Az Azure SQL Database és az Azure Synapse Analytics csatlakozási beállításai
A következőkre vonatkozik:
Azure SQL DatabaseAzure Synapse Analytics (csak dedikált SQL-készletek)
Ez a cikk olyan beállításokat mutat be, amelyek az Azure SQL Database kiszolgálója és dedikált SQL-készlet (korábban SQL DW) az Azure Synapse Analyticsben.
- A hálózati forgalmat és kapcsolati szabályzatokat irányító különböző összetevőkről további információt kapcsolati architektúracímű témakörben talál.
- Ez a cikk nem vonatkozik a felügyelt Azure SQL-példányokra, ehelyett tekintse meg Az alkalmazás csatlakoztatása felügyelt Azure SQL-példányhoz.
- Ez a cikk nem vonatkozik az Azure Synapse Analytics-munkaterületeken található dedikált SQL-készletekre. Tekintse meg a Azure Synapse Analytics IP-tűzfalszabályokat tartalmazó útmutatót az Azure Synapse Analytics IP-tűzfalszabályainak munkaterületekkel történő konfigurálásához.
Hálózatkezelés és kapcsolat
Ezeket a beállításokat módosíthatja a logikai szerver. A logikai SQL-kiszolgálók azure SQL-adatbázisokat és különálló dedikált SQL-készleteket is üzemeltethetnek, nem Azure Synapse Analytics-munkaterületen.
Jegyzet
Ezek a beállítások a logikai kiszolgálóhoz társított Azure SQL-adatbázisokra és dedikált SQL-készletekre (korábban SQL DW) vonatkoznak. Ezek az utasítások nem vonatkoznak az Azure Synapse Analytics-munkaterület dedikált SQL-készleteire.
Nyilvános hálózati hozzáférés módosítása
Az Azure SQL Database vagy az önálló dedikált SQL-készlet nyilvános hálózati hozzáférését az Azure Portalon, az Azure PowerShellen és az Azure CLI-en keresztül módosíthatja.
Jegyzet
Ezek a beállítások közvetlenül az alkalmazásuk után lépnek érvénybe. Az ügyfelek kapcsolatvesztést tapasztalhatnak, ha nem felelnek meg az egyes beállítások követelményeinek.
Az adatbázisokat üzemeltető logikai kiszolgáló nyilvános hálózati hozzáférésének engedélyezése:
- Nyissa meg az Azure portálot, és lépjen a logikai kiszolgálóra az Azure-ben.
- A Biztonságiterületen válassza a Hálózatkezelés lapot.
- Válassza a Nyilvános hozzáférés lapot, majd állítsa a Nyilvános hálózati hozzáféréstHálózatok kijelöléselehetőségre.
Ezen a lapon hozzáadhat egy virtuális hálózati szabályt, valamint konfigurálhat tűzfalszabályokat a nyilvános végponthoz.
Válassza a Privát hozzáférés lapot egy privát végpontkonfigurálásához.
Nyilvános hálózati hozzáférés megtagadása
A nyilvános hálózati hozzáférés beállítás alapértelmezett értéke Tiltsa le. Az ügyfelek dönthetnek úgy, hogy nyilvános végpontokkal (IP-alapú kiszolgálószintű tűzfalszabályokkal vagy virtuális hálózati tűzfalszabályokkal) vagy privát végpontokkal (az Azure Private Link használatával) csatlakoznak az adatbázishoz a hálózati hozzáférés áttekintése.
Amikor a nyilvános hálózati hozzáférésLetiltvavan beállítva, csak a privát végpontokról érkező kapcsolatok engedélyezettek. A nyilvános végpontokról érkező összes kapcsolatot a rendszer a következőhöz hasonló hibaüzenettel tagadja meg:
Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.
Amikor a nyilvános hálózati hozzáférés a Letiltásravan állítva, a tűzfalszabályok hozzáadására, eltávolítására vagy szerkesztésére tett kísérleteket a következőhöz hasonló hibaüzenet fogja elutasítani:
Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.
Győződjön meg arról, hogy a nyilvános hálózati hozzáférés a kijelölt hálózatokra van beállítva, így lehetősége van az Azure SQL Database és az Azure Synapse Analytics tűzfalszabályait hozzáadni, eltávolítani vagy szerkeszteni.
Minimális TLS-verzió
A minimális Transport Layer Security (TLS) verzióbeállítás lehetővé teszi az ügyfelek számára, hogy eldöntsék, melyik TLS-verziót használják az SQL-adatbázisuk. A minimális TLS-verzió az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.
