Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Conseil / Astuce
Microsoft Fabric Data Warehouse est un entrepôt relationnel à l’échelle de l’entreprise sur une base de lac de données, avec une architecture future, une IA intégrée et de nouvelles fonctionnalités. Si vous débutez avec l'entreposage de données, commencez par Fabric Data Warehouse. Les charges de travail de pool SQL existantes dédicées peuvent être mises à niveau vers Fabric pour accéder à de nouvelles fonctionnalités dans la science des données, l’analytique en temps réel et la création de rapports.
Lorsque vous créez un serveur logique dans Azure Synapse Analytics nommé mysqlserver, par exemple, un pare-feu au niveau du serveur bloque tout accès au point de terminaison public pour le serveur logical server. Azure Synapse prend en charge les règles de pare-feu IP au niveau du serveur. Les pools SQL dédiés dans Azure Synapse Analytics espaces de travail n’utilisent pas de serveurs SQL logiques et ont un pare-feu au niveau de l’espace de travail.
- Pour plus d’informations sur les règles de pare-feu IP de serveur et de base de données dans Azure SQL Database, consultez Azure SQL Database règles de pare-feu IP
- Pour plus d’informations sur la configuration réseau pour Azure SQL Managed Instance, consultez Connectez votre application à Azure SQL Managed Instance.
Fonctionnement du pare-feu
Les tentatives de connexion à partir d’Internet et Azure doivent passer par le pare-feu avant d’atteindre votre serveur ou base de données
Règles de pare-feu IP au niveau du serveur
Ces règles permettent aux clients d'accéder à l'ensemble de votre serveur, c'est-à-dire à toutes les bases de données gérées par le serveur. Les règles sont stockées dans la master base de données. Le nombre maximal de règles de pare-feu IP au niveau du serveur est limité à 256 par serveur. Si vous avez activé le paramètre Autoriser les services et ressources Azure à accéder à ce serveur, cela compte comme une seule règle de pare-feu pour le serveur.
Vous pouvez configurer des règles de pare-feu IP au niveau du serveur à l’aide des instructions Azure portail, PowerShell ou Transact-SQL.
Note
Le nombre maximal de règles de pare-feu IP au niveau du serveur est limité à 256 lors de la configuration à l’aide du portail Azure.
- Pour utiliser le portail ou PowerShell, vous devez être le propriétaire ou un contributeur de l’abonnement.
- Pour utiliser Transact-SQL, vous devez vous connecter à la base de données
masteren tant que connexion principale au niveau du serveur ou en tant qu’administrateur Microsoft Entra. (Une règle de pare-feu IP au niveau du serveur doit d’abord être créée par un utilisateur disposant d’autorisations de niveau Azure.)
Note
Par défaut, lors de la création d’un nouveau serveur SQL logique à partir du portail Azure, le paramètre Allow Azure Services et ressources pour accéder à ce serveur est défini sur No.
Recommandations sur la définition des règles de pare-feu
Utilisez des règles de pare-feu IP au niveau du serveur lorsque vous avez de nombreuses bases de données qui ont les mêmes exigences d’accès et que vous ne souhaitez pas configurer chaque base de données individuellement.
Connexions à partir d’Internet
Lorsqu’un ordinateur tente de se connecter à votre serveur à partir d’Internet, le pare-feu vérifie d’abord l’adresse IP d’origine de la requête.
- Si l’adresse est comprise dans une plage spécifiée dans les règles de pare-feu IP au niveau du serveur, la connexion est accordée.
- Les règles de pare-feu IP au niveau du serveur s'appliquent à toutes les bases de données gérées par le serveur.
- Si l’adresse ne se trouve pas dans une plage qui se trouve dans l’une des règles de pare-feu IP au niveau du serveur, la demande de connexion échoue.
Permissions
Pour créer et gérer des règles de pare-feu IP, vous devez disposer de l’un des rôles suivants :
- dans le rôle de Contributeur SQL Server
- dans le rôle Gestionnaire de sécurité SQL
- propriétaire de la ressource
Créer et gérer des règles de pare-feu IP
Vous créez le premier paramètre de pare-feu au niveau du serveur à l’aide du portail Azure ou par programmation à l’aide de Azure PowerShell, de Azure CLI ou d’une API Azure REST. Vous créez et gérez des règles de pare-feu IP supplémentaires au niveau du serveur à l’aide de ces méthodes ou de ces Transact-SQL. Azure Synapse prend uniquement en charge les règles de pare-feu IP au niveau du serveur. Il ne prend pas en charge les règles de pare-feu IP au niveau de la base de données.
