nastavení Připojení ivity pro Azure SQL Database a Azure Synapse Analytics

Platí pro:Azure SQL DatabaseAzure Synapse Analytics (pouze vyhrazené fondy SQL)

Tento článek představuje nastavení, která řídí připojení k serveru pro Azure SQL Database a vyhrazený fond SQL (dříve SQL DW) ve službě Azure Synapse Analytics.

Sítě a možnosti připojení

Tato nastavení platí pro všechny databáze SQL Database a vyhrazené databáze SQL (dříve SQL DW) přidružené k serveru. Tato nastavení můžete změnit na kartě Sítě logického serveru:

Screenshot of the Firewalls and virtual networks settings in Azure portal for SQL server.

Změna přístupu k veřejné síti

Přístup k veřejné síti je možné změnit prostřednictvím webu Azure Portal, Azure PowerShellu a Azure CLI.

Pokud chcete povolit přístup k veřejné síti pro logický server hostující vaše databáze, přejděte na stránku Sítě na webu Azure Portal pro váš logický server v Azure, zvolte kartu Veřejný přístup a nastavte přístup k veřejné síti na Možnost Vybrat sítě.

Na této stránce můžete přidat pravidlo virtuální sítě a také nakonfigurovat pravidla brány firewall pro váš veřejný koncový bod.

Zvolte kartu Privátní přístup a nakonfigurujte privátní koncový bod.

Poznámka:

Tato nastavení se projeví hned po jejich použití. Vaši zákazníci můžou zaznamenat ztrátu připojení, pokud nesplňují požadavky na každé nastavení.

Odepření přístupu k veřejné síti

Výchozí nastavení přístupu k veřejné síti je Zakázat. Zákazníci se můžou k databázi připojit buď pomocí veřejných koncových bodů (s pravidly brány firewall na úrovni protokolu IP nebo s pravidly brány firewall virtuální sítě), nebo privátními koncovými body (pomocí služby Azure Private Link), jak je uvedeno v přehledu přístupu k síti.

Pokud je přístup k veřejné síti nastavený na Zakázat, jsou povolená pouze připojení z privátních koncových bodů. Všechna připojení z veřejných koncových bodů budou odepřena s chybovou zprávou podobnou této:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Pokud je přístup k veřejné síti nastavený na Zakázat, všechny pokusy o přidání, odebrání nebo úpravu pravidel brány firewall budou odepřeny s chybovou zprávou podobnou této:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Ujistěte se, že je přístup k veřejné síti nastavený na vybrané sítě , aby bylo možné přidávat, odebírat nebo upravovat všechna pravidla brány firewall pro Azure SQL Database a Azure Synapse Analytics.

Minimální verze protokolu TLS

Minimální nastavení verze protokolu TLS (Transport Layer Security) umožňuje zákazníkům zvolit, kterou verzi protokolu TLS používá jejich databáze SQL. Minimální verzi protokolu TLS je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.

V současné době podporujeme protokoly TLS 1.0, 1.1 a 1.2. Nastavení minimální verze protokolu TLS zajišťuje podporu novějších verzí protokolu TLS. Například výběrem protokolu TLS verze 1.1 se zajistí, že se budou přijímat pouze připojení přes protokol TLS 1.1 a 1.2 a připojení přes protokol TLS 1.0 se budou zamítat. Po otestování, že vaše aplikace podporují protokol TLS 1.2, doporučujeme nastavit minimální verzi protokolu TLS na tuto verzi. Tato verze obsahuje opravy ohrožení zabezpečení v předchozích verzích a představuje nejvyšší podporovanou verzi protokolu TLS ve službě Azure SQL Database.

Důležité

Výchozí hodnota minimální verze protokolu TLS je povolení všech verzí. Jakmile povolíte vynucování verze protokolu TLS, není možné se vrátit k výchozímu nastavení.

Zákazníkům s aplikacemi, které se spoléhají na starší verze protokolu TLS, doporučujeme nastavit minimální verzi protokolu TLS podle požadavků konkrétních aplikací. Pokud jsou požadavky na aplikace neznámé nebo úlohy spoléhají na starší ovladače, které už nejsou zachovány, doporučujeme nenastavovat minimální verzi protokolu TLS.

Další informace najdete v tématu Důležité informace o protokolu TLS pro připojení ke službě SQL Database.

Po nastavení minimální verze protokolu TLS se zákazníkům, kteří používají nižší verzi protokolu TLS, než je minimální verze protokolu TLS serveru, nepodaří ověřit s následující chybou:

Error 47072
Login failed with invalid TLS version

Poznámka:

Při konfiguraci minimální verze protokolu TLS se tato minimální verze vynucuje na aplikační vrstvě. Nástroje, které se pokusí určit podporu protokolu TLS ve vrstvě protokolu, můžou kromě minimální požadované verze při spuštění přímo na koncový bod služby SQL Database vracet i verze PROTOKOLU TLS.

Na webu Azure Portal přejděte k prostředku SQL Serveru . V části Nastavení zabezpečení vyberte Sítě a pak zvolte kartu Připojení ivity. Vyberte minimální verzi protokolu TLS požadovanou pro všechny databáze přidružené k serveru a vyberte Uložit.

Screenshot of the Connectivity tab of the Networking settings for your logical server, minimal TLS version drop-down selected.

Změna zásad připojení

zásady Připojení ion určují, jak se zákazníci připojují ke službě Azure SQL Database.

Důrazně doporučujeme, aby Redirect zásady připojení přes Proxy zásady připojení byly nejnižší latence a nejvyšší propustnost.

Zásady připojení je možné změnit pomocí webu Azure Portal, Azure PowerShellu a Azure CLI.

Zásady připojení pro logický server je možné změnit pomocí webu Azure Portal.

Na webu Azure Portal přejděte k prostředku SQL Serveru . V části Nastavení zabezpečení vyberte Sítě a pak zvolte kartu Připojení ivity. Zvolte požadovanou zásadu připojení a vyberte Uložit.

Screenshot of the Connectivity tab of the Networking page, Connection policy selected.