Compartir a través de

Azure SQL 数据库和 Azure Synapse Analytics 连接体系结构

适用于:Azure SQL 数据库 Azure Synapse Analytics(仅限专用 SQL 池)

本文介绍了将网络流量定向到 Azure SQL 数据库中的服务器或 Azure Synapse Analytics 中的专用 SQL 池的各种组件的体系结构。 它还介绍了不同的连接策略,以及这些策略如何影响从 Azure 内部连接的客户端以及从 Azure 外部连接的客户端。

连接体系结构

下图提供连接体系结构的综合概述。

此图提供连接体系结构的概览。

以下步骤介绍如何建立与 Azure SQL 数据库的连接:

  • 客户端连接到网关,后者使用公共 IP 地址并侦听端口 1433。
  • 根据有效的连接策略,网关将流量重定向或代理到正确的数据库群集。
  • 在数据库群集中,流量被转发到相应的数据库。

连接策略

SQL 数据库中的服务器和 Azure Synapse 中的专用 SQL 池(以前称为 SQL DW)支持以下三个服务器连接策略设置选项。

注意

Azure Synapse Analytics 中专用 SQL 池(以前称为 SQL DW)的连接策略设置为“默认”。 无法为 Synapse 工作区中的专用 SQL 池更改此设置。

  • 重定向(建议): 客户端直接与托管数据库的节点建立连接,从而降低延迟并改进吞吐量。 要通过连接来使用此模式,客户端需要:
    • 在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使其更易于管理。 如果使用专用链接,请参阅将重定向连接策略与专用终结点配合使用,了解允许的端口范围。
    • 在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
    • 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。
  • 代理: 在此模式下,所有连接都通过 Azure SQL 数据库网关来代理,导致延迟增大和吞吐量降低。 若要通过连接来使用此模式,客户端需满足以下条件:在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
    • 使用代理连接策略时,请参阅本文后面的网关 IP 地址列表,了解你所在区域允许的 IP 地址。
  • 默认值:除非显式将连接策略更改为 ProxyRedirect,否则,在创建后,此连接策略将在所有服务器上生效。 对于所有源自 Azure 内部的客户端连接(例如,源自 Azure 虚拟机的连接),默认策略为 Redirect;对于所有源自外部的客户端连接(例如,源自本地工作站的连接),默认策略为 Proxy

我们强烈建议使用 Redirect 连接策略而不要使用 Proxy 连接策略,以最大程度地降低延迟和提高吞吐量。 但是,你需要满足允许网络流量进行出站通信的附加要求:

  • 如果客户端是 Azure 虚拟机,可将网络安全组 (NSG) 与服务标记配合使用来实现它。
  • 如果客户端从本地工作站进行连接,则可能需要联系网络管理员,让其允许网络流量通过公司防火墙。

若要更改连接策略,请参阅更改连接策略

从 Azure 内连接

如果从 Azure 内部连接,则连接默认具有 Redirect 连接策略。 Redirect 策略是指建立到 Azure SQL 数据库的 TCP 会话连接后,会将 Azure SQL 数据库网关的目标虚拟 IP 更改为群集的目标虚拟 IP,从而将客户端会话重定向到适当的数据库群集。 此后,所有后续数据包绕过 Azure SQL 数据库网关,直接传输到群集。 下图演示了此流量流。

通过 Azure 中的重定向实现 Azure SQL 连接的体系结构概述图。

从 Azure 外连接

如果从 Azure 外部连接,则连接默认具有 Proxy 连接策略。 Proxy 策略是指通过 Azure SQL 数据库网关建立 TCP 会话,并且所有后续数据包通过网关传输。 下图演示了此流量流。

此图显示如何通过 Azure SQL 数据库网关建立 TCP 会话,以及所有后续数据包如何流经网关。

重要

打开 TCP 端口 1434 和 14000-14999,以允许使用 DAC 进行连接

网关 IP 地址

下表列出了各个网关 IP 地址以及每个区域的网关 IP 地址子网。

我们将定期停用单个网关 IP 地址,并将流量迁移到网关 IP 地址子网。

我们强烈建议客户不要依赖任何单个网关 IP 地址(因为这些地址将在未来停用)。 请改为允许网络流量到达区域内的单个网关 IP 地址网关 IP 地址子网。

重要

  • 对于 SQL 数据库或 Azure Synapse 中的专用 SQL 池(以前称为 SQL DW),登录可以在区域中的任何单个网关 IP 地址或网关 IP 地址子网上进行。 为了与 SQL 数据库或 Azure Synapse 中的专用 SQL 池(以前称为 SQL DW)保持一致的连接,请允许进出该区域所有单个网关 IP 地址和网关 IP 地址子网的网络流量。

  • 如果使用代理连接策略连接到 Azure SQL 数据库,请使用本部分中的单个网关 IP 地址和网关 IP 地址子网。 如果你使用重定向连接策略,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。

区域名称 网关 IP 地址 网关 IP 地址子网
中国东部 139.219.130.35 52.130.112.136/29
中国东部 2 40.73.82.1 52.130.120.88/29
中国北部 52.130.128.88/29
中国北部 2 40.73.50.0 52.130.40.64/29