Conseil / Astuce
Vous pouvez utiliser Auditing pour Azure Synapse Analytics pour auditer les modifications de pare-feu au niveau du serveur et au niveau de la base de données.
Utiliser le portail Azure pour gérer les règles de pare-feu IP au niveau du serveur
Pour définir une règle de pare-feu IP au niveau du serveur dans le portail Azure, accédez à la page Overview de votre serveur logique.
Accédez à la page Mise en réseau .
Ajoutez une règle dans la section Règles de pare-feu pour ajouter l’adresse IP de l’ordinateur que vous utilisez, puis sélectionnez Enregistrer. Une règle de pare-feu IP au niveau du serveur est créée pour votre adresse IP actuelle.
Utiliser Transact-SQL pour gérer les règles de pare-feu IP
| Vue de catalogue ou procédure stockée | Level | Description |
|---|---|---|
| sp_set_firewall_rule | Serveur | Crée ou met à jour les règles de pare-feu IP au niveau du serveur |
| sp_delete_firewall_rule | Serveur | Supprime des règles de pare-feu IP au niveau du serveur |
Pour ajouter une règle de pare-feu IP au niveau du serveur.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Pour supprimer une règle de pare-feu IP au niveau du serveur, exécutez la sp_delete_firewall_rule procédure stockée. L’exemple suivant supprime la règle ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Gérer des règles de pare-feu IP au niveau du serveur avec PowerShell
Note
Cet article utilise le module Azure Az PowerShell, qui est le module PowerShell recommandé pour interagir avec Azure. Pour démarrer avec le module Az PowerShell, consulter Installer Azure PowerShell. Pour savoir comment migrer vers le module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Important
Le module PowerShell Azure Resource Manager (AzureRM) a été déconseillé le 29 février 2024. Tout le développement futur doit utiliser le module Az.Sql. Les utilisateurs sont invités à migrer d’AzureRM vers le module Az PowerShell pour garantir une prise en charge et des mises à jour continues. Le module AzureRM n’est plus géré ou pris en charge. Les arguments des commandes dans le module Az PowerShell et dans les modules AzureRM sont sensiblement identiques. Pour plus d’informations sur leur compatibilité, consultez Présentation du nouveau module Az PowerShell.
| Cmdlet | Level | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Serveur | Retourne les règles de pare-feu Synapse Analytics. |
| New-AzSynapseFirewallRule | Serveur | Crée une règle de pare-feu Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Serveur | Supprime une règle de pare-feu Synapse Analytics. |
| Update-AzSynapseFirewallRule | Serveur | Met à jour une règle de pare-feu Synapse Analytics. |
Gérer des règles de pare-feu IP au niveau du serveur avec l’interface de ligne de commande
| Cmdlet | Level | Description |
|---|---|---|
| az synapse sql | Gérer les pools SQL. | |
| az synapse workspace firewall-rule | Gérer les règles de pare-feu d’un espace de travail. |
Pour connaître les règles de pare-feu au niveau de l’espace de travail, consultez :
| Cmdlet | Level | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Serveur | Créer une règle de pare-feu |
| az synapse workspace firewall-rule delete | Serveur | Supprimer une règle de pare-feu |
| az synapse workspace firewall-rule list | Serveur | Répertorier toutes les règles de pare-feu |
| az synapse workspace firewall-rule show | Serveur | Obtenir une règle de pare-feu |
| az synapse workspace firewall-rule update | Serveur | Mettre à jour une règle de pare-feu |
| az synapse workspace firewall-rule wait | Serveur | Placer l’interface CLI dans un état d’attente jusqu’à ce qu’une condition de règle de pare-feu soit remplie |
L’exemple suivant utilise l’interface CLI pour définir une règle de pare-feu IP au niveau du serveur dans Azure Synapse :
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Gérer des règles de pare-feu IP au niveau du serveur avec une API REST
| Command | Description |
|---|---|
| pools Sql | Gestion des pools SQL Synapse. |
| règles de pare-feu IP | Gestion des règles de pare-feu Ip Synapse. |
Comprendre la latence des mises à jour du pare-feu
Le modèle d’authentification serveur a une latence de 5 minutes pour toutes les modifications apportées aux paramètres de sécurité, sauf si la base de données est contenue et sans partenaire de basculement. Les modifications apportées aux bases de données contenues sans partenaire de basculement sont instantanées. Pour les bases de données autonomes avec un partenaire de basculement, chaque mise à jour de sécurité est instantanée sur la base de données primaire, mais la base de données secondaire peut prendre jusqu’à 5 minutes pour refléter les modifications.
