Поделиться через


Параметры подключения к Базе данных SQL Azure и Azure Synapse Analytics

Область применения: База данных SQL Azure Azure Synapse Analytics (только выделенные пулы SQL)

В этой статье описываются параметры, управляющие подключением к серверу для Базы данных SQL Azure и выделенного пула SQL (ранее — SQL DW) в Azure Synapse Analytics.

  • Дополнительные сведения о различных компонентах, которые направляют сетевой трафик и политики подключения, см . в архитектуре подключения.
  • Эта статья не относится к Управляемый экземпляр SQL Azure, вместо этого см. статью "Подключение приложения к Управляемый экземпляр SQL Azure".
  • Эта статья не относится к выделенным пулам SQL в рабочих областях Azure Synapse Analytics. Руководство по настройке правил брандмауэра для IP-адресов для Azure Synapse Analytics с помощью рабочих областей см. в этой статье.

Сеть или подключение

Эти параметры можно изменить на логическом сервере. Логический сервер SQL Server может размещать как базы данных SQL Azure, так и автономные выделенные пулы SQL, а не в рабочей области Azure Synapse Analytics.

Примечание.

Эти параметры применяются к базам данных SQL Azure и выделенным пулам SQL (ранее — хранилище данных SQL), связанным с логическим сервером. Эти инструкции не применяются к выделенным пулам SQL в рабочей области Аналитики Azure Synapse.

Снимок экрана: параметры брандмауэров и виртуальных сетей в портал Azure для SQL Server.

Изменение доступа к общедоступной сети

Вы можете изменить доступ к общедоступной сети для вашего База данных SQL Azure или автономного выделенного пула SQL с помощью портал Azure, Azure PowerShell и Azure CLI.

Примечание.

Эти параметры вступают в силу сразу же после применения. Ваши клиенты могут столкнуться с потерей подключения, если они не соответствуют требованиям для каждого параметра.

Чтобы включить доступ к общедоступной сети для логического сервера, на котором размещены базы данных, выполните следующие действия.

  1. Перейдите к портал Azure и перейдите на логический сервер в Azure.
  2. В разделе "Безопасность" выберите страницу "Сеть ".
  3. Перейдите на вкладку "Общедоступный доступ" и установите для параметра "Выбор сетей" доступ к общедоступной сети.

На этой странице можно добавить правило виртуальной сети, а также настроить правила брандмауэра для общедоступной конечной точки.

Выберите вкладку "Закрытый доступ", чтобы настроить частную конечную точку.

Запретить доступ из общедоступной сети

Значение по умолчанию для параметра доступа к общедоступной сети — Disable. Клиенты могут подключаться к базе данных с помощью общедоступных конечных точек (с правилами брандмауэра на уровне IP-адресов или с правилами брандмауэра виртуальной сети) или частными конечными точками (с помощью Приватный канал Azure), как описано в обзоре сетевого доступа.

Если для общедоступного сетевого доступа задано значение Disable, разрешены только подключения из частных конечных точек. Все подключения из общедоступных конечных точек будут отклонены с сообщением об ошибке, аналогичным:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Если для общедоступного сетевого доступа задано значение Disable, любые попытки добавить, удалить или изменить правила брандмауэра будут отклонены с сообщением об ошибке, аналогичным:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Убедитесь, что для доступа к общедоступной сети задано значение "Выбранные сети", чтобы иметь возможность добавлять, удалять или изменять правила брандмауэра для База данных SQL Azure и Azure Synapse Analytics.

Минимальная версия TLS

Минимальный параметр версии TLS позволяет клиентам выбрать версию TLS, которую использует база данных SQL. Минимальную версию TLS можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

В настоящее время База данных SQL Azure поддерживает TLS 1.0, 1.1, 1.2 и 1.3. Установка минимальной версии TLS гарантирует, что поддерживаются более новые версии TLS. Например, при выборе версии TLS 1.1 принимаются только соединения по TLS 1.1 и 1.2, а соединения по TLS 1.0 отклоняются. По завершении тестирования, призванного подтвердить, что приложения его поддерживают, рекомендуется установить минимальную версию TLS 1.2. Эта версия включает исправления уязвимостей, обнаруженных в предыдущих версиях, и является максимальной версией TLS, поддерживаемой в базе данных SQL Azure.

