Anslutningsinställningar för Azure SQL Database och Azure Synapse Analytics

gäller för:Azure SQL DatabaseAzure Synapse Analytics (endast dedikerade SQL-pooler)

I den här artikeln beskrivs inställningar som styr anslutningen till servern för Azure SQL Database och dedikerad SQL-pool (tidigare SQL DW) i Azure Synapse Analytics.

• Mer information om olika komponenter som dirigerar nätverkstrafik och anslutningsprinciper finns i anslutningsarkitektur.
• Den här artikeln gäller inte för Azure SQL Managed Instance, i stället kan du läsa Ansluta ditt program till Azure SQL Managed Instance.
• Den här artikeln gäller inte för dedikerade SQL-pooler på Azure Synapse Analytics-arbetsytor. Se IP-brandväggsregler för vägledning om hur du konfigurerar IP-brandväggsregler för Azure Synapse Analytics med arbetsytor.

Nätverk och anslutning

Du kan ändra de här inställningarna i din logiska server. En logisk SQL-server kan vara värd för både Azure SQL-databaser och fristående dedikerade SQL-pooler som inte finns på en Azure Synapse Analytics-arbetsyta.

Not

De här inställningarna gäller för Azure SQL-databaser och dedikerade SQL-pooler (tidigare SQL DW) som är associerade med den logiska servern. De här anvisningarna gäller inte för dedikerade SQL-pooler på en Azure Synapse-analysarbetsyta.

Ändra åtkomst till offentligt nätverk

Det går att ändra åtkomsten till det offentliga nätverket för din Azure SQL Database eller en fristående dedikerad SQL-pool via Azure-portalen, Azure PowerShell och Azure CLI.

Anteckning

De här inställningarna börjar gälla omedelbart efter att de har tillämpats. Dina kunder kan uppleva anslutningsförlust om de inte uppfyller kraven för varje inställning.

Portal

Så här aktiverar du offentlig nätverksåtkomst för den logiska server som är värd för dina databaser:

1. Gå till Azure-portalen och gå till den logiska servern i Azure.
2. Under Securityväljer du sidan Nätverk.
3. Välj fliken Offentlig åtkomst och ange sedan Åtkomst till offentligt nätverk till Välj nätverk.

På den här sidan kan du lägga till en regel för virtuellt nätverk samt konfigurera brandväggsregler för din offentliga slutpunkt.

Välj fliken Privat åtkomst för att konfigurera en privat slutpunkt.

PowerShell

Det går att ändra åtkomsten till det offentliga nätverket med hjälp av Azure PowerShell.

Viktig

Modulen Az ersätter AzureRM. All framtida utveckling gäller för modulen Az.Sql. Följande skript kräver Azure PowerShell-modulen.

Följande PowerShell-skript visar hur du Get och Set egenskapen offentlig nätverksåtkomst på servernivån:

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Azure CLI

Det går att ändra inställningarna för det offentliga nätverket med hjälp av Azure CLI-.

Följande CLI-skript visar hur du ändrar inställningen offentlig nätverksåtkomst i ett Bash-gränssnitt:

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Neka åtkomst till offentligt nätverk

Standardinställningen för offentlig nätverksåtkomst är Inaktivera. Kunder kan välja att ansluta till en databas med antingen offentliga slutpunkter (med IP-baserade brandväggsregler på servernivå eller med brandväggsregler för virtuella nätverk) eller privata slutpunkter (med hjälp av Azure Private Link), enligt beskrivningen i översikt över nätverksåtkomst.

När åtkomst till offentligt nätverk är inställd på Inaktiveratillåts endast anslutningar från privata slutpunkter. Alla anslutningar från offentliga slutpunkter nekas med ett felmeddelande som liknar:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

När åtkomst till offentligt nätverk har angetts till Inaktiveranekas alla försök att lägga till, ta bort eller redigera brandväggsregler med ett felmeddelande som liknar:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Se till att åtkomst till offentliga nätverk är inställd på Valda nätverk att kunna lägga till, ta bort eller redigera brandväggsregler för Azure SQL Database och Azure Synapse Analytics.

Lägsta TLS-version

Den minsta TLS(Transport Layer Security) version gör att kunderna kan välja vilken version av TLS deras SQL-databas använder. Du kan ändra den lägsta TLS-versionen med hjälp av Azure-portalen, Azure PowerShell och Azure CLI.

För närvarande stöder Azure SQL Database TLS 1.0, 1.1, 1.2 och 1.3. Om du anger en lägsta TLS-version ser du till att nyare TLS-versioner stöds. Om du till exempel väljer TLS version 1.1 innebär det att endast anslutningar med TLS 1.1 och 1.2 accepteras och anslutningar med TLS 1.0 avvisas. När du har testat för att bekräfta att dina program stöder det rekommenderar vi att du anger den lägsta TLS-versionen till 1.3. Den här versionen innehåller korrigeringar för säkerhetsrisker i tidigare versioner och är den högsta versionen av TLS som stöds i Azure SQL Database.

