Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Tip
Microsoft Fabric Data Warehouse é um armazém relacional de escala empresarial baseado numa base de data lake, com uma arquitetura pronta para o futuro, IA incorporada e novas funcionalidades. Se és novo no data warehousing, começa pelo Fabric Data Warehouse. As cargas de trabalho existentes de pool SQL dedicado podem atualizar para o Fabric para acessar novas capacidades em ciência de dados, análise em tempo real e relatórios.
Quando crias um novo servidor lógico em Azure Synapse Analytics chamado mysqlserver, por exemplo, um firewall ao nível do servidor bloqueia todo o acesso ao endpoint público para o servidor lógico. O Azure Synapse suporta regras de firewall IP ao nível do servidor. Pools SQL dedicados nos espaços de trabalho do Azure Synapse Analytics não utilizam servidores SQL lógicos e possuem um firewall ao nível do espaço de trabalho.
- Para informações sobre regras de firewall IP de servidores e bases de dados em Base de Dados SQL do Azure, veja Base de Dados SQL do Azure regras de firewall IP
- Para informações sobre a configuração da rede para Azure SQL Managed Instance, consulte Conecte a sua aplicação ao Azure SQL Managed Instance.
Como funciona o firewall
As tentativas de ligação da internet e do Azure devem passar pelo firewall antes de chegarem ao seu servidor ou base de dados
Regras de firewall IP no nível do servidor
Essas regras permitem que os clientes acessem todo o seu servidor, ou seja, todos os bancos de dados gerenciados pelo servidor. As regras são armazenadas na base de master dados. O número máximo de regras de firewall IP no nível do servidor é limitado a 256 para um servidor. Se tiver ativada a definição Permitir Azure Serviços e recursos para aceder a este servidor, isto conta como uma única regra de firewall para o servidor.
Pode configurar regras de firewall IP ao nível do servidor usando o portal Azure, PowerShell ou instruções Transact-SQL.
Note
O número máximo de regras de firewall IP ao nível do servidor está limitado a 256 quando configurado usando o portal Azure.
- Para usar o portal ou o PowerShell, você deve ser o proprietário da assinatura ou um colaborador da assinatura.
- Para usar Transact-SQL, deve ligar-se à base de dados
mastercomo o principal login ao nível do servidor ou como administrador Microsoft Entra. (Uma regra de firewall IP a nível de servidor deve primeiro ser criada por um utilizador que tenha permissões ao nível do Azure.)
Note
Por defeito, durante a criação de um novo servidor SQL lógico a partir do portal Azure, a definição Permitir que os Serviços e recursos Azure acedam a este servidor está definida para No.
Recomendações sobre como definir regras de firewall
Usa regras de firewall IP ao nível do servidor quando tiveres muitas bases de dados com os mesmos requisitos de acesso e não queres configurar cada base de dados individualmente.
Ligações à Internet
Quando um computador tenta ligar-se ao seu servidor a partir da internet, o firewall verifica primeiro o endereço IP de origem do pedido.
- Se o endereço estiver dentro de um intervalo que esteja nas regras de firewall IP no nível do servidor, a conexão será concedida.
- As regras de firewall IP no nível do servidor aplicam-se a todos os bancos de dados gerenciados pelo servidor.
- Se o endereço não estiver dentro de um intervalo que esteja em qualquer uma das regras de firewall IP ao nível do servidor, o pedido de ligação falha.
Permissões
Para criar e gerir regras de firewall IP, precisa de ter uma das seguintes funções:
- no papel de Contribuidor do SQL Server
- no papel de Gestor de Segurança SQL
- o proprietário do recurso
Criar e gerenciar regras de firewall IP
Cria-se a primeira configuração de firewall ao nível do servidor usando o portal Azure ou programaticamente usando Azure PowerShell, CLI do Azure, ou uma API Azure REST. Cria e gere regras adicionais de firewall IP ao nível do servidor usando estes métodos ou Transact-SQL. O Azure Synapse só suporta regras de firewall IP ao nível do servidor. Ele não suporta regras de firewall IP no nível de banco de dados.