Предстоящие изменения выхода на пенсию

Azure объявила, что поддержка старых версий TLS (TLS 1.0 и 1.1) заканчивается 31 августа 2025 г. Дополнительные сведения см. в статье TLS 1.0 и 1.1.

Начиная с ноября 2024 г. вы больше не сможете задать минимальную версию TLS для База данных SQL Azure и клиентских подключений Azure Synapse Analytics ниже TLS 1.2.

Настройка минимальной версии TLS

Минимальную версию TLS для клиентских подключений можно настроить с помощью портал Azure, Azure PowerShell или Azure CLI.

Внимание

  • Значение по умолчанию для минимальной версии TLS — "Разрешить все версии". После применения версии TLS невозможно вернуться к значениям по умолчанию.
  • Принудительное применение протокола TLS 1.3 может вызвать проблемы с подключениями от клиентов, которые не поддерживают TLS 1.3, так как не все драйверы и операционные системы поддерживают TLS 1.3.

Для заказчиков, использующих приложения, которые применяют более ранние версии TLS, рекомендуется указывать минимальную версию TLS в соответствии с требованиями конкретного приложения. Если требования к приложению неизвестны или рабочие нагрузки используют старые драйверы, которые больше не поддерживаются, рекомендуется не устанавливать минимальную версию TLS.

Дополнительные сведения см. в разделе Рекомендации по использованию протокола TLS для подключения к базе данных SQL.

После установки минимальной версии TLS клиенты, использующие версию TLS ниже минимальной версии TLS сервера, не смогут пройти проверку подлинности с следующей ошибкой:

Error 47072
Login failed with invalid TLS version

Примечание.

Минимальная версия TLS применяется на уровне приложения. Средства, пытающиеся определить поддержку TLS на уровне протокола, могут возвращать версии TLS в дополнение к минимальной требуемой версии при выполнении непосредственно с конечной точкой База данных SQL.

  1. Перейдите к портал Azure и перейдите на логический сервер в Azure.
  2. В разделе "Безопасность" выберите страницу "Сеть ".
  3. Перейдите на вкладку "Подключение". Выберите минимальную версию TLS, необходимую для всех баз данных, связанных с сервером, и нажмите кнопку "Сохранить".

Снимок экрана: вкладка

Определение клиентских подключений

Журналы аудита портал Azure и SQL можно использовать для идентификации клиентов, подключающихся с помощью TLS 1.0 и 1.0.

В портал Azure перейдите к метрикам в разделе "Мониторинг для ресурса базы данных", а затем отфильтруйте по успешным подключениям и версиям = 1.0 TLS и1.1:

Снимок экрана: страница монтирования ресурса базы данных в портал Azure с отфильтрованными подключениями tls 1.0 и 1.1.

Вы также можете запросить sys.fn_get_audit_file непосредственно в базе данных, чтобы просмотреть его client_tls_version_name в файле аудита:

Снимок экрана: результат запроса файла аудита с подключениями версии TLS.

Изменение политики подключения

Политика подключения определяет, как клиенты подключаются. Чтобы задержка была минимальной, а пропускная способность высокой, настоятельно рекомендуется использовать политику перенаправления подключения Redirect через политику подключения Proxy.

Политику подключения можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

Можно изменить политику подключения для логического сервера с помощью портал Azure.

  1. Перейдите на портал Azure. Перейдите на логический сервер в Azure.
  2. В разделе "Безопасность" выберите страницу "Сеть ".
  3. Перейдите на вкладку "Подключение ". Выберите нужную политику подключения и нажмите кнопку "Сохранить".

Снимок экрана: вкладка