Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Dica
Microsoft Fabric Data Warehouse é um armazém relacional de escala empresarial com base de data lake, arquitetura pronta para o futuro, IA integrada e novos recursos. Se você não estiver familiarizado com o data warehouse, comece com Fabric Data Warehouse. As cargas de trabalho existentes de pools de SQL dedicados podem ser atualizadas para Fabric para acessar novos recursos em ciência de dados, análise em tempo real e relatórios.
Quando você cria um novo servidor lógico em Azure Synapse Analytics chamado mysqlserver, por exemplo, um firewall no nível do servidor bloqueia todo o acesso ao ponto de extremidade público do servidor logical. Azure Synapse dá suporte a regras de firewall de IP no nível do servidor. Os pools de SQL dedicados em Azure Synapse Analytics workspaces não usam servidores SQL lógicos e têm um firewall no nível do workspace.
- Para obter informações sobre regras de firewall de IP de servidor e banco de dados no Banco de Dados SQL do Azure, consulte Banco de Dados SQL do Azure regras de firewall de IP
- Para obter informações sobre a configuração de rede para Instância Gerenciada de SQL do Azure, consulte Conecte seu aplicativo para Instância Gerenciada de SQL do Azure.
Como o firewall funciona
As tentativas de conexão da Internet e do Azure devem passar pelo firewall antes de chegarem ao seu servidor ou banco de dados
Regras de firewall de IP no nível de servidor
Essas regras permitem que os clientes acessem seu servidor inteiro, ou seja, todos os bancos de dados gerenciados pelo servidor. As regras são armazenadas no master banco de dados. O número máximo de regras de firewall de IP no nível do servidor é limitado a 256 para um servidor. Se você tiver a configuração Permitir que serviços e recursos do Azure acessem este servidor habilitada, isso conta como uma única regra de firewall para o servidor.
Você pode configurar regras de firewall de IP no nível do servidor usando as instruções Azure portal, PowerShell ou Transact-SQL.
Note
O número máximo de regras de firewall de IP no nível do servidor é limitado a 256 ao configurar usando o portal Azure.
- Para usar o portal ou o PowerShell, você deve ser o proprietário da assinatura ou um colaborador da assinatura.
- Para usar Transact-SQL, você deve se conectar ao banco de dados
mastercomo o logon principal no nível do servidor ou como administrador do Microsoft Entra. (Uma regra de firewall de IP no nível do servidor deve primeiro ser criada por um usuário que tenha permissões de nível de Azure.)
Note
Por padrão, durante a criação de um novo SQL Server lógico no portal do Azure, a configuração Allow Azure Services e recursos para acessar esse servidor está definida como No.
Recomendações sobre como definir regras de firewall
Use regras de firewall de IP no nível do servidor para quando você tiver muitos bancos de dados com os mesmos requisitos de acesso e não quiser configurar cada banco de dados individualmente.
Conexões pela Internet
Quando um computador tenta se conectar ao servidor da Internet, o firewall primeiro verifica o endereço IP de origem da solicitação.
- Se o endereço estiver dentro de um intervalo que está nas regras de firewall de IP no nível de servidor, a conexão será concedida.
- As regras de firewall de IP no nível de servidor se aplicam a todos os bancos de dados gerenciados pelo servidor.
- Se o endereço não estiver dentro de um intervalo que esteja em qualquer uma das regras de firewall de IP no nível do servidor, a solicitação de conexão falhará.
Permissions
Para criar e gerenciar regras de firewall de IP, você precisa ter uma das seguintes funções:
- na função SQL Server Colaborador
- na função gerenciador de segurança do SQL
- o proprietário do recurso
Criar e gerenciar regras de firewall de IP
Crie a primeira configuração de firewall no nível do servidor usando o portal Azure ou programaticamente usando Azure PowerShell, CLI do Azure ou uma API Azure REST. Você cria e gerencia regras adicionais de firewall de IP no nível do servidor usando esses métodos ou Transact-SQL. O Azure Synapse dá suporte apenas a regras de firewall de IP no nível de servidor. Ele não dá suporte a regras de firewall de IP no nível do banco de dados.
