nastavení Připojení ivity pro Azure SQL Database a Azure Synapse Analytics
Platí pro:Azure SQL DatabaseAzure Synapse Analytics (pouze vyhrazené fondy SQL)
Tento článek představuje nastavení, která řídí připojení k serveru pro Azure SQL Database a vyhrazený fond SQL (dříve SQL DW) ve službě Azure Synapse Analytics.
- Další informace o různých komponentách, které směrují zásady síťového provozu a připojení, najdete v tématu Architektura připojení.
- Tento článek se nevztahuje na spravovanou instanci Azure SQL, místo toho se podívejte na Připojení vaší aplikace do služby Azure SQL Managed Instance.
- Tento článek se nevztahuje na vyhrazené fondy SQL v pracovních prostorech Azure Synapse Analytics. Pokyny ke konfiguraci pravidel brány firewall protokolu IP pro Azure Synapse Analytics pro Azure Synapse Analytics s pracovními prostory najdete v pravidlech brány firewall protokolu IP.
Sítě a možnosti připojení
Tato nastavení platí pro všechny databáze SQL Database a vyhrazené databáze SQL (dříve SQL DW) přidružené k serveru. Tato nastavení můžete změnit na kartě Sítě logického serveru:
Změna přístupu k veřejné síti
Přístup k veřejné síti je možné změnit prostřednictvím webu Azure Portal, Azure PowerShellu a Azure CLI.
Pokud chcete povolit přístup k veřejné síti pro logický server hostující vaše databáze, přejděte na stránku Sítě na webu Azure Portal pro váš logický server v Azure, zvolte kartu Veřejný přístup a nastavte přístup k veřejné síti na Možnost Vybrat sítě.
Na této stránce můžete přidat pravidlo virtuální sítě a také nakonfigurovat pravidla brány firewall pro váš veřejný koncový bod.
Zvolte kartu Privátní přístup a nakonfigurujte privátní koncový bod.
Poznámka:
Tato nastavení se projeví hned po jejich použití. Vaši zákazníci můžou zaznamenat ztrátu připojení, pokud nesplňují požadavky na každé nastavení.
Odepření přístupu k veřejné síti
Výchozí nastavení přístupu k veřejné síti je Zakázat. Zákazníci se můžou k databázi připojit buď pomocí veřejných koncových bodů (s pravidly brány firewall na úrovni protokolu IP nebo s pravidly brány firewall virtuální sítě), nebo privátními koncovými body (pomocí služby Azure Private Link), jak je uvedeno v přehledu přístupu k síti.
Pokud je přístup k veřejné síti nastavený na Zakázat, jsou povolená pouze připojení z privátních koncových bodů. Všechna připojení z veřejných koncových bodů budou odepřena s chybovou zprávou podobnou této:
Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.
Pokud je přístup k veřejné síti nastavený na Zakázat, všechny pokusy o přidání, odebrání nebo úpravu pravidel brány firewall budou odepřeny s chybovou zprávou podobnou této:
Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.
Ujistěte se, že je přístup k veřejné síti nastavený na vybrané sítě , aby bylo možné přidávat, odebírat nebo upravovat všechna pravidla brány firewall pro Azure SQL Database a Azure Synapse Analytics.
Minimální verze protokolu TLS
Minimální nastavení verze protokolu TLS (Transport Layer Security) umožňuje zákazníkům zvolit, kterou verzi protokolu TLS používá jejich databáze SQL. Minimální verzi protokolu TLS je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.
V současné době podporujeme protokoly TLS 1.0, 1.1 a 1.2. Nastavení minimální verze protokolu TLS zajišťuje podporu novějších verzí protokolu TLS. Například výběrem protokolu TLS verze 1.1 se zajistí, že se budou přijímat pouze připojení přes protokol TLS 1.1 a 1.2 a připojení přes protokol TLS 1.0 se budou zamítat. Po otestování, že vaše aplikace podporují protokol TLS 1.2, doporučujeme nastavit minimální verzi protokolu TLS na tuto verzi. Tato verze obsahuje opravy ohrožení zabezpečení v předchozích verzích a představuje nejvyšší podporovanou verzi protokolu TLS ve službě Azure SQL Database.
Důležité
Výchozí hodnota minimální verze protokolu TLS je povolení všech verzí. Jakmile povolíte vynucování verze protokolu TLS, není možné se vrátit k výchozímu nastavení.
Zákazníkům s aplikacemi, které se spoléhají na starší verze protokolu TLS, doporučujeme nastavit minimální verzi protokolu TLS podle požadavků konkrétních aplikací. Pokud jsou požadavky na aplikace neznámé nebo úlohy spoléhají na starší ovladače, které už nejsou zachovány, doporučujeme nenastavovat minimální verzi protokolu TLS.
Další informace najdete v tématu Důležité informace o protokolu TLS pro připojení ke službě SQL Database.
Po nastavení minimální verze protokolu TLS se zákazníkům, kteří používají nižší verzi protokolu TLS, než je minimální verze protokolu TLS serveru, nepodaří ověřit s následující chybou:
Error 47072
Login failed with invalid TLS version
Poznámka:
Při konfiguraci minimální verze protokolu TLS se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu protokolu TLS ve vrstvě protokolu, můžou kromě minimální požadované verze při spuštění přímo na koncový bod služby SQL Database vracet i verze PROTOKOLU TLS.
Na webu Azure Portal přejděte k prostředku SQL Serveru . V části Nastavení zabezpečení vyberte Sítě a pak zvolte kartu Připojení ivity. Vyberte minimální verzi protokolu TLS požadovanou pro všechny databáze přidružené k serveru a vyberte Uložit.
Změna zásad připojení
zásady Připojení ion určují, jak se zákazníci připojují ke službě Azure SQL Database.
Důrazně doporučujeme, aby Redirect
zásady připojení přes Proxy
zásady připojení byly nejnižší latence a nejvyšší propustnost.
Zásady připojení je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.
Zásady připojení pro logický server je možné změnit pomocí webu Azure Portal.
Na webu Azure Portal přejděte k prostředku SQL Serveru . V části Nastavení zabezpečení vyberte Sítě a pak zvolte kartu Připojení ivity. Zvolte požadovanou zásadu připojení a vyberte Uložit.
Související obsah
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat Problémy GitHubu jako mechanismus zpětné vazby pro obsah a nahradíme ho novým systémem zpětné vazby. Další informace najdete tady:Odeslat a zobrazit názory pro