Ustawienia łączności usługi Azure Synapse Analytics

W tym artykule wyjaśniono, jak skonfigurować ustawienia łączności w usłudze Azure Synapse Analytics, w tym dedykowane pule SQL i bezserwerowe pule SQL, jeśli ma to zastosowanie.

Aby uzyskać parametry połączenia do pul usługi Azure Synapse Analytics, zobacz Nawiązywanie połączenia z usługą Synapse SQL.

Ustawienia łączności i środowisko witryny Azure Portal dla dedykowanych pul SQL różnią się w zależności od tego, czy pula jest wdrożona w autonomicznych dedykowanych pulach SQL (dawniej SQL DW), czy w obszarze roboczym usługi Azure Synapse Analytics. Natomiast bezserwerowe pule SQL są dostępne tylko w obszarach roboczych usługi Synapse i są zgodne z tymi samymi ustawieniami łączności co dedykowane pule SQL utworzone w obszarze roboczym.

Dedykowane i bezserwerowe pule SQL w obszarze roboczym
Autonomiczne dedykowane pule SQL (dawniej SQL DW)

Dostęp do sieci publicznej

Uwaga / Notatka

Te ustawienia dotyczą dedykowanych pul SQL i bezserwerowych pul SQL utworzonych w obszarze roboczym usługi Azure Synapse. Te instrukcje nie dotyczą dedykowanych pul SQL skojarzonych z samodzielnymi, dedykowanymi pulami SQL (dawniej SQL DW).

Możesz użyć funkcji dostępu do sieci publicznej, aby zezwolić na przychodzącą łączność sieciową z obszarem roboczym usługi Azure Synapse.

Gdy dostęp do sieci publicznej jest wyłączony, możesz nawiązać połączenie z własnym obszarem roboczym tylko przy użyciu prywatnych punktów końcowych.
Po włączeniu dostępu do sieci publicznej można nawiązać połączenie z obszarem roboczym również z sieci publicznych. Tą funkcją można zarządzać zarówno podczas tworzenia obszaru roboczego, jak i po jego utworzeniu.

Ważne

Ta funkcja jest dostępna tylko dla obszarów roboczych usługi Azure Synapse skojarzonych z zarządzaną siecią wirtualną usługi Azure Synapse Analytics. Można jednak udostępniać obszary robocze usługi Synapse w sieci publicznej, niezależnie od ich skojarzenia z zarządzaną siecią wirtualną.

Gdy dostęp do sieci publicznej jest wyłączony, dostęp do trybu GIT w programie Synapse Studio i zatwierdzanie zmian nie będzie blokowane, o ile użytkownik ma wystarczające uprawnienia dostępu do zintegrowanego repozytorium Git lub odpowiedniej gałęzi Git. Jednak przycisk publikowania nie będzie działać, ponieważ dostęp do trybu na żywo jest blokowany przez ustawienia zapory. Gdy dostęp do sieci publicznej jest wyłączony, własne środowisko Integration Runtime może nadal komunikować się z usługą Synapse. Obecnie nie obsługujemy ustanawiania łącza prywatnego między własnym środowiskiem Integration Runtime i płaszczyzną sterowania usługi Synapse.

Wybranie opcji Wyłącz nie spowoduje zastosowania żadnych reguł zapory, które można skonfigurować. Ponadto reguły zapory będą wyszarane w ustawieniu Sieć w portalu usługi Synapse. Konfiguracje zapory są ponownie używane po ponownym włączeniu dostępu do sieci publicznej.

Napiwek

Po ponownym włączeniu poczekaj trochę czasu przed edytowaniem reguł zapory.

