Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Tip
Microsoft Fabric Data Warehouse är ett relationslager i företagsskala på en datasjögrund med en framtidsklar arkitektur, inbyggd AI och nya funktioner. Om du är nybörjare på datalager börjar du med Fabric Data Warehouse. Befintliga dedicerade SQL-poolarbetsbelastningar kan uppgraderas till Fabric för att få åtkomst till nya funktioner inom datavetenskap, realtidsanalys och rapportering.
När du skapar en ny logisk server i Azure Synapse Analytics med namnet mysqlserver blockerar till exempel en brandvägg på servernivå all åtkomst till den offentliga slutpunkten för den logiska servern. Azure Synapse stöder IP-brandväggsregler på servernivå. Dedikerade SQL-pooler i Azure Synapse Analytics arbetsytor använder inte logiska SQL-servrar och har en brandvägg på arbetsytenivå.
- Information om ip-brandväggsregler för servrar och databaser i Azure SQL Database finns i Azure SQL Database IP-brandväggsregler
- Information om nätverkskonfiguration för Azure SQL Managed Instance finns i Anslut programmet till Azure SQL Managed Instance.
Så här fungerar brandväggen
Anslutningsförsök från Internet och Azure måste passera genom brandväggen innan de når servern eller databasen
IP-brandväggsregler på servernivå
Dessa regler gör det möjligt för klienter att komma åt hela servern, dvs. alla databaser som hanteras av servern. Reglerna lagras i master databasen. Det maximala antalet IP-brandväggsregler på servernivå är begränsat till 256 för en server. Om du har inställningen Allow Azure Services och resurser för åtkomst till den här servern aktiverad räknas detta som en enda brandväggsregel för servern.
Du kan konfigurera IP-brandväggsregler på servernivå med hjälp av Azure-portalen, PowerShell eller Transact-SQL-instruktioner.
Note
Det maximala antalet IP-brandväggsregler på servernivå är begränsat till 256 när du konfigurerar med hjälp av Azure-portalen.
- Om du vill använda portalen eller PowerShell måste du vara prenumerationsägare eller prenumerationsdeltagare.
- Om du vill använda Transact-SQL måste du ansluta till databasen
mastersom huvudkontoinloggning på servernivå eller som Microsoft Entra administratör. (En IP-brandväggsregel på servernivå måste först skapas av en användare som har behörigheter på Azure nivå.)
Note
När du skapar en ny logisk SQL-server från Azure-portalen är inställningen Tillåt Azure-tjänster och -resurser att få åtkomst till den här servern inställd på Nej.
Rekommendationer för hur du anger brandväggsregler
Använd IP-brandväggsregler på servernivå för när du har många databaser som har samma åtkomstkrav och du inte vill konfigurera varje databas individuellt.
Anslutningar från Internet
När en dator försöker ansluta till servern från Internet kontrollerar brandväggen först den ursprungliga IP-adressen för begäran.
- Om adressen ligger inom ett intervall som finns i IP-brandväggsreglerna på servernivå beviljas anslutningen.
- IP-brandväggsregler på servernivå gäller för alla databaser som hanteras av servern.
- Om adressen inte ligger inom ett intervall som finns i någon av IP-brandväggsreglerna på servernivå misslyckas anslutningsbegäran.
Permissions
Om du vill skapa och hantera IP-brandväggsregler måste du ha någon av följande roller:
- i rollen SQL Server Bidragsgivare
- i rollen "SQL Security Manager"
- resursens ägare
Skapa och hantera IP-brandväggsregler
Du skapar den första brandväggsinställningen på servernivå med hjälp av Azure-portalen eller programmatiskt med hjälp av Azure PowerShell, Azure CLI eller ett AZURE REST API. Du skapar och hanterar ytterligare IP-brandväggsregler på servernivå med hjälp av dessa metoder eller Transact-SQL. Azure Synapse stöder endast IP-brandväggsregler på servernivå. Den stöder inte IP-brandväggsregler på databasnivå.
