Azure SQL 資料庫和 Azure Synapse Analytics 的連線設定

適用於：Azure SQL 資料庫 Azure Synapse Analytics (僅限專用的 SQL 集區)

本文所介紹的設定可針對 Azure Synapse Analytics 中的 Azure SQL 資料庫和專用 SQL 集區 (先前稱為 SQL DW) 控制與伺服器的連線。

• 如需引導網路流量和連線原則的各種元件的詳細資訊，請參閱連線架構。
• 本文不適用於 Azure SQL 受控執行個體，請參閱將您的應用程式連線至 Azure SQL 受控執行個體。
• 本文不適用於 Azure Synapse Analytics 工作區中的專用 SQL 集區。 如需有關如何使用工作區針對 Azure Synapse Analytics 設定 IP 防火牆規則的指導，請參閱 Azure Synapse Analytics IP 防火牆規則。

網路和連線能力

您可以在邏輯伺服器中變更這些設定。 邏輯 SQL 伺服器可同時託管 Azure SQL 資料庫和不在 Azure Synapse Analytics 工作區中的獨立專用 SQL 集區。

注意

這些設定適用於與邏輯伺服器關聯的 Azure SQL 資料庫和專用 SQL 集區 (先前稱為 SQL DW)。 這些指示不適用於 Azure Synapse 分析工作區中的專用 SQL 集區。

變更公用網路存取

可以透過 Azure 入口網站、Azure PowerShell 和 Azure CLI 來變更 Azure SQL 資料庫或獨立專用 SQL 集區的公用網路存取。

注意

這些設定會在套用之後立即生效。 如果客戶不符合每個設定的需求，則可能會遇到連線遺失的情況。

入口網站

若要啟用託管資料庫之邏輯伺服器的公用網路存取：

1. 移至 Azure 入口網站，然後移至 Azure 中的邏輯伺服器。
2. 在 [安全性] 底下，選取 [網路]頁面。
3. 選擇 [公用存取] 索引標籤，然後將 [公用網路存取] 設定為選取的網路。

您可以從此頁面新增虛擬網路規則，以及設定公用端點的防火牆規則。

選擇 [私人存取] 索引標籤以設定 私人端點。

PowerShell

您可以使用 Azure PowerShell 變更公用網路存取。

重要

Azure SQL 資料庫仍然支援 PowerShell Azure Resource Manager 模組，但所有的未來開發都是針對 Az.Sql 模組。 如需這些 Cmdlet，請參閱 AzureRM.Sql \(英文\)。 Az 模組和 AzureRm 模組中命令的引數本質上完全相同。 下列指令碼需要 Azure PowerShell 模組。

下列 PowerShell 指令碼說明如何在伺服器層級上 Get 和 Set [公用網路存取] 屬性：

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI

您可以使用 Azure CLI 變更公用網路設定。

下列 CLI 指令碼說明如何在 Bash 殼層中變更公用網路存取設定：

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

拒絕公用網路存取

[公用網路存取] 設定的預設值為 [停用]。 客戶可以透過使用公用端點 (使用 IP 型伺服器層級防火牆規則，或使用虛擬網路防火牆規則) 或私人端點 (透過使用 Azure Private Link) 進行連線，選擇連結至資料庫，如網路存取概觀中所述。

當 [公用網路存取] 設定為 [停用] 時，只允許從私人端點的連線。 從公用端點的所有連線將會遭到拒絕，並出現類似下列的錯誤訊息：

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

當 [公用網路存取] 設定為 [停用] 時，將會拒絕任何新增、移除或編輯防火牆規則的嘗試，並出現類似下列的錯誤訊息：

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

確定 [公用網路存取] 設定為 [指定網路]，以新增、移除或編輯 Azure SQL 資料庫和 Azure Synapse Analytics 的任何防火牆規則。

最低的 TLS 版本

最低傳輸層安全性 (TLS) 版本設定可讓客戶選擇其 SQL 資料庫要使用的 TLS 版本。 您可以使用 Azure 入口網站、Azure PowerShell 和 Azure CLI 變更最低 TLS 版本。

目前，Azure SQL 資料庫 支援 TLS 1.0、1.1、1.2 和 1.3。 設定最低 TLS 版本，確保能夠支援較新的 TLS 版本。 例如，選擇 TLS 1.1 版，即表示只接受 TLS 1.1 和 1.2 的連線，而且會拒絕與 TLS 1.0 的連線。 在測試以確認應用程式確實支援後，建議您將最小的 TLS 版本設定為 1.2。 此版本包含舊版的弱點修正程式，而且是 Azure SQL 資料庫支援的最高 TLS 版本。

即將推出的淘汰變更

Azure 已宣布支援舊版 TLS (TLS 1.0 和 1.1) 將於 2024 年 10 月 31 日結束。 如需詳細資訊，請參閱 淘汰 TLS 1.0 和 1.1。