Tip
Pode utilizar a Auditoria do Azure Synapse Analytics para auditar alterações da firewall ao nível do servidor e da base de dados.
Use o portal Azure para gerir regras de firewall IP ao nível do servidor
Para definir uma regra de firewall IP ao nível do servidor no portal Azure, vá à página Overview do seu servidor lógico.
Vai à página de Redes .
Adiciona uma regra na secção de regras de firewall para adicionar o endereço IP do computador que estás a usar e depois seleciona Guardar. Uma regra de firewall IP no nível do servidor é criada para o seu endereço IP atual.
Use o Transact-SQL para gerir regras de firewall IP
| Vista de catálogo ou procedimento armazenado | Nível | Description |
|---|---|---|
| sp_set_firewall_rule | Server | Cria ou atualiza regras de firewall IP no nível do servidor |
| sp_delete_firewall_rule | Server | Remove regras de firewall IP no nível do servidor |
Para adicionar uma regra de firewall IP ao nível do servidor.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Para eliminar uma regra de firewall IP ao nível do servidor, execute o sp_delete_firewall_rule procedimento armazenado. O exemplo seguinte elimina a regra ContosoFirewallRule:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Usar o PowerShell para gerenciar regras de firewall IP no nível do servidor
Note
Este artigo usa o módulo Azure Az PowerShell, que é o módulo PowerShell recomendado para interagir com o Azure. Para começar a utilizar o módulo Azure PowerShell, veja Instalar o Azure PowerShell. Para saber como migrar para o módulo Az PowerShell, veja Migrate Azure PowerShell from AzureRM to Az.
Importante
O módulo PowerShell Azure Resource Manager (AzureRM) foi preterido em 29 de fevereiro de 2024. Todo o desenvolvimento futuro deve usar o módulo Az.Sql. Os usuários são aconselhados a migrar do AzureRM para o módulo Az PowerShell para garantir suporte e atualizações contínuos. O módulo AzureRM não é mais mantido ou suportado. Os argumentos para os comandos no módulo Az PowerShell e nos módulos AzureRM são substancialmente idênticos. Para obter mais informações sobre sua compatibilidade, consulte Apresentando o novo módulo do Az PowerShell.
| Cmdlet | Nível | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Server | Devolve as regras do firewall da Synapse Analytics. |
| New-AzSynapseFirewallRule | Server | Cria uma regra de firewall do Synapse Analytics. |
| Remove-AzSynapseFirewallRule | Server | Remove uma regra de firewall da Synapse Analytics. |
| Update-AzSynapseFirewallRule | Server | Atualiza uma regra de firewall da Synapse Analytics. |
Usar a CLI para gerenciar regras de firewall IP no nível do servidor
| Cmdlet | Nível | Description |
|---|---|---|
| az synapse sql | Gerencie pools SQL. | |
| az synapse workspace firewall-rule | Gerencie as regras de firewall de um espaço de trabalho. |
Para regras de firewall ao nível do espaço de trabalho, veja:
| Cmdlet | Nível | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Server | Criar uma regra de firewall |
| az synapse workspace firewall-rule delete | Server | Eliminar uma regra de firewall |
| az synapse workspace firewall-rule list | Server | Listar todas as regras de firewall |
| az synapse workspace firewall-rule show | Server | Obter uma regra de firewall |
| AZ Synapse Workspace Firewall-Rule Update | Server | Atualizar uma regra de firewall |
| az synapse workspace firewall-rule wait | Server | Coloque a CLI em um estado de espera até que uma condição de uma regra de firewall seja atendida |
O exemplo seguinte usa CLI para definir uma regra de firewall IP a nível de servidor no Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Usar uma API REST para gerenciar regras de firewall IP no nível do servidor
| Comando | Description |
|---|---|
| Conjuntos SQL | Gestão de pools SQL Synapse. |
| Regras de firewall IP | Gestão de regras do firewall Synapse Ip. |
Noções básicas sobre a latência das atualizações de firewall
O modelo de autenticação do servidor tem uma latência de 5 minutos para todas as alterações nas configurações de segurança, a menos que o banco de dados esteja contido e sem um parceiro de failover. As alterações feitas em bancos de dados contidos sem um parceiro de failover são instantâneas. Para bases de dados contidas com um parceiro de failover, cada atualização de segurança é imediata na base de dados primária, podendo levar até 5 minutos para o banco de dados secundário refletir as alterações.