Tip
Du kan använda Auditing för Azure Synapse Analytics för att granska brandväggsändringar på servernivå och databasnivå.
Använd Azure-portalen för att hantera IP-brandväggsregler på servernivå
Om du vill ange en IP-brandväggsregel på servernivå i Azure-portalen går du till sidan Overview på den logiska servern.
Gå till sidan Nätverk .
Lägg till en regel i avsnittet Brandväggsregler för att lägga till IP-adressen för den dator som du använder och välj sedan Spara. En IP-brandväggsregel på servernivå skapas för din aktuella IP-adress.
Använda Transact-SQL för att hantera IP-brandväggsregler
| Katalogvy eller lagrad procedur | Nivå | Description |
|---|---|---|
| sp_set_firewall_rule | Server | Skapar eller uppdaterar IP-brandväggsregler på servernivå |
| sp_delete_firewall_rule | Server | Tar bort IP-brandväggsregler på servernivå |
Så här lägger du till en IP-brandväggsregel på servernivå.
EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
@start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'
Om du vill ta bort en IP-brandväggsregel på servernivå kör du den sp_delete_firewall_rule lagrade proceduren. I följande exempel tas regeln ContosoFirewallRulebort:
EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'
Använda PowerShell för att hantera IP-brandväggsregler på servernivå
Note
Den här artikeln använder modulen Azure Az PowerShell, som är den rekommenderade PowerShell-modulen för att interagera med Azure. Information om hur du kommer igång med Az PowerShell-modulen finns i Installera Azure PowerShell. För att lära dig hur du migrerar till Az PowerShell-modulen, se Migrera Azure PowerShell från AzureRM till Az.
Important
Modulen PowerShell Azure Resource Manager (AzureRM) avvecklades den 29 februari 2024. All framtida utveckling bör använda Az.Sql-modulen. Användare rekommenderas att migrera från AzureRM till Az PowerShell-modulen för att säkerställa fortsatt support och uppdateringar. AzureRM-modulen underhålls inte längre eller stöds inte längre. Argumenten för kommandona i Az PowerShell-modulen och i AzureRM-modulerna är i stort sätt identiska. Mer information om deras kompatibilitet finns i Introduktion till den nya Az PowerShell-modulen.
| Cmdlet | Nivå | Description |
|---|---|---|
| Get-AzSynapseFirewallRule | Server | Returnerar brandväggsregler för Synapse Analytics. |
| New-AzSynapseFirewallRule | Server | Skapar en Synapse Analytics-brandväggsregel. |
| Remove-AzSynapseFirewallRule | Server | Tar bort en Synapse Analytics-brandväggsregel. |
| Update-AzSynapseFirewallRule | Server | Uppdaterar en Synapse Analytics-brandväggsregel. |
Använda CLI för att hantera IP-brandväggsregler på servernivå
| Cmdlet | Nivå | Description |
|---|---|---|
| az synapse sql | Hantera SQL-pooler. | |
| az synapse workspace firewall-rule | Hantera en arbetsytas brandväggsregler. |
Information om brandväggsregler på arbetsytenivå finns i:
| Cmdlet | Nivå | Description |
|---|---|---|
| az synapse workspace firewall-rule create | Server | Skapa en brandväggsregel |
| az synapse workspace firewall-rule delete | Server | Ta bort en brandväggsregel |
| För att lista brandväggsregler i ett Synapse-arbetsutrymme, använd kommandot az synapse workspace firewall-rule list. | Server | Visa en lista över alla brandväggsregler |
| az synapse workspace firewall-rule show | Server | Hämta en brandväggsregel |
| az synapse workspace firewall-rule update | Server | Uppdatera en brandväggsregel |
| az synapse workspace firewall-rule wait | Server | Placera CLI i vänteläge tills ett villkor för en brandväggsregel uppfylls |
I följande exempel används CLI för att ange en IP-brandväggsregel på servernivå i Azure Synapse:
az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0
Använda ett REST-API för att hantera IP-brandväggsregler på servernivå
| Command | Description |
|---|---|
| Sql-pooler | Hantering av Synapse SQL-pooler. |
| Ip-brandväggsregler | Hantering av brandväggsregler för Synapse IP. |
Förstå svarstiden för brandväggsuppdateringar
Serverautentiseringsmodellen har en svarstid på 5 minuter för alla ändringar i säkerhetsinställningarna, såvida inte databasen finns och utan en redundanspartner. Ändringar som görs i inneslutna databaser utan en redundanspartner sker omedelbart. För inneslutna databaser med en redundanspartner är varje säkerhetsuppdatering omedelbar på den primära databasen, men den sekundära databasen kan ta upp till 5 minuter att återspegla ändringarna.
