33 | 13.71.193.32/29、20.69.0.32/27 |
| “西欧” | 104.40.168.105、52.236.184.163 | 104.40.169.32/29、13.69.112.168/29、52.236.184.32/29、20.61.99.192/27 |
| 美国西部 | 104.42.238.205, 13.86.216.196 | 13.86.217.224/29、20.168.163.192/29、20.66.3.64/27 |
| 美国西部 2 | 40.78.240.8、40.78.248.10 | 13.66.136.192/29、40.78.240.192/29、40.78.248.192/29、20.51.9.128/27 |
| 美国西部 3 | 20.150.168.0, 20.150.184.2 | 20.150.168.32/29、20.150.176.32/29、20.150.184.32/29、20.150.241.128/27 |
相关内容
- 有关如何更改服务器的 Azure SQL 数据库连接策略的信息,请参阅 conn-policy。
- 若要了解使用 ADO.NET 4.5 或更高版本的客户端的 Azure SQL 数据库连接行为,请参阅用于 ADO.NET 4.5 的非 1433 端口。
- 若要了解常规应用程序开发的概述信息,请参阅SQL 数据库应用程序开发概述。
- 请参阅 Azure IP 范围和服务标记 - 公有云
- 什么是 Azure SQL 数据库和 Azure Synapse Analytics 中的逻辑 SQL server?
- Azure Synapse(以前称为 SQL DW)与 Azure Synapse Analytics 工作区之间有何区别