Le tableau suivant décrit la latence des modifications des paramètres de sécurité en fonction du type de base de données et de la configuration du basculement :
| Modèle d’authentification | Basculement configuré | Latence des modifications des paramètres de sécurité | Instances latentes |
|---|---|---|---|
| Authentification du serveur | Yes | 5 minutes | toutes les bases de données |
| Authentification du serveur | No | 5 minutes | toutes les bases de données |
| Base de données encapsulée | Yes | 5 minutes | base de données secondaire |
| Base de données encapsulée | No | aucune | aucune |
Actualisation manuelle des règles de pare-feu
Si vous devez voir les règles de pare-feu mises à jour plus rapidement que la latence de 5 minutes, vous pouvez actualiser manuellement les règles de pare-feu. Connectez-vous à l’instance de base de données qui a besoin de ses règles mises à jour et exécutez DBCC FLUSHAUTHCACHE. Ainsi, l’instance de base de données vide son cache local et actualise les règles de pare-feu.
DBCC FLUSHAUTHCACHE[;]
Résoudre les problèmes liés au pare-feu
Tenez compte des points suivants lorsque l’accès ne se comporte pas comme prévu.
Configuration du pare-feu local :
Avant que votre ordinateur puisse accéder à votre pool SQL dédié, vous devrez peut-être créer une exception de pare-feu sur votre ordinateur pour le port TCP 1433. Pour établir des connexions à l’intérieur de la limite cloud Azure, vous devrez peut-être ouvrir des ports supplémentaires.
Traduction d’adresses réseau :
En raison de la traduction d'adresses réseau (NAT), l'adresse IP utilisée par votre ordinateur pour se connecter à Azure Synapse Analytics peut être différente de l'adresse IP dans les paramètres de configuration IP de votre ordinateur. Pour voir l’adresse IP utilisée par votre ordinateur pour se connecter à Azure :
- Connectez-vous au portail.
- Accédez à l’onglet Configurer du serveur qui héberge votre base de données.
- L’adresse IP du client actuel s’affiche dans la section Adresses IP autorisées. Sélectionnez Ajouter pour les adresses IP autorisées pour autoriser cet ordinateur à accéder au serveur.
Les modifications apportées à la liste d'autorisation n’ont pas encore pris effet :
Il peut y avoir jusqu’à cinq minutes de retard pour que les modifications apportées à la configuration du pare-feu Azure Synapse Analytics prennent effet.
La connexion n’est pas autorisée ou un mot de passe incorrect a été utilisé :
Si une connexion n'a pas d'autorisations sur le serveur ou que le mot de passe est incorrect, la connexion au serveur est refusée. La création d’un paramètre de pare-feu permet uniquement aux clients d’essayer de se connecter à votre serveur. Ils doivent toujours fournir les informations d’identification de sécurité nécessaires. Pour plus d’informations, consultez Azure Synapse Analytics paramètres de connectivité.
Adresse IP dynamique :
Si votre connexion Internet utilise un adressage IP dynamique et que le pare-feu demeure infranchissable, essayez l’une des solutions suivantes :
- Demandez à votre fournisseur de services Internet la plage d'adresses IP attribuée aux ordinateurs clients qui accèdent au serveur. Ajoutez cette plage d’adresses IP en tant que règle de pare-feu IP.
- Récupérez plutôt l’adressage IP statique pour vos ordinateurs clients. Ajoutez les adresses IP en tant que règles de pare-feu IP.