I följande tabell beskrivs svarstiden för ändringar i säkerhetsinställningarna baserat på databastyp och redundanskonfiguration:
| Autentiseringsmodell | Redundans konfigurerad | Svarstid för ändringar i säkerhetsinställningar | Latenta instanser |
|---|---|---|---|
| Serverautentisering | Ja | 5 minuter | alla databaser |
| Serverautentisering | No | 5 minuter | alla databaser |
| Isolerad databas | Ja | 5 minuter | den sekundära databasen |
| Isolerad databas | No | ingen | ingen |
Uppdatera brandväggsregler manuellt
Om du behöver se brandväggsregler uppdateras snabbare än svarstiden på 5 minuter kan du uppdatera brandväggsreglerna manuellt. Logga in på den databasinstans som behöver dess regler uppdaterade och kör DBCC FLUSHAUTHCACHE. Detta gör att databasinstansen rensar sin lokala cache och uppdaterar brandväggsreglerna.
DBCC FLUSHAUTHCACHE[;]
Felsök brandväggen
Tänk på följande när åtkomsten inte fungerar som förväntat.
Lokal brandväggskonfiguration:
Innan din dator kan komma åt din dedikerade SQL-pool kan du behöva skapa ett undantag i brandväggen på din dator för TCP-port 1433. Om du vill upprätta anslutningar inom Azure molngräns kan du behöva öppna ytterligare portar.
Översättning av nätverksadress:
På grund av nätverksadressöversättning (NAT) kan IP-adressen som används av datorn för att ansluta till Azure Synapse Analytics skilja sig från IP-adressen i datorns IP-konfigurationsinställningar. Så här visar du IP-adressen som datorn använder för att ansluta till Azure:
- Logga in på portalen.
- Gå till fliken Konfigurera på den server som är värd för din databas.
- Den aktuella klientens IP-adress visas i avsnittet Tillåtna IP-adresser . Välj Lägg till för Tillåtna IP-adresser för att tillåta den här datorn att komma åt servern.
Ändringar i listan över tillåtna har inte börjat gälla än:
Det kan ta upp till fem minuter innan ändringar i Azure Synapse Analytics brandväggskonfiguration börjar gälla.
Inloggningen är inte auktoriserad eller så användes ett felaktigt lösenord:
Om en inloggning inte har behörighet på servern eller om lösenordet är felaktigt nekas anslutningen till servern. Genom att skapa en brandväggsinställning ges klienterna en möjlighet att försöka ansluta till din server. Klienten måste fortfarande ange nödvändiga säkerhetsautentiseringsuppgifter. Mer information finns i Azure Synapse Analytics anslutningsinställningar.
Dynamisk IP-adress:
Om du har en Internetanslutning som använder dynamisk IP-adressering och du har problem med att komma igenom brandväggen kan du prova någon av följande lösningar:
- Be internetleverantören om det IP-adressintervall som har tilldelats till dina klientdatorer som får åtkomst till servern. Lägg till IP-adressintervallet som en IP-brandväggsregel.
- Använd statisk IP-adressering för dina klientdatorer. Lägg till IP-adresserna som IP-brandväggsregler.