Configurações de conectividade do Azure Synapse Analytics

Este artigo explica como definir as configurações de conectividade no Azure Synapse Analytics, incluindo pools de SQL dedicados e pools de SQL sem servidor, quando aplicável.

Para obter cadeias de conexão para pools do Azure Synapse Analytics, confira Conectar-se ao SQL do Synapse.

As configurações de conectividade e a experiência do portal do Azure para pools de SQL dedicados diferem dependendo se o pool é implantado em um pool de SQL dedicado autônomo (antigo SQL DW) ou em um workspace do Azure Synapse Analytics. Por outro lado, os pools de SQL sem servidor só estão disponíveis em workspaces do Synapse e seguem as mesmas configurações de conectividade que os pools de SQL dedicados criados em um workspace.

Pools de SQL dedicados e sem servidor em um workspace
Pools de SQL dedicados autônomos (antigo SQL DW)

Acesso à rede pública

Observação

Essas configurações se aplicam a pools de SQL dedicados e pools de SQL sem servidor criados em um workspace do Azure Synapse. Essas instruções não se aplicam a pools de SQL dedicados associados a pools de SQL dedicados independentes (anteriormente SQL DW).

Você pode usar a funcionalidade de acesso à rede pública para permitir a conectividade de rede pública de entrada para o seu workspace do Azure Synapse.

Quando o acesso à rede pública estiver desabilitado, você poderá se conectar ao seu workspace somente usando pontos de extremidade privados.
Quando o acesso à rede pública estiver habilitado, você poderá se conectar ao seu workspace também de redes públicas. Você pode gerenciar esse recurso durante e após a criação do workspace.

Importante

Este recurso só está disponível para workspaces do Azure Synapse associados à rede virtual gerenciada do Azure Synapse Analytics. No entanto, você ainda pode abrir seus workspaces do Azure Synapse na rede pública, independentemente da associação dele com a VNET gerenciada.

Quando o acesso à rede pública estiver desabilitado, o acesso ao modo GIT no Synapse Studio e as confirmações de alterações não serão bloqueados, desde que o usuário tenha permissão suficiente para acessar o repositório Git integrado ou a ramificação Git correspondente. Entretanto, o botão publicar não funcionará porque o acesso ao modo dinâmico está bloqueado pelas configurações do firewall. Quando o acesso à rede pública está desativado, o tempo de integração auto-hospedado ainda pode comunicar com o Synapse. Atualmente, não apoiamos o estabelecimento de uma ligação privada entre um tempo de execução de integração auto-hospedado e o plano de controlo Synapse.

A seleção da opção Desabilitar não aplicará nenhuma regra de firewall que você possa configurar. Além disso, suas regras de firewall aparecerão esmaecidas na configuração de rede no portal do Azure Synapse. Suas configurações de firewall serão reaplicadas quando você habilitar novamente o acesso à rede pública.

Dica

Ao reverter para habilitado, aguarde algum tempo antes de editar as regras de firewall.

Configurar o acesso à rede pública ao criar o seu workspace

Selecione a guia Rede ao criar o workspace no portal do Azure.
Em rede virtual gerenciada, selecione Habilitar para associar seu workspace à rede virtual gerenciada e permitir o acesso à rede pública.
Em Acesso à rede pública, selecione Desabilitar para negar o acesso público ao seu workspace. Selecione Habilitar para permitir acesso público ao seu workspace.
Conclua o restante do fluxo de criação do workspace.

Configurar o acesso à rede pública ao criar o seu workspace

Selecione o seu workspace do Azure Synapse no portal do Azure.
Selecione Rede no painel de navegação à esquerda.
Selecione Desabilitado para negar o acesso público ao seu workspace. Selecione Habilitado para permitir o acesso público ao seu workspace.
Quando ela é desabilitada, o texto Regras de firewall é esmaecido para indicar que as regras de firewall não estão em vigor. As configurações de regra de firewall serão mantidas.
Selecione Salvar para salvar as alterações. Uma notificação confirmará que a configuração de rede foi salva com êxito.

Versão mínima do TLS

O ponto de extremidade de SQL sem servidor e o ponto de extremidade de desenvolvimento aceitam apenas TLS 1.2 e superior.

Desde dezembro de 2021, um nível mínimo de TLS 1.2 é necessário para pools de SQL dedicados gerenciados por workspace em novos workspaces do Synapse. Você pode aumentar ou diminuir esse requisito usando a API REST TLS mínima para novos espaços de trabalho do Synapse ou espaços de trabalho existentes, de modo que os usuários que não podem usar uma versão mais alta do cliente TLS nos espaços de trabalho possam se conectar. Os clientes também poderão aumentar a versão mínima de TLS para atender às suas necessidades de segurança.

Importante

O Azure começará a desativar as versões mais antigas do TLS (TLS 1.0 e 1.1) a partir de novembro de 2024. Use o TLS 1.2 ou superior. Após 31 de março de 2025, você não poderá mais definir a versão mínima do TLS para conexões de cliente do Azure Synapse Analytics abaixo de TLS 1.2. Após essa data, as tentativas de entrada de conexões que usam uma versão do TLS inferior a 1.2 falharão. Para obter mais informações, confira Anúncio: O suporte do Azure para TLS 1.0 e TLS 1.1 será encerrado.

