Правила брандмауэра для исходящего трафика Базы данных SQL Azure и Azure Synapse Analytics

Область применения: База данных SQL AzureAzure Synapse Analytics (только выделенные пулы SQL)

Правила брандмауэра для исходящего трафика ограничивают сетевой трафик, отправляемый с логического сервера Azure SQL в учетные записи службы хранилища Azure и на логические серверы Azure SQL Azure, с помощью определяемого клиентом списка. Любая попытка доступа к учетным записям хранения или базам данных с ресурсов, не входящих в этот список, отклоняется. Эта возможность поддерживается для следующих функций Базы данных SQL Azure:

• Аудит
• Оценка уязвимостей
• Служба импорта и экспорта
• OPENROWSET
• Массовая вставка
• sp_invoke_external_rest_endpoint

Внимание

• Эта статья применима к Базе данных Azure SQL и выделенному пулу SQL (ранее — SQL DW) в Azure Synapse Analytics. Эти параметры применяются ко всем базам данных Базы данных SQL Azure и выделенного пула SQL (ранее SQL DW), связанным с сервером. Для простоты термин "база данных" применяется к обеим из них. Аналогичным образом, сервером называется логический экземпляр SQL Server, на котором размещены База данных SQL Azure выделенный пул SQL (ранее — SQL DW) в Azure Synapse Analytics. Эта статья не применима к Управляемому экземпляру SQL Azure или выделенным пулам SQL в рабочих областях Azure Synapse Analytics.
• Правила брандмауэра для исходящего трафика определяются на логическом сервере. Для георепликации и групп отработки отказа требуется один и тот же набор правил для определения основного и всех вторичных файлов.

Настройка правил брандмауэра для исходящего трафика на портале Azure

1. Перейдите к разделу "Исходящие сети" в области "Брандмауэры и виртуальные сети" для База данных SQL Azure и выберите "Настроить ограничения исходящей сети".

   

   Откроется следующая панель в правой части:

   

2. Установите флажок Restrict outbound networking (Ограничить исходящий сетевой трафик) и добавьте полные доменные имена нужных учетных записей службы хранилища (или баз данных SQL) с помощью кнопки Add domain (Добавить домен).

   

3. Завершив ввод данных, вы увидите примерно такую информацию на экране. Чтобы применить эти параметры, щелкните ОК.

   

Настройка правил брандмауэра для исходящего трафика с помощью PowerShell

Внимание

Модуль PowerShell Azure Resource Manager (AzureRM) был объявлен устаревшим с 29 февраля 2024 г. Все будущие разработки должны использовать модуль Az.Sql. Пользователям рекомендуется выполнить миграцию из AzureRM в модуль Az PowerShell, чтобы обеспечить постоянную поддержку и обновления. Модуль AzureRM больше не поддерживается и не сопровождается. Аргументы команд в модуле Az PowerShell и в модулях AzureRM существенно идентичны. Дополнительные сведения о совместимости см. в статье Знакомство с новым модулем Az PowerShell.

Для работы следующего сценария требуется модуль Azure PowerShell.

В следующем скрипте PowerShell показано, как изменить параметры исходящей сети (с помощью свойства RestrictOutboundNetworkAccess):

# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess

# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force

Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString  -RestrictOutboundNetworkAccess "Enabled"

Используйте эти командлеты PowerShell для настройки правил брандмауэра для исходящего трафика

# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>

# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1

# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>

Настройка правил брандмауэра для исходящего трафика с помощью Azure CLI

Внимание

Для всех скриптов в этом разделе требуется Azure CLI.

Azure CLI в оболочке Bash

В следующем скрипте CLI показано, как изменить исходящий сетевой параметр (с помощью свойства restrictOutboundNetworkAccess ) в оболочке bash:

# Get current setting for Outbound Networking 
az sql server show -n sql-server-name -g sql-server-group --query "restrictOutboundNetworkAccess"

# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set restrictOutboundNetworkAccess="Enabled"

Используйте эти команды CLI для настройки правил брандмауэра для исходящего трафика

# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name

# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN

Следующие шаги

• Общие сведения о методах защиты Базы данных SQL Azure см. в этой статье.
• Общие сведения об архитектуре подключений к Базе данных SQL Azure см. в этой статье.
• См. статью Средства контроля сетевого доступа базы данных SQL Azure и Azure Synapse Analytics.
• См. статью Приватный канал Azure для базы данных SQL Azure и Azure Synapse Analytics.