Konfigurowanie dostępu do sieci publicznej podczas tworzenia obszaru roboczego

Wybierz kartę Sieć podczas tworzenia obszaru roboczego w witrynie Azure Portal.
W obszarze Zarządzana sieć wirtualna wybierz pozycję Włącz, aby skojarzyć obszar roboczy z zarządzaną siecią wirtualną i zezwolić na dostęp do sieci publicznej.
W obszarze Dostęp do sieci publicznej wybierz pozycję Wyłącz, aby odmówić publicznego dostępu do obszaru roboczego. Wybierz pozycję Włącz, jeśli chcesz zezwolić na dostęp publiczny do obszaru roboczego.
Ukończ resztę przepływu tworzenia obszaru roboczego.

Konfigurowanie dostępu do sieci publicznej po utworzeniu obszaru roboczego

Wybierz obszar roboczy usługi Synapse w witrynie Azure Portal.
Wybierz pozycję Sieć z menu nawigacji po lewej stronie.
Wybierz pozycję Wyłączone, aby odmówić publicznego dostępu do obszaru roboczego. Wybierz pozycję Włączone, jeśli chcesz zezwolić na publiczny dostęp do obszaru roboczego.
Po wyłączeniu reguły zapory są wyszarzane, aby wskazać, że reguły zapory nie są obowiązujące. Konfiguracje reguł zapory zostaną zachowane.
Wybierz przycisk Zapisz, aby zapisać zmiany. Powiadomienie potwierdzi, że ustawienie sieciowe zostało pomyślnie zapisane.

Minimalna wersja protokołu TLS

Bezserwerowy punkt końcowy SQL i punkt końcowy tworzenia akceptują tylko protokół TLS 1.2 lub nowszy.

Od grudnia 2021 r. wymagany jest minimalny poziom protokołu TLS 1.2 dla dedykowanych pul SQL zarządzanych przez obszar roboczy w nowych obszarach roboczych usługi Synapse. Możesz podnieść lub obniżyć to wymaganie przy użyciu minimalnego interfejsu API REST protokołu TLS dla nowych obszarów roboczych usługi Synapse lub istniejących obszarów roboczych, dzięki czemu użytkownicy, którzy nie mogą używać wyższej wersji klienta TLS w obszarach roboczych, mogą się łączyć. Klienci mogą również podnieść minimalną wersję protokołu TLS, aby spełnić wymagania dotyczące zabezpieczeń.

Ważne

Platforma Azure rozpocznie wycofywanie starszych wersji protokołu TLS (TLS 1.0 i 1.1) od listopada 2024 r. Użyj protokołu TLS 1.2 lub nowszego. Po 31 marca 2025 r. nie będzie już można ustawić minimalnej wersji protokołu TLS dla połączeń klienckich usługi Azure Synapse Analytics poniżej protokołu TLS 1.2. Po tej dacie próby logowania z połączeń przy użyciu protokołu TLS w wersji niższej niż 1.2 zakończy się niepowodzeniem. Aby uzyskać więcej informacji, zobacz Anons: pomoc techniczna platformy Azure dla protokołów TLS 1.0 i TLS 1.1 zostaną zakończone.

Azure Policy

Zasady platformy Azure, aby zapobiec modyfikacjom ustawień sieci w obszarze roboczym usługi Synapse, nie są obecnie dostępne.

Sieć i łączność

Te ustawienia można zmienić na serwerze logicznym. Serwer logiczny SQL może hostować zarówno bazy danych Azure SQL Database, jak i autonomiczne dedykowane pule SQL, a nie w obszarze roboczym usługi Azure Synapse Analytics.

Ważne

Te ustawienia dotyczą autonomicznych dedykowanych pul SQL (dawniej SQL DW) skojarzonych z serwerem logicznym, a nie w obszarze roboczym usługi Azure Synapse Analytics. Te instrukcje nie dotyczą dedykowanych pul SQL w obszarze roboczym analizy usługi Azure Synapse.

Zmienianie dostępu do sieci publicznej

Istnieje możliwość zmiany dostępu do sieci publicznej dla autonomicznej dedykowanej puli SQL za pośrednictwem witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Uwaga / Notatka

Te ustawienia zostaną zastosowane natychmiast po ich zastosowaniu. Klienci mogą napotkać utratę połączenia, jeśli nie spełniają wymagań dla każdego ustawienia.