Azure Policy

A política do Azure para impedir modificações nas configurações de rede no Espaço de trabalho do Synapse não está disponível no momento.

Rede e conectividade

Você pode alterar essas configurações no seu servidor lógico. Um SQL Server lógico pode hospedar bancos de dados SQL do Azure e pools de SQL dedicados autônomos que não estão em um workspace do Azure Synapse Analytics.

Importante

Essas configurações se aplicam a pools de SQL dedicados autônomos (antigo SQL DW) associados ao servidor lógico, não em um workspace do Azure Synapse Analytics. Essas instruções não se aplicam a pools de SQL dedicados em um workspace de análise do Azure Synapse.

Alterar o acesso à rede pública

É possível alterar o acesso à rede pública para o pool de SQL dedicado autônomo por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.

Observação

Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes poderão enfrentar perda de conexão se não atenderem aos requisitos de cada configuração.

Configurar o acesso público no portal do Azure

Para habilitar o acesso à rede pública para o servidor lógico que hospeda seu pool de SQL dedicado autônomo:

Acesse o portal do Azure e acesse o servidor lógico no Azure.
Em Segurança, selecione a página Rede.
Escolha a guia Acesso Público e defina Acesso à rede pública como Redes selecionadas.

Nessa página, você pode adicionar uma regra de rede virtual, bem como configurar as regras de firewall para seu endpoint público.

Escolha a guia Acesso privado para configurar um ponto de extremidade privado.

Configurar o acesso público no PowerShell

É possível alterar o acesso à rede pública usando o Azure PowerShell.

Importante

O módulo Az substitui AzureRM. Todo o desenvolvimento futuro é para o módulo Az.Sql. O script a seguir exige o módulo do Azure PowerShell.

O script do PowerShell a seguir mostra como usar Get e Set na propriedade Public Network Access (Acesso à rede pública) ao nível do servidor. Forneça uma senha forte para substituir <strong password> no script de exemplo do PowerShell a seguir.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

Configurar o acesso público na CLI do Azure

É possível alterar as configurações de rede pública usando a CLI do Azure.

O script de CLI a seguir mostra como alterar a configuração do Acesso à Rede Pública em um Shell bash:


# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Negar acesso à rede pública

O padrão de configuração de Acesso à rede pública é Desabilitar. Os clientes podem optar por se conectar a um banco de dados usando pontos de extremidade públicos (com regras de firewall em nível de servidor baseadas em IP ou com regras de firewall de rede virtual) ou pontos de extremidade privados (usando o Link Privado do Azure), conforme descrito na visão geral do acesso à rede.

Quando o Acesso à rede pública está definido como Desativar, somente conexões de pontos de extremidade privados são permitidas. Todas as conexões dos pontos de extremidade públicos serão negadas com uma mensagem de erro semelhante a:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quando o Acesso à rede pública estiver definido como Desativar, qualquer tentativa de adicionar, remover ou editar uma regra de firewall será negada com uma mensagem de erro semelhante a:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Verifique se o acesso à rede pública está definido como redes selecionadas para poder adicionar, remover ou editar quaisquer regras de firewall para o Azure Synapse Analytics.

Versão mínima do TLS

A configuração de versão mínima do TLS (Transport Layer Security) permite que os clientes escolham qual versão do TLS está em uso. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

Depois de testar para confirmar se seus aplicativos dão suporte a ele, recomendamos definir a versão mínima do TLS como 1.3. Esta versão inclui correções para vulnerabilidades em versões anteriores e é a versão mais alta com suporte do TLS para pools de SQL dedicados autônomos.

Próximas mudanças na aposentadoria

O Azure anunciou que o suporte para versões mais antigas do TLS (TLS 1.0 e 1.1) termina em 31 de agosto de 2025. Para obter mais informações, confira Preterição do TLS 1.0 e TLS 1.1.

A partir de novembro de 2024, você não poderá mais definir a versão mínima do TLS para conexões de cliente do Azure Synapse Analytics abaixo do TLS 1.2.

Configurar a versão mínima do TLS

Você pode configurar a versão mínima do TLS para conexões de cliente usando o portal do Azure, o Azure PowerShell ou a CLI do Azure.

Cuidado

O padrão para a versão mínima do TLS é permitir todas as versões. Após aplicar uma versão do TLS, não é possível voltar ao padrão.
Impor no mínimo a versão TLS 1.3 pode causar problemas para as conexões de clientes que não forem compatíveis com o TLS 1.3, pois nem todos os drivers e sistemas operacionais são compatíveis com essa versão.

Para clientes com aplicativos que dependem de versões anteriores do TLS, é recomendável definir a versão mínima do TLS de acordo com os requisitos dos aplicativos. Se os requisitos de aplicativo são desconhecidos ou se as cargas de trabalho dependem de drivers mais antigos que deixaram de receber manutenção, recomendamos não definir nenhuma versão mínima do TLS.

