Azure Synapse Analytics 连接设置

可以使用公共网络访问功能，允许与 Azure Synapse 工作区建立传入的公共网络连接。

• 公用网络访问处于禁用状态时，只能使用专用终结点连接到工作区。
• 启用公共网络访问时，您还可以从公共网络连接到您的工作区。 可以在创建工作区期间和之后管理此功能。

选择“禁用”选项不会应用你可能配置的任何防火墙规则。 此外，防火墙规则将在 Synapse 门户的“网络”设置中灰显。 再次启用公用网络访问时，会重新应用防火墙配置。

1. 在 Azure 门户中创建工作区时，请选择“网络”选项卡。

2. 在“托管虚拟网络”下，选择“启用”以将工作区与托管虚拟网络关联，并允许进行公用网络访问。

3. 在“公用网络访问”下，选择“禁用”以拒绝对工作区的公用访问 。 如果要允许对工作区进行公用访问，则选择“启用”。

   

4. 完成工作区创建流程的其余部分。

1. 在 Azure 门户中选择 Synapse 工作区。

2. 从左侧导航栏中选择“网络”。

3. 选择“禁用”以拒绝对工作区的公用访问。 如果要允许对工作区进行公用访问，则选择“已启用”。

   

4. 处于禁用状态时，“防火墙规则”会灰显以指示防火墙规则未生效。 防火墙规则配置会保留。

5. 选择“保存”以保存更改。 通知会确认已成功保存网络设置。

无服务器 SQL 终结点和开发终结点仅接受 TLS 1.2 及更高版本。

自 2021 年 12 月以来，新 Synapse 工作区中工作区管理的专用 SQL 池至少需要 TLS 1.2 级别。 可以使用最低 TLS REST API 对新 Synapse 工作区或现有工作区提高或降低此要求，以支持无法在工作区中使用更高 TLS 客户端版本的用户建立连接。 客户还可以提高最低 TLS 版本来满足其安全需求。

阻止修改 Synapse 工作区中网络设置的 Azure 策略目前不可用。

可以在逻辑服务器中更改这些设置。 逻辑 SQL 服务器可以同时托管不在 Azure Synapse Analytics 工作区中的 Azure SQL 数据库和独立专用 SQL 池。

可以通过 Azure 门户、Azure PowerShell 和 Azure CLI 更改独立专用 SQL 池的公共网络访问。

若要为托管独立专用 SQL 池的逻辑服务器启用公用网络访问，请执行以下作：

1. 转到 Azure 门户，转到 Azure 中的逻辑服务器。
2. 在“安全性”部分下，选择“网络”页。
3. 选择“公用访问”选项卡，然后将“公用网络访问”设置为“选择网络”。

在此页中，可以添加虚拟网络规则，并为公共终结点配置防火墙规则。

选择“专用访问”选项卡以配置专用终结点。

可以使用 Azure PowerShell 更改公用网络访问。

下面的 PowerShell 脚本展示了如何在服务器级别 Get 和 Set“公用网络访问”属性。 在以下 PowerShell 示例脚本中，用强密码替换 <strong password>。

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "<strong password>" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

可以使用 Azure CLI 更改公用网络设置。

以下 CLI 脚本演示如何在 Bash shell 中更改“公用网络访问”设置：

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

“公用网络访问”默认设置为“禁用”。 客户可以选择使用公共终结点（使用基于 IP 的服务器级防火墙规则或虚拟网络防火墙规则）或专用终结点（使用 Azure 专用链接）连接到数据库，如网络访问概述中所述。

当将“公用网络访问”设置为“禁用”时，将只允许从专用终结点进行连接。 将拒绝从公共终结点进行的所有连接，并显示如下错误消息：

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

当将“公用网络访问”设置为“禁用”时，将拒绝添加、删除或编辑任何防火墙规则的所有尝试，并显示如下错误消息：

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

确保 将公共网络访问 设置为 “所选网络 ”，以便能够为 Azure Synapse Analytics 添加、删除或编辑任何防火墙规则。

最低 传输层安全性 （TLS） 版本设置允许客户选择正在使用的 TLS 版本。 可以使用 Azure 门户、Azure PowerShell 和 Azure CLI 更改最低 TLS 版本。

测试以确认应用程序是否支持它后，建议将最低 TLS 版本设置为 1.3。 此版本包括早期版本中漏洞的修复，是独立专用 SQL 池支持的最高 TLS 版本。

Azure 已宣布对旧 TLS 版本（TLS 1.0 和 1.1）的支持将于 2025 年 8 月 31 日结束。 有关详细信息，请参阅 TLS 1.0 和 1.1 弃用。

从 2024 年 11 月开始，将无法再为低于 TLS 1.2 的 Azure Synapse Analytics 客户端连接设置最低 TLS 版本。

可使用 Azure 门户、Azure PowerShell 或 Azure CLI 配置客户端连接的最低 TLS 版本。

如果客户使用的应用程序依赖于更低的 TLS 版本，我们建议根据应用程序的要求设置最低 TLS 版本。 如果应用程序要求未知或工作负载依赖于不再维护的旧驱动程序，建议不要设置任何最低 TLS 版本。

有关详细信息，请参阅 有关数据库连接的 TLS 注意事项。

设置最低 TLS 版本后，如果客户所使用的 TLS 版本低于服务器的最低 TLS 版本，则将无法进行身份认证，并显示以下错误：

Error 47072
Login failed with invalid TLS version

1. 转到 Azure 门户，转到 Azure 中的逻辑服务器。
2. 在“安全性”部分下，选择“网络”页。
3. 选择“连接”选项卡。选择与服务器关联的所有数据库所需的“最低 TLS 版本”，然后选择“保存”。

可以使用 Azure PowerShell 更改最低 TLS 版本。

以下 PowerShell 脚本演示如何在逻辑服务器级别设置Get最低 TLS 版本属性：

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

若要在逻辑服务器层级设置Set最低 TLS 版本属性，请用您的 Sql 管理员密码替换<strong_password_here_password>并执行：

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "<strong_password_here_password>" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

可以使用 Azure CLI 更改最低 TLS 设置。

以下 CLI 脚本演示如何在 Bash shell 中更改“最低 TLS 版本”设置：

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

可以使用 Azure 门户和 SQL 审核日志来识别使用 TLS 1.0 和 1.1 进行连接的客户端。

在 Azure 门户中，转到数据库资源的“监视”下的“指标”，然后按“成功连接”以及 TLS 版本 = 1.0 和 1.1 进行筛选：

还可以直接在数据库中查询 sys.fn_get_audit_file 以查看 client_tls_version_name 审核文件中的内容。