Konfigurowanie dostępu publicznego w witrynie Azure Portal

Aby włączyć dostęp do sieci publicznej dla serwera logicznego obsługującego autonomiczną dedykowaną pulę SQL:

Przejdź do witryny Azure Portal i przejdź do serwera logicznego na platformie Azure.
W obszarze Zabezpieczenia wybierz stronę Sieć .
Wybierz kartę Dostęp publiczny, a następnie ustaw pozycję Dostęp do sieci publicznej na Wybierz sieci.

Na tej stronie można dodać regułę sieci wirtualnej, a także skonfigurować reguły zapory dla publicznego punktu końcowego.

Wybierz kartę Dostęp prywatny, aby skonfigurować prywatny punkt końcowy.

Konfigurowanie dostępu publicznego w programie PowerShell

Istnieje możliwość zmiany dostępu do sieci publicznej przy użyciu programu Azure PowerShell.

Ważne

Moduł Az zastępuje AzureRM. Cały przyszły rozwój jest przeznaczony dla modułu Az.Sql. Poniższy skrypt wymaga modułu Azure PowerShell.

Poniższy skrypt programu PowerShell pokazuje, jak Get i Set właściwość Dostęp do sieci publicznej na poziomie serwera. Podaj silne hasło do zastąpienia <strong password> w poniższym przykładowym skrypcie programu PowerShell.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Konfigurowanie dostępu publicznego w interfejsie wiersza polecenia platformy Azure

Można zmienić ustawienia sieci publicznej przy użyciu interfejsu wiersza polecenia platformy Azure.

Poniższy skrypt wiersza polecenia pokazuje, jak zmienić ustawienie Dostępu do sieci publicznej w powłoce Bash:


# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Odmowa dostępu do sieci publicznej

Ustawienie Domyślne dla ustawienia Dostęp do sieci publicznej to Wyłącz. Klienci mogą łączyć się z bazą danych przy użyciu publicznych punktów końcowych (z regułami zapory na poziomie serwera opartymi na adresach IP lub regułami zapory sieci wirtualnej) lub prywatnymi punktami końcowymi (przy użyciu usługi Azure Private Link), jak opisano w omówieniu dostępu do sieci.

Gdy dostęp do sieci publicznej jest ustawiony na Wartość Wyłącz, dozwolone są tylko połączenia z prywatnych punktów końcowych. Wszystkie połączenia z publicznych punktów końcowych zostaną odrzucone z komunikatem o błędzie podobnym do następującego:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Po ustawieniu opcji Dostęp do sieci publicznej na wartość Wyłącz wszelkie próby dodania, usunięcia lub edytowania reguł zapory zostaną odrzucone z komunikatem o błędzie podobnym do następującego:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Upewnij się, że opcja Dostęp do sieci publicznej ma wartość Wybrane sieci , aby móc dodawać, usuwać lub edytować wszystkie reguły zapory dla usługi Azure Synapse Analytics.

Wersja minimalna protokołu TLS

Minimalne ustawienie wersji protokołu Transport Layer Security (TLS) umożliwia klientom wybranie używanej wersji protokołu TLS. Można zmienić minimalną wersję protokołu TLS przy użyciu witryny Azure Portal, programu Azure PowerShell i interfejsu wiersza polecenia platformy Azure.

Po przetestowaniu, aby potwierdzić, że aplikacje go obsługują, zalecamy ustawienie minimalnej wersji protokołu TLS na 1.3. Ta wersja zawiera poprawki luk w zabezpieczeniach w poprzednich wersjach i jest najbardziej obsługiwaną wersją protokołu TLS dla autonomicznych dedykowanych pul SQL.

Nadchodzące zmiany w emeryturze

Platforma Azure ogłosiła, że wsparcie dla starszych wersji protokołu TLS (TLS 1.0 i 1.1) kończy się 31 sierpnia 2025 r. Aby uzyskać więcej informacji, zobacz Wycofywanie protokołów TLS 1.0 i 1.1.