A tabela a seguir descreve a latência das alterações nas configurações de segurança com base no tipo de banco de dados e na configuração de failover:
| Modelo de autenticação | Failover configurado | Latência para alterações nas configurações de segurança | Instâncias latentes |
|---|---|---|---|
| Autenticação do servidor | Sim | 5 minutos | Todas as bases de dados |
| Autenticação do servidor | No | 5 minutos | Todas as bases de dados |
| Base de dados encapsulada | Sim | 5 minutos | a base de dados secundária |
| Base de dados encapsulada | No | nenhuma | nenhuma |
Atualizar manualmente as regras de firewall
Se precisar de ver as regras de firewall atualizadas mais rapidamente do que a latência de 5 minutos, pode atualizar manualmente as regras de firewall. Inicia sessão na instância da base de dados que precisa de atualizar as regras e executa o DBCC FLUSHAUTHCACHE. Isso fará com que a instância do banco de dados libere seu cache local e atualize as regras de firewall.
DBCC FLUSHAUTHCACHE[;]
Resolver o problema do firewall
Considere os seguintes pontos quando o acesso não funciona como esperado.
Configuração local do firewall:
Antes de o teu computador poder aceder ao teu pool SQL dedicado, podes precisar de criar uma exceção de firewall para a porta TCP 1433. Para fazer ligações dentro do limite da nuvem do Azure, pode ser necessário abrir portas adicionais.
Tradução de endereços de rede:
Devido à tradução de endereços de rede (NAT), o endereço IP que o seu computador usa para se ligar ao Azure Synapse Analytics pode ser diferente do endereço IP nas definições de configuração IP do seu computador. Para ver o endereço IP que o seu computador está a usar para se ligar ao Azure:
- Inicie sessão no portal.
- Aceda ao separador Configurar no servidor anfitrião da base de dados.
- O Endereço IP do Cliente Atual é apresentado na secção de Endereços IP Permitidos. Selecione Adicionar para Endereços IP Permitidos para permitir que este computador aceda ao servidor.
As alterações à lista de autorizações ainda não entraram em vigor:
Pode haver até cinco minutos de atraso para que as alterações à configuração do firewall do Azure Synapse Analytics entrem em vigor.
O login não é autorizado, ou foi usada uma palavra-passe incorreta:
Se um login não tiver permissões no servidor ou se a senha estiver incorreta, a conexão com o servidor será negada. Criar uma configuração de firewall só dá aos clientes a oportunidade de tentarem ligar-se ao seu servidor. O cliente ainda deve fornecer as credenciais de segurança necessárias. Para mais informações, consulte Azure Synapse Analytics definições de conectividade.
Endereço IP Dinâmico:
Se você tiver uma conexão com a Internet que usa endereçamento IP dinâmico e tiver problemas para passar pelo firewall, tente uma das seguintes soluções:
- Pergunte ao fornecedor de serviços de Internet qual é o intervalo de endereços IP que está atribuído aos computadores cliente que acedem ao servidor. Adicione esse intervalo de endereços IP como uma regra de firewall IP.
- Obtenha endereçamento IP estático em vez disso para os computadores clientes. Adicione os endereços IP como regras de firewall IP.