從 2024 年 11 月開始，您將無法再為 Azure SQL 資料庫 和低於 TLS 1.2 的 Azure Synapse Analytics 用戶端連線設定最低 TLS 版本。

設定最低 TLS 版本

您可以使用 Azure 入口網站、Azure PowerShell 或 Azure CLI 設定用戶端連線的最小 TLS 版本。

警告

• 最低 TLS 版本的預設值是允許所有版本。 強制執行某個 TLS 版本之後，就無法還原為預設值。
• 強制至少 TLS 1.3 可能會導致來自不支援 TLS 1.3 之用戶端連線的問題，因為並非所有 驅動程式 和作業系統都支援 TLS 1.3。

針對相依於舊版 TLS 的應用程式客戶，建議根據應用程式的需求來設定最低 TLS 版本。 如果應用程式需求不清楚，或工作負載依賴不再維護的舊版驅動程式，建議您不要設定任何最低的 TLS 版本。

如需詳細資訊，請參閱 SQL Database 連線能力的 TLS 考量。

設定最低 TLS 版本後，若客戶使用的伺服器 TLS 版本低於最低的 TLS 版本，則將無法完成驗證，並顯示下列錯誤：

Error 47072
Login failed with invalid TLS version

注意

應用程式層上會強制最低 TLS 版本。 當您直接針對 SQL Database 端點執行時，嘗試在通訊協定層上判斷 TLS 支援的工具，可能還會傳回除了必要最低版本以外的 TLS 版本。

入口網站

1. 移至 Azure 入口網站，然後移至 Azure 中的邏輯伺服器。
2. 在 [安全性] 底下，選取 [網路]頁面。
3. 選擇 [連線性] 索引標籤。選取與伺服器關聯的所有資料庫所需的最小 TLS 版本，然後選取 [儲存]。

PowerShell

您可以使用 Azure PowerShell 變更最低 TLS 版本。

重要

Azure SQL 資料庫仍然支援 PowerShell Azure Resource Manager 模組，但所有的未來開發都是針對 Az.Sql 模組。 如需這些 Cmdlet，請參閱 AzureRM.Sql \(英文\)。 Az 模組和 AzureRm 模組中命令的引數本質上完全相同。 下列指令碼需要 Azure PowerShell 模組。

下列 PowerShell 指令碼說明如何在邏輯伺服器層級上 Get [最低 TLS 版本] 屬性：

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

若要在邏輯伺服器層級上 Set [最低 TLS 版本] 屬性，請將 Sql 系統管理員密碼替代為 strong_password_here_password，然後執行：

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI

您可以使用 Azure CLI 變更最低 TLS 設定。

重要

本節中的所有指令碼都需要 Azure CLI。

下列 CLI 指令碼說明如何在 Bash 殼層中變更 [最低 TLS 版本] 設定：

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

識別用戶端連線

您可以使用 Azure 入口網站 和 SQL 稽核記錄來識別使用 TLS 1.0 和 1.1 連線的用戶端。

在 Azure 入口網站 中，移至 [監視資料庫資源的計量]，然後依 [成功連線] 和 [TLS 版本] = 1.0 和 1.1：

您也可以直接在資料庫內查詢 sys.fn_get_audit_file ，以檢視稽核檔案中的 client_tls_version_name：

變更連線原則

連線原則會決定客戶的連線方式。 為了將延遲降到最低及將輸送量提升到最高，強烈建議您採用 Redirect 連線原則，而不要採用 Proxy 連線原則。

您可以使用 Azure 入口網站、Azure PowerShell 和 Azure CLI 變更連線原則。

入口網站

您可以使用 Azure 入口網站變更邏輯伺服器的連線原則。

1. 前往 Azure 入口網站。 移至 Azure 中的邏輯伺服器。
2. 在 [安全性] 底下，選取 [網路]頁面。
3. 選擇 [連線性] 索引標籤。選擇所需的連線原則，然後選取 [儲存]。

PowerShell

您可以使用 Azure PowerShell 變更邏輯伺服器的連線原則。

重要

Azure SQL 資料庫仍然支援 PowerShell Azure Resource Manager 模組，但所有的未來開發都是針對 Az.Sql 模組。 如需這些 Cmdlet，請參閱 AzureRM.Sql \(英文\)。 Az 模組和 AzureRm 模組中命令的引數本質上完全相同。 下列指令碼需要 Azure PowerShell 模組。

下列 PowerShell 指令碼說明如何使用 PowerShell 變更連線原則：

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Azure CLI

您可以使用 Azure CLI 變更邏輯伺服器的連線原則。

重要

本節中的所有指令碼都需要 Azure CLI。

Bash 殼層中的 Azure CLI

下列 CLI 指令碼說明如何在 Bash 殼層中變更連線原則：

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Windows 命令提示字元中的 Azure CLI

下列 CLI 指令碼說明如何從 Windows 命令提示字元 (已安裝 Azure CLI) 變更連線原則：

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

相關內容

• Azure SQL Database 和 Azure Synapse Analytics 連線結構
• conn-policy