Od listopada 2024 r. nie będzie już można ustawić minimalnej wersji protokołu TLS dla połączeń klienckich usługi Azure Synapse Analytics poniżej protokołu TLS 1.2.

Konfigurowanie minimalnej wersji protokołu TLS

Minimalną wersję protokołu TLS dla połączeń klienckich można skonfigurować przy użyciu witryny Azure Portal, programu Azure PowerShell lub interfejsu wiersza polecenia platformy Azure.

Ostrzeżenie

Ustawieniem domyślnym dla minimalnej wersji protokołu TLS jest zezwalanie na wszystkie wersje. Po wymusieniu wersji protokołu TLS nie można przywrócić wartości domyślnej.
Wymuszanie co najmniej protokołu TLS 1.3 może powodować problemy z połączeniami klientów, którzy nie obsługują protokołu TLS 1.3, ponieważ nie wszystkie sterowniki i systemy operacyjne obsługują protokół TLS 1.3.

W przypadku klientów z aplikacjami, które opierają się na starszych wersjach protokołu TLS, zalecamy ustawienie minimalnej wersji protokołu TLS zgodnie z wymaganiami aplikacji. Jeśli wymagania aplikacji są nieznane lub obciążenia korzystają ze starszych sterowników, które nie są już obsługiwane, zalecamy nie ustawiać minimalnej wersji protokołu TLS.

Aby uzyskać więcej informacji, zobacz Zagadnienia dotyczące protokołu TLS dotyczące łączności z bazą danych.

Po ustawieniu minimalnej wersji protokołu TLS klienci korzystający z wersji protokołu TLS niższej niż minimalna wersja protokołu TLS serwera nie będą uwierzytelniać się z powodu następującego błędu:

Error 47072
Login failed with invalid TLS version

Uwaga / Notatka

Minimalna wersja protokołu TLS jest wymuszana w warstwie aplikacji. Narzędzia, które próbują określić obsługę protokołu TLS w warstwie protokołu, mogą zwracać wersje protokołu TLS oprócz minimalnej wymaganej wersji podczas uruchamiania bezpośrednio względem punktu końcowego.

Konfigurowanie minimalnej wersji protokołu TLS w witrynie Azure Portal

Przejdź do witryny Azure Portal i przejdź do serwera logicznego na platformie Azure.
W obszarze Zabezpieczenia wybierz stronę Sieć .
Wybierz kartę Łączność . Wybierz minimalną wersję protokołu TLS żądaną dla wszystkich baz danych skojarzonych z serwerem, a następnie wybierz pozycję Zapisz.

Konfigurowanie minimalnej wersji protokołu TLS w programie PowerShell

Można zmienić minimalną wersję protokołu TLS przy użyciu programu Azure PowerShell.

Ważne

Moduł Az zastępuje AzureRM. Cały przyszły rozwój jest przeznaczony dla modułu Az.Sql. Poniższy skrypt wymaga modułu Azure PowerShell.

Poniższy skrypt programu PowerShell pokazuje, jak Get właściwość Minimalna wersja TLS na poziomie serwera logicznego:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Dla Set właściwości Minimalna wersja protokołu TLS na poziomie serwera logicznego, zamień <strong_password_here_password> swoim hasłem administratora SQL i wykonaj:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Konfigurowanie minimalnej wersji protokołu TLS w interfejsie wiersza polecenia platformy Azure

Można zmienić minimalne ustawienia protokołu TLS przy użyciu interfejsu wiersza polecenia platformy Azure.

Ważne

Wszystkie skrypty w tej sekcji wymagają Azure CLI.

Poniższy skrypt CLI pokazuje, jak zmienić ustawienie Minimalna wersja protokołu TLS w powłoce Bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identyfikowanie połączeń klientów

Dzienniki inspekcji w portalu Azure i SQL umożliwiają identyfikowanie klientów łączących się przy użyciu protokołów TLS 1.0 i 1.1.