Para obter mais informações, consulte as considerações do TLS para conectividade de banco de dados.

Após você definir a versão mínima do TLS, ocorrerá falha na autenticação de clientes que estão usando uma versão do TLS inferior à versão mínima do TLS do servidor com o seguinte erro:

Error 47072
Login failed with invalid TLS version

Observação

A versão mínima de TLS é imposta na camada de aplicação. As ferramentas que tentam determinar o suporte do TLS na camada de protocolo podem retornar versões do TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade.

Configurar a versão mínima do TLS no portal do Azure

Acesse o portal do Azure e acesse o servidor lógico no Azure.
Em Segurança, selecione a página Rede.
Escolha a guia Conectividade. Selecione a Versão mínima do TLS desejada para todos os bancos de dados associados ao servidor e selecione Salvar.

Configurar a versão mínima do TLS no PowerShell

É possível alterar a versão mínima do TLS usando o Azure PowerShell.

Importante

O módulo Az substitui AzureRM. Todo o desenvolvimento futuro é para o módulo Az.Sql. O script a seguir exige o módulo do Azure PowerShell.

O script do PowerShell a seguir mostra como usar Get na propriedade Versão mínima do TLS ao nível do servidor lógico:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

Para Set a propriedade Versão mínima do TLS no nível do servidor lógico, substitua a senha do Administrador do Sql por <strong_password_here_password>, e execute:

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

Configurar a versão mínima do TLS na CLI do Azure

É possível alterar as configurações mínimas do TLS usando a CLI do Azure.

Importante

Todos os scripts nesta seção exigem a CLI do Azure.

O script de CLI a seguir mostra como alterar a configuração da versão mínima do TLS em um Shell bash:

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Identificar conexões de cliente

Use o portal do Azure e os logs de auditoria do SQL para identificar clientes que estiverem se conectando pelo TLS 1.0 e 1.0.

No portal do Azure, acesse Métricas em Monitoramento para o recurso de banco de dados e filtre por Conexões bem-sucedidas e Versões do TLS = 1.0 e 1.1:

Você também pode consultar sys.fn_get_audit_file diretamente no banco de dados para visualizar o conteúdo do client_tls_version_name arquivo de auditoria.

Política de Conexão

A política de conexão do SQL do Synapse no Azure Synapse Analytics é definida como Padrão. Você não pode alterar a política de conexão para pools de SQL dedicados ou sem servidor no Azure Synapse Analytics.

Logons para pools de SQL no Azure Synapse Analytics podem ocorrer em qualquer um dos endereços IP de Gateway individuais ou sub-redes de Gateway em uma região. Para garantir conectividade consistente, permita o tráfego de rede de e para todos os Endereços IP do Gateway individuais e sub-redes de Endereços IP do Gateway em uma região. Consulte os Intervalos de IP do Azure e as Marcas de Serviço – Nuvem Pública para obter uma lista dos endereços IP da sua região que devem ser permitidos.

Padrão: essa é a política de conexão em vigor em todos os servidores após a criação, a menos que você altere explicitamente a política de conexão para Proxy ou Redirect. A política padrão é:
- Redirect para todas as conexões de cliente originadas dentro do Azure (por exemplo, de uma Máquina Virtual do Azure).
- Proxy para todas as conexões de cliente originadas de fora (por exemplo, da sua estação de trabalho local).
Redirecionar: Os clientes estabelecem conexões diretamente com o nó que hospeda o banco de dados, levando à latência reduzida e à taxa de transferência aprimorada. Para as conexões usarem esse modo, os clientes precisam:
- Permitir a comunicação de saída do cliente para todos os endereços IP do Azure SQL na região em portas que estão no intervalo de 11000 a 11999. Usar os Service Tags do SQL para facilitar o gerenciamento. Se você estiver usando o Link Privado, confira Usar a política de conexão Redirecionar com pontos de extremidade privados para saber os intervalos de portas a serem permitidos.
- Permitir comunicação de saída do cliente para os endereços IP do gateway do Banco de Dados SQL do Azure na porta 1433.
- Ao usar a política de conexão de redirecionamento, consulte os Intervalos de IP e Marcas de Serviço do Azure – Nuvem Pública para obter uma lista dos endereços IP da sua região que devem ser permitidos.
Proxy: Nesse modo, todas as conexões são roteadas por meio dos gateways do Banco de Dados SQL do Azure, resultando em um aumento na latência e uma redução na taxa de transferência. Para as conexões usarem esse modo, os clientes precisam permitir a comunicação de saída do cliente para endereços IP do gateway do Banco de Dados SQL do Azure na porta 1433.
- Ao usar a política de conexão proxy, permita os endereços IP da sua região na lista de endereços IP do Gateway.

Comentários

Esta página foi útil?

Last updated on 2025-07-26

Compartilhar via

Configurações de conectividade do Azure Synapse Analytics

Acesso à rede pública

Configurar o acesso à rede pública ao criar o seu workspace

Configurar o acesso à rede pública ao criar o seu workspace

Versão mínima do TLS

Azure Policy

Política de Conexão

Conteúdo relacionado

Comentários

Recursos adicionais