Az Azure SQL Database jelenleg a TLS 1.0, 1.1, 1.2 és 1.3 használatát támogatja. A minimális TLS-verzió beállítása biztosítja, hogy az újabb TLS-verziók támogatottak legyenek. A TLS 1.1-es verziójának kiválasztása például azt jelenti, hogy csak a TLS 1.1-es és 1.2-es kapcsolatait fogadják el, a TLS 1.0-val való kapcsolatokat pedig elutasítják. Miután tesztelte, hogy az alkalmazások támogatják-e, javasoljuk, hogy állítsa a minimális TLS-verziót 1.3-ra. Ez a verzió a korábbi verziók biztonsági réseinek javítását tartalmazza, és az Azure SQL Database-ben támogatott legmagasabb TLS-verzió.
Közelgő nyugdíjváltozások
Az Azure bejelentette, hogy a régebbi TLS-verziók (TLS 1.0 és 1.1) támogatása 2025. augusztus 31-ig tart. További információért lásd: A TLS 1.0 és 1.1 elavulása.
2024 novemberétől kezdve már nem tudja beállítani az Azure SQL Database és az Azure Synapse Analytics-ügyfélkapcsolatok minimális TLS-verzióját a TLS 1.2 alatt.
A TLS minimális verziójának konfigurálása
Az ügyfélkapcsolatok minimális TLS-verzióját az Azure Portal, az Azure PowerShell vagy az Azure CLI használatával konfigurálhatja.
Vigyázat
- A minimális TLS-verzió alapértelmezett értéke az összes verzió engedélyezése. A TLS egy verziójának kényszerítése után nem lehet visszaállítani az alapértelmezett értéket.
- A TLS 1.3 minimális rendszerének kényszerítése problémákat okozhat a TLS 1.3-at nem támogató ügyfelek kapcsolatainál, mivel nem minden illesztőprogram és operációs rendszer támogatja a TLS 1.3-at.
A TLS régebbi verzióira támaszkodó alkalmazásokkal rendelkező ügyfelek számára javasoljuk, hogy az alkalmazások követelményeinek megfelelően állítsa be a minimális TLS-verziót. Ha az alkalmazáskövetelmények ismeretlenek, vagy a számítási feladatok régebbi, már nem karbantartott illesztőprogramokra támaszkodnak, javasoljuk, hogy ne állítsunk be minimális TLS-verziót.
További információért lásd a(z) TLS szempontok az SQL adatbázis-kapcsolatára vonatkozóan.
A minimális TLS-verzió beállítása után a kiszolgáló minimális TLS-verziójánál alacsonyabb TLS-verziót használó ügyfelek hitelesítése sikertelen lesz, az alábbi hibával:
Error 47072
Login failed with invalid TLS version
Jegyzet
A minimális TLS-verziót az alkalmazásrétegen kényszeríti ki a rendszer. Azok az eszközök, amelyek megkísérlik meghatározni a TLS-támogatást a protokollrétegen, a minimális szükséges verzió mellett TLS-verziókat is visszaadhatnak, ha közvetlenül az SQL Database-végponton futnak.
- Nyissa meg az Azure portálot, és lépjen a logikai kiszolgálóra az Azure-ben.
- A Biztonságiterületen válassza a Hálózatkezelés lapot.
- Válassza a Kapcsolatkezelés lapot. Válassza ki a kiszolgálóhoz társított összes adatbázishoz a minimális TLS-verziót, majd válassza a Mentéslehetőséget.
Ügyfélkapcsolatok azonosítása
Az Azure Portal és az SQL auditnaplói segítségével azonosíthatja a TLS 1.0 és 1.0 használatával csatlakozó ügyfeleket.
Az Azure Portalon nyissa meg az adatbázis-erőforrás Monitorozási területén Metrikákat, majd szűrjön Sikeres kapcsolatok, valamint TLS-verziók = 1.0 és 1.1szerint:
Közvetlenül az adatbázisban is lekérdezheti a sys.fn_get_audit_file, hogy megtekinthesse az client_tls_version_name az audit fájlban.
A kapcsolati szabályzat módosítása
kapcsolati szabályzat határozza meg, hogyan csatlakoznak az ügyfelek. Nagyon ajánljuk a Redirect kapcsolati szabályzatot a Proxy kapcsolati szabályzattal szemben a legalacsonyabb késleltetés és legnagyobb adatátvitel érdekében.
A kapcsolati szabályzat az Azure Portal, az Azure PowerShell és az Azure CLI használatával módosítható.
Az Azure Portal használatával módosíthatja a logikai kiszolgáló kapcsolati szabályzatát.
- Nyissa meg az Azure Portalt. Lépjen az Azurerendszeren belüli
logikai szerverhez. - A Biztonságiterületen válassza a Hálózatkezelés lapot.
- Válassza a Kapcsolat lapot. Válassza ki a kívánt kapcsolati szabályzatot, és válassza a Mentéslehetőséget.