Dica
Você pode usar Auditoria para o Azure Synapse Analytics para auditar alterações de firewall em nível de servidor e em nível de banco de dados.
Usar o portal Azure para gerenciar regras de firewall de IP no nível do servidor
Para definir uma regra de firewall de IP no nível do servidor no portal do Azure, acesse a página Overview do servidor lógico.
Vá para a página Rede .
Adicione uma regra na seção Regras de Firewall para adicionar o endereço IP do computador que você está usando e selecione Salvar. Uma regra de firewall de IP no nível do servidor é criada para seu endereço IP atual.
Usar Transact-SQL para gerenciar regras de firewall de IP
| Exibição do catálogo ou procedimento armazenado | Nível | Description |
|---|---|---|
| sp_set_firewall_rule | Servidor | Cria ou atualiza as regras de firewall de IP no nível de servidor |
| sp_delete_firewall_rule | Servidor | Remove as regras de firewall de IP no nível de servidor |
Para adicionar uma regra de firewall de IP no nível do servidor.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Para excluir uma regra de firewall de IP no nível do servidor, execute o sp_delete_firewall_rule procedimento armazenado. O exemplo a seguir exclui a regra ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Usar o PowerShell para gerenciar regras de firewall de IP de nível de servidor
Note
Este artigo usa o módulo do PowerShell Azure Az, que é o módulo do PowerShell recomendado para interagir com o Azure. Para começar a usar o módulo do Az PowerShell, consulte Instalar Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, confira Migrar o Azure PowerShell do AzureRM para o Az.
Importante
O módulo AzureRM (Azure Resource Manager) do PowerShell foi preterido em 29 de fevereiro de 2024. Todo o desenvolvimento futuro deve usar o módulo Az.Sql. Os usuários são aconselhados a migrar do AzureRM para o módulo do Az PowerShell para garantir o suporte e as atualizações contínuas. O módulo AzureRM não é mais mantido ou tem suporte. Os argumentos para os comandos no módulo do Az PowerShell e nos módulos do AzureRM são substancialmente idênticos. Para obter mais informações sobre sua compatibilidade, consulte Apresentando o novo módulo do Az PowerShell.
| Cmdlet | Nível | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Servidor | Retorna regras de firewall do Synapse Analytics. |
| New-AzSynapseFirewallRule | Servidor | Cria uma regra de firewall do Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Servidor | Remove uma regra de firewall do Synapse Analytics. |
| Update-AzSynapseFirewallRule | Servidor | Atualiza uma regra de firewall do Synapse Analytics. |
Usar a CLI para gerenciar regras de firewall de IP de nível de servidor
| Cmdlet | Nível | Description |
|---|---|---|
| az synapse sql | Gerenciar pools de SQL. | |
| az synapse workspace firewall-rule | Gerencie as regras de firewall de um workspace. |
Para regras de firewall no nível do workspace, consulte:
| Cmdlet | Nível | Description |
|---|---|---|
| az synapse workspace criar regra de firewall | Servidor | Criar uma regra de firewall |
| az synapse workspace firewall-rule delete | Servidor | Excluir uma regra de firewall |
| az synapse workspace firewall-rule list | Servidor | Listar todas as regras de firewall |
| az synapse workspace firewall-rule show | Servidor | Obter uma regra de firewall |
| az synapse workspace firewall-rule update | Servidor | Atualizar uma regra de firewall |
| az synapse workspace firewall-rule wait | Servidor | Colocar a CLI em estado de espera até que uma condição da regra de firewall seja atendida |
O exemplo a seguir usa a CLI para definir uma regra de firewall de IP no nível do servidor em Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Use a API REST para gerenciar regras de firewall de IP de nível de servidor
| Command | Description |
|---|---|
| Pools de SQL | Gerenciamento do pool de SQL do Synapse. |
| regras de firewall ip | Gerenciamento de regras de firewall de IP do Synapse. |
Noções básicas sobre a latência das atualizações de firewall
O modelo de autenticação do servidor tem uma latência de 5 minutos para todas as alterações nas configurações de segurança, a menos que o banco de dados esteja contido e sem um parceiro de failover. As alterações feitas em bancos de dados contidos sem um parceiro de failover são instantâneas. Para bancos de dados contidos com um parceiro de failover, cada atualização de segurança é instantânea no banco de dados primário, mas o banco de dados secundário pode levar até 5 minutos para refletir as alterações.
