Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
本文介绍将网络流量定向到 Azure SQL 数据库中服务器的各种组件的体系结构。 详细了解不同的连接策略,以及它们如何影响从 Azure 内部连接的客户端以及从 Azure 外部连接的客户端。
- 有关 Azure SQL 数据库的连接字符串,请参阅连接到和查询 Azure SQL 数据库。
- 有关控制 Azure SQL 数据库的 逻辑服务器的 连接的设置,请参阅 连接设置。
- 本文不适用于 Azure SQL 托管实例。 请参阅 Azure SQL 托管实例的连接体系结构。
- 本文 不适用于 Azure Synapse Analytics 中的已解码 SQL 池。
- 有关控制与 Azure Synapse Analytics 中专用 SQL 池的连接的设置,请参阅 Azure Synapse Analytics 连接设置。
- 有关 Azure Synapse Analytics 池的连接字符串,请参阅连接到 Synapse SQL。
下图提供连接体系结构的综合概述。
以下步骤描述如何建立连接:
- 客户端连接到网关,后者使用公共 IP 地址并侦听端口 1433。
- 根据有效的连接策略,网关将流量重定向或代理到正确的数据库群集。
- 在数据库群集中,流量被转发到相应的数据库。
逻辑 SQL 服务器支持服务器的连接策略设置的以下三个选项。
重定向(建议): 客户端直接与托管数据库的节点建立连接,从而降低延迟并改进吞吐量。 若要通过连接来使用此模式,客户端需要:
- 在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使其更易于管理。 如果使用专用链接,请参阅将重定向连接策略与专用终结点配合使用,了解允许的端口范围。
- 在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。
代理: 在此模式下,所有连接都通过 Azure SQL 数据库网关来代理,导致延迟增大和吞吐量降低。 若要通过连接来使用此模式,客户端需满足以下条件:在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用代理连接策略时,请参阅本文后面的网关 IP 地址列表,了解你所在区域允许的 IP 地址。
默认值:除非显式将连接策略更改为 或
Proxy,否则,在创建后,此连接策略将在所有服务器上生效。 默认策略为:Redirect用于源自 Azure 的所有客户端连接(例如,来自 Azure 虚拟机)。Proxy用于源自外部的所有客户端连接(例如,来自本地工作站的连接)。
我们强烈建议使用 Redirect 连接策略而不要使用 Proxy 连接策略,以最大程度地降低延迟和提高吞吐量。 但是,你需要满足允许网络流量进行出站通信的附加要求:
- 如果客户端是 Azure 虚拟机,可将网络安全组 (NSG) 与服务标记配合使用来实现它。
- 如果客户端从本地工作站进行连接,则可能需要联系网络管理员,让其允许网络流量通过公司防火墙。
若要更改连接策略,请参阅更改连接策略。
如果从 Azure 内部连接,则连接默认具有 Redirect 连接策略。 Redirect 这一策略意味着,在建立 TCP 会话后,客户端会话会被重定向到正确的数据库群集,同时将 Azure SQL 数据库网关的目标虚拟 IP 更改为群集的目标虚拟 IP。 此后,所有后续数据包直接流向群集,绕过网关。 下图演示了此流量流。
如果从 Azure 外部连接,则连接默认具有 Proxy 连接策略。 Proxy 策略是指通过 Azure SQL 数据库网关建立 TCP 会话,并且所有后续数据包通过网关传输。 下图演示了此流量流。
Importante
打开 TCP 端口 1434 和 14000-14999,以允许使用 DAC 进行连接
下表列出了各个网关 IP 地址以及每个区域的网关 IP 地址子网。
我们将定期停用单个网关 IP 地址,并将流量迁移到网关 IP 地址子网。
我们强烈建议客户不要依赖任何单个网关 IP 地址(因为这些地址将在未来停用)。 请改为允许网络流量到达区域内的单个网关 IP 地址和网关 IP 地址子网。
Importante
SQL 数据库登录名可以登陆区域中的任何一个网关 IP 地址或网关 IP 地址子网。 为了与 SQL 数据库保持一致的连接,允许网络流量往返于某个区域中的所有单个网关 IP 地址和网关 IP 地址子网。
如果使用代理连接策略连接到 Azure SQL 数据库,请使用本部分中的单个网关 IP 地址和网关 IP 地址子网。 如果你使用重定向连接策略,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。
| 区域名称 | 网关 IP 地址 | 网关 IP 地址子网 |
|---|---|---|
| 中国东部 | 139.219.130.35 | 52.130.112.136/29 |
| 中国东部 2 | 40.73.82.1 | 52.130.120.88/29 |
| 中国北部 | 52.130.128.88/29 | |
| 中国北部 2 | 40.73.50.0 | 52.130.40.64/29 |
- 若要了解使用 ADO.NET 4.5 或更高版本的客户端的 Azure SQL 数据库连接行为,请参阅用于 ADO.NET 4.5 的非 1433 端口。
- 若要了解常规应用程序开发的概述信息,请参阅SQL 数据库应用程序开发概述。
- 请参阅 Azure IP Ranges and Service Tags - China Cloud(Azure IP 范围和服务标记 - 中国云)