Configurações de conectividade para o Banco de Dados SQL do Azure e o Azure Synapse Analytics
Aplica-se a:
Banco de Dados SQL do AzureAzure Synapse Analytics (pools dedicados de SQL somente)
Este artigo apresenta as configurações que controlam a conectividade com o servidor para o Banco de Dados SQL do Azure e pool SQL dedicado (anteriormente SQL DW) no Azure Synapse Analytics.
- Para obter mais informações sobre vários componentes que direcionam o tráfego de rede e as diretivas de conexão, consulte arquitetura de conectividade.
- Este artigo não se aplica à Instância Gerenciada SQL do Azure, em vez disso, consulte Conectar seu aplicativo à Instância Gerenciada SQL do Azure.
- Este artigo não se aplica a pools SQL dedicados em espaços de trabalho do Azure Synapse Analytics. Consulte as regras de firewall IP do Azure Synapse Analytics para obter orientação sobre como configurar regras de firewall IP para o Azure Synapse Analytics com espaços de trabalho.
Rede e conectividade
Você pode alterar essas configurações no servidor lógico . Um servidor SQL lógico pode hospedar bancos de dados SQL do Azure e pools SQL dedicados autônomos que não estão em um espaço de trabalho do Azure Synapse Analytics.
Observação
Essas configurações se aplicam aos bancos de dados SQL do Azure e pools SQL dedicados (anteriormente SQL DW) associados ao servidor lógico. Estas instruções não se aplicam a pools SQL dedicados em um espaço de trabalho de análise do Azure Synapse.
Alterar o acesso à rede pública
É possível alterar o acesso à rede pública para o Banco de Dados SQL do Azure ou o pool SQL dedicado autônomo por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.
Observação
Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes podem sofrer perda de conexão se não atenderem aos requisitos de cada configuração.
- Portal
- PowerShell
- da CLI do Azure
Para habilitar o acesso à rede pública para o servidor lógico que hospeda seus bancos de dados:
- Vá para o portal do Azure e vá para o servidor lógico no Azure.
- Em de Segurança , selecione a página Rede.
- Escolha o separador Acesso público e, em seguida, defina o Acesso à rede pública como Selecionar redes.
Nesta página, você pode adicionar uma regra de rede virtual, bem como configurar regras de firewall para seu ponto de extremidade público.
Escolha a guia de acesso privado para configurar um ponto de extremidade privado .
Negar acesso à rede pública
O padrão para a configuração de acesso à rede pública é Desativar. Os clientes podem escolher conectar-se a uma base de dados utilizando pontos de extremidade públicos (com regras de firewall ao nível do servidor baseadas em IP ou com regras de firewall de rede virtual), ou pontos de extremidade privados (utilizando o Azure Private Link), conforme descrito na visão geral do acesso à rede .
Quando de acesso à rede pública estiver definido como Desativar, apenas são permitidas ligações a partir de pontos de extremidade privados. Todas as conexões de pontos de extremidade públicos serão recusadas com uma mensagem de erro semelhante a:
Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.
Quando o acesso à rede pública estiver definido como Desativar, todas as tentativas de adicionar, remover ou editar quaisquer regras de firewall serão negadas com uma mensagem de erro semelhante a:
Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.
Certifique-se de que acesso à rede pública esteja definido como redes selecionadas para poder adicionar, remover ou editar quaisquer regras de firewall para a Base de Dados SQL do Azure e o Azure Synapse Analytics.
Versão mínima do TLS
A configuração mínima de versão do Transport Layer Security (TLS) permite que os clientes escolham qual versão do TLS seu banco de dados SQL usa. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.
Atualmente, o Banco de Dados SQL do Azure dá suporte ao TLS 1.0, 1.1, 1.2 e 1.3. Definir uma versão mínima do TLS garante que as versões mais recentes do TLS sejam suportadas. Por exemplo, escolher um TLS versão 1.1 significa que apenas conexões com TLS 1.1 e 1.2 são aceitas e conexões com TLS 1.0 são rejeitadas. Depois de testar para confirmar se seus aplicativos o suportam, recomendamos definir a versão mínima do TLS como 1.3. Esta versão inclui correções para vulnerabilidades em versões anteriores e é a versão mais alta do TLS com suporte no Banco de Dados SQL do Azure.
Próximas mudanças na aposentadoria
O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, consulte a descontinuação do TLS 1.0 e 1.1.
A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para o Banco de Dados SQL do Azure e as conexões de cliente do Azure Synapse Analytics abaixo do TLS 1.2.
Configurar a versão mínima do TLS
Você pode configurar a versão mínima do TLS para conexões de cliente usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.
Atenção
- O padrão para a versão mínima do TLS é permitir todas as versões. Depois de impor uma versão do TLS, não é possível reverter para o padrão.
- Impor um mínimo de TLS 1.3 pode causar problemas para conexões de clientes que não suportam TLS 1.3, já que nem todos os drivers e sistemas operacionais suportam TLS 1.3.
Para clientes com aplicativos que dependem de versões mais antigas do TLS, recomendamos definir a versão mínima do TLS de acordo com os requisitos de seus aplicativos. Se os requisitos do aplicativo forem desconhecidos ou as cargas de trabalho dependerem de drivers mais antigos que não são mais mantidos, recomendamos não definir nenhuma versão mínima do TLS.
Para obter mais informações, consulte considerações sobre TLS para conectividade do Banco de dados SQL.
Depois de definir a versão mínima do TLS, os clientes que estiverem usando uma versão TLS inferior à versão mínima do TLS do servidor não conseguirão se autenticar, com o seguinte erro:
Error 47072
Login failed with invalid TLS version
Observação
A versão mínima do TLS é imposta na camada de aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade do Banco de dados SQL.
- Portal
- PowerShell
- da CLI do Azure
- Vá para o portal do Azure e vá para o servidor lógico no Azure.
- Na secção Segurança, selecione a página Rede.
- Escolha a guia Conectividade . Selecione a Versão Mínima de TLS desejada para todos os bancos de dados associados ao servidor e selecione Guardar .
Identificar conexões de clientes
Você pode usar o portal do Azure e os logs de auditoria do SQL para identificar clientes que estão se conectando usando o TLS 1.0 e 1.0.
No portal do Azure, vá para Métricas em Monitorização para o recurso de base de dados e filtre por Conexões bem-sucedidase versões TLS = 1.0 e 1.1:
Você também pode consultar sys.fn_get_audit_file diretamente em seu banco de dados para exibir os client_tls_version_name no arquivo de auditoria:
Alterar a política de ligação
A política de conexão determina como os clientes se conectam. É altamente recomendável a política de conexão Redirect sobre a política de conexão Proxy para a menor latência e a maior taxa de transferência.
É possível alterar a política de conexão usando o portal do Azure, o Azure PowerShell e a CLI do Azure.
- Portal
- PowerShell
- da CLI do Azure
É possível alterar sua política de conexão para seu servidor lógico usando o portal do Azure.
- Vá para o portal do Azure. Vá para o servidor lógico no Azure.
- Em Segurança, selecione a página Rede.
- Escolha o separador Conectividade. Escolha a política de ligação desejada e selecione Guardar.