Kommande pensionsändringar

Azure har meddelat att stödet för äldre TLS-versioner (TLS 1.0 och 1.1) slutar den 31 augusti 2025. För mer information, se utfasning av TLS 1.0 och 1.1.

Från och med november 2024 kommer du inte längre att kunna ange den lägsta TLS-versionen för Azure SQL Database- och Azure Synapse Analytics-klientanslutningar under TLS 1.2.

Konfigurera lägsta TLS-version

Du kan konfigurera den lägsta TLS-versionen för klientanslutningar med hjälp av Azure-portalen, Azure PowerShell eller Azure CLI.

Försiktighet

• Standardvärdet för den minimala TLS-versionen är att tillåta alla versioner. När du har tillämpat en version av TLS går det inte att återgå till standardvärdet.
• Om du framtvingar minst TLS 1.3 kan det orsaka problem för anslutningar från klienter som inte stöder TLS 1.3 eftersom inte alla drivrutiner och operativsystem stöder TLS 1.3.

För kunder med program som förlitar sig på äldre versioner av TLS rekommenderar vi att du ställer in den lägsta TLS-versionen enligt kraven i dina program. Om programkraven är okända eller om arbetsbelastningar förlitar sig på äldre drivrutiner som inte längre underhålls rekommenderar vi att du inte anger någon minimal TLS-version.

Mer information finns i TLS-överväganden för SQL Database-anslutning.

När du har angett den lägsta TLS-versionen kan kunder som använder en TLS-version som är lägre än den lägsta TLS-versionen av servern inte autentiseras, med följande fel:

Error 47072
Login failed with invalid TLS version

Notera

Den lägsta TLS-versionen tillämpas på programlagret. Verktyg som försöker fastställa TLS-stöd på protokolllagret kan returnera TLS-versioner utöver den lägsta version som krävs när de körs direkt mot SQL Database-slutpunkten.

Portal

1. Gå till Azure-portalen och gå till den logiska servern i Azure.
2. Under Securityväljer du sidan Nätverk.
3. Välj fliken Anslutning. Välj den lägsta TLS-version önskade för alla databaser som är associerade med servern och välj Spara.

PowerShell

Du kan ändra den lägsta TLS-versionen med hjälp av Azure PowerShell.

Viktig

Modulen Az ersätter AzureRM. All framtida utveckling gäller för modulen Az.Sql. Följande skript kräver Azure PowerShell-modulen.

Följande PowerShell-skript visar hur du Get egenskapen Minimal TLS-version på logikservernivån:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

För att Set egenskapen Minimal TLS-version på den logiska servernivån, ersätt ditt SQL-administratörslösenord med strong_password_here_passwordoch kör:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Azure CLI

Du kan ändra de minsta TLS-inställningarna med hjälp av Azure CLI.

Viktig

Alla skript i det här avsnittet kräver Azure CLI-.

Följande CLI-skript visar hur du ändrar inställningen Minimal TLS-version i ett Bash-gränssnitt:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identifiera klientanslutningar

Du kan använda Azure-portalen och SQL-granskningsloggar för att identifiera klienter som ansluter med TLS 1.0 och 1.0.

I Azure-portalen går du till Mått under Övervakning för databasresursen och filtrerar sedan efter Lyckade anslutningaroch TLS-versioner = 1.0 och 1.1:

Du kan också göra en fråga sys.fn_get_audit_file direkt i din databas för att visa client_tls_version_name i granskningsfilen.

Ändra anslutningsprincipen

Anslutningsprincip avgör hur kunder ansluter. Vi rekommenderar starkt Redirect anslutningsprincip över Proxy-anslutningsprincipen för lägsta svarstid och högsta dataflöde.

Det går att ändra anslutningsprincipen med hjälp av Azure-portalen, Azure PowerShell och Azure CLI.

Portal

Det går att ändra din anslutningsprincip för den logiska servern med hjälp av Azure-portalen.

1. Gå till Azure-portalen. Gå till den logiska servern i Azure.
2. Under Securityväljer du sidan Nätverk.
3. Välj fliken Anslutning. Välj önskad anslutningsprincip och välj Spara.

PowerShell

Det går att ändra anslutningsprincipen för den logiska servern med hjälp av Azure PowerShell.

Viktig

Modulen Az ersätter AzureRM. All framtida utveckling gäller för modulen Az.Sql. Följande skript kräver Azure PowerShell-modulen.

Följande PowerShell-skript visar hur du ändrar anslutningsprincipen med hjälp av PowerShell:

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

Azure CLI

Det går att ändra anslutningsprincipen för den logiska servern med hjälp av Azure CLI.

Viktig

Alla skript i det här avsnittet kräver Azure CLI-.

Azure CLI i ett Bash-gränssnitt

Följande CLI-skript visar hur du ändrar anslutningsprincipen i ett Bash-gränssnitt:

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

Azure CLI från en Windows-kommandotolk

Följande CLI-skript visar hur du ändrar anslutningsprincipen från en Windows-kommandotolk (med Azure CLI installerat):

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Relaterat innehåll

• Anslutningsarkitektur för Azure SQL Database och Azure Synapse Analytics
• conn-policy