W Portalu Azure przejdź do Metryki w obszarze Monitorowanie zasobu bazy danych, a następnie przefiltruj według 'Pomyślne połączenia' oraz 'wersje TLS' = 1.0:

Możesz również wykonać zapytanie sys.fn_get_audit_file bezpośrednio w bazie danych, aby wyświetlić element client_tls_version_name w pliku audytu.

Zasady połączeń

Zasady połączenia dla usługi Synapse SQL w usłudze Azure Synapse Analytics są ustawione na wartość Domyślne. Nie można zmienić zasad połączenia dla dedykowanych lub bezserwerowych pul SQL w usłudze Azure Synapse Analytics.

Loginy dla pul SQL w Azure Synapse Analytics mogą trafiać na dowolny z poszczególnych adresów IP bramy lub podsieci adresów IP bramy w regionie. Aby zapewnić spójną łączność, zezwól na ruch sieciowy do i ze wszystkich poszczególnych adresów IP bramy i podsieci adresów IP bramy w regionie. Zapoznaj się z zakresami adresów IP platformy Azure i tagami usługi — chmura publiczna, aby uzyskać listę dozwolonych adresów IP twojego regionu.

Ustawienie domyślne: są to zasady połączenia obowiązujące na wszystkich serwerach po utworzeniu, chyba że jawnie zmienisz zasady połączenia na Proxy lub Redirect. Domyślne zasady to:
- Redirect dla wszystkich połączeń klienckich pochodzących z platformy Azure (na przykład z maszyny wirtualnej platformy Azure).
- Proxy dla wszystkich połączeń klienckich pochodzących poza (na przykład połączeń z lokalnej stacji roboczej).
Przekierowanie: Klienci ustanawiają połączenia bezpośrednio z węzłem hostowanym w bazie danych, co prowadzi do zmniejszenia opóźnienia i zwiększenia przepływności. W przypadku połączeń korzystających z tego trybu klienci muszą:
- Zezwalaj na komunikację wychodzącą od klienta do wszystkich adresów IP usługi Azure SQL w regionie na portach z zakresu od 11000 do 11999. Użyj tagów usługi dla języka SQL, aby ułatwić zarządzanie tym elementem. Jeśli używasz usługi Private Link, zobacz Użyj zasad połączenia przekierowania z prywatnymi punktami końcowymi, aby uzyskać informacje o zakresach portów, które należy dopuścić.
- Zezwalaj na komunikację wychodzącą z klienta do adresów IP bramy usługi Azure SQL Database na porcie 1433.
- Podczas korzystania z zasady połączenia przekierowania, odwołaj się do dokumentu Zakresy adresów IP platformy Azure i tagi usług – chmura publiczna, aby uzyskać listę adresów IP twojego regionu, które należy dodać do listy dozwolonych.
Serwer pośredniczący: W tym trybie wszystkie połączenia są przekierowywane za pośrednictwem bram usługi Azure SQL Database, co prowadzi do zwiększenia opóźnienia i zmniejszenia przepustowości. W przypadku połączeń korzystających z tego trybu klienci muszą zezwolić na komunikację wychodzącą z klienta do adresów IP bramy usługi Azure SQL Database na porcie 1433.
- Podczas korzystania z polityki połączeń proxy, zezwól na adresy IP swojego regionu z listy adresów IP bramy.

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-06-25

Udostępnij przez

Ustawienia łączności usługi Azure Synapse Analytics

Dostęp do sieci publicznej

Konfigurowanie dostępu do sieci publicznej podczas tworzenia obszaru roboczego

Konfigurowanie dostępu do sieci publicznej po utworzeniu obszaru roboczego

Minimalna wersja protokołu TLS

Azure Policy

Zasady połączeń

Powiązana zawartość

Sprzężenie zwrotne

Dodatkowe źródła