A tabela a seguir descreve a latência das alterações de configurações de segurança com base no tipo de banco de dados e na configuração de failover:
| Modelo de autenticação | Failover configurado | Latência para alterações de configurações de segurança | Instâncias latentes |
|---|---|---|---|
| Autenticação do servidor | Sim | 5 minutos | todos os bancos de dados |
| Autenticação do servidor | No | 5 minutos | todos os bancos de dados |
| Banco de dados contido | Sim | 5 minutos | o banco de dados secundário |
| Banco de dados contido | No | nenhum | nenhum |
Atualizando manualmente as regras de firewall
Se você precisar ver as regras de firewall atualizadas mais rapidamente do que a latência de 5 minutos, você poderá atualizar manualmente as regras de firewall. Faça logon na instância de banco de dados que precisa de suas regras atualizadas e execute DBCC FLUSHAUTHCACHE. Isso fará com que a instância do banco de dados libere o cache local e atualize as regras de firewall.
DBCC FLUSHAUTHCACHE[;]
Solucionar problemas do firewall
Considere os pontos a seguir quando o acesso não funcionar como esperado.
Configuração do firewall local:
Antes que o computador possa acessar o pool de SQL dedicado, talvez seja necessário criar uma exceção de firewall no computador para a porta TCP 1433. Para fazer conexões dentro do limite de nuvem Azure, talvez seja necessário abrir portas adicionais.
Tradução de endereço de rede:
Devido à NAT (conversão de endereços de rede), o endereço IP usado pelo computador para se conectar ao Azure Synapse Analytics pode ser diferente do endereço IP nas configurações de IP do computador. Para exibir o endereço IP que seu computador está usando para se conectar ao Azure:
- Faça login no portal.
- Vá para a guia Configurar no servidor que hospeda o banco de dados.
- O Endereço IP do Cliente Atual é exibido na seção Endereços IP Permitidos . Selecione Adicionar para Endereços IP Permitidos para permitir que este computador acesse o servidor.
As alterações na lista de permissões ainda não entraram em vigor:
Pode haver um atraso de até cinco minutos para que as alterações na configuração de firewall Azure Synapse Analytics entrem em vigor.
O logon não está autorizado ou uma senha incorreta foi usada:
Se um logon não tiver permissões no servidor ou a senha estiver incorreta, a conexão com o servidor será negada. A criação de uma configuração de firewall só oferece aos clientes a oportunidade de tentar se conectar ao servidor. O cliente ainda deve fornecer as credenciais de segurança necessárias. Para obter mais informações, consulte Azure Synapse Analytics configurações de conectividade.
Endereço IP dinâmico:
Se você tiver uma conexão à Internet que usa endereçamento IP dinâmico e estiver com problemas para acessar o firewall, tente uma das seguintes soluções:
- Pergunte ao provedor de serviços de Internet o intervalo de endereços IP atribuído aos computadores cliente que acessam o servidor. Adicione esse intervalo de endereços IP como uma regra de firewall de IP.
- Obtenha endereçamento IP estático para os computadores cliente. Adicione os endereços IP como regras de firewall de IP.