本文介绍将网络流量定向到 Azure SQL 数据库中服务器的各种组件的体系结构。 详细了解不同的连接策略,以及它们如何影响从 Azure 内部连接的客户端以及从 Azure 外部连接的客户端。
- 有关 Azure SQL 数据库的连接字符串,请参阅连接到和查询 Azure SQL 数据库。
- 有关控制 Azure SQL 数据库的 逻辑服务器的 连接的设置,请参阅 连接设置。
- 本文不适用于 Azure SQL 托管实例。 请参阅 Azure SQL 托管实例的连接体系结构。
- 本文 不适用于 Azure Synapse Analytics 中的已解码 SQL 池。
- 有关控制与 Azure Synapse Analytics 中专用 SQL 池的连接的设置,请参阅 Azure Synapse Analytics 连接设置。
- 有关 Azure Synapse Analytics 池的连接字符串,请参阅连接到 Synapse SQL。
连接体系结构
下图提供连接体系结构的综合概述。
以下步骤描述如何建立连接:
- 客户端连接到网关,后者使用公共 IP 地址并侦听端口 1433。
- 根据有效的连接策略,网关将流量重定向或代理到正确的数据库群集。
- 在数据库群集中,流量被转发到相应的数据库。
连接策略
逻辑 SQL 服务器支持服务器的连接策略设置的以下三个选项。
重定向(建议): 客户端直接与托管数据库的节点建立连接,从而降低延迟并改进吞吐量。 若要通过连接来使用此模式,客户端需要:
- 在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使其更易于管理。 如果使用专用链接,请参阅将重定向连接策略与专用终结点配合使用,了解允许的端口范围。
- 在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。
代理: 在此模式下,所有连接都通过 Azure SQL 数据库网关来代理,导致延迟增大和吞吐量降低。 若要通过连接来使用此模式,客户端需满足以下条件:在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用代理连接策略时,请参阅本文后面的网关 IP 地址列表,了解你所在区域允许的 IP 地址。
默认值:除非显式将连接策略更改为 或
Proxy,否则,在创建后,此连接策略将在所有服务器上生效。 默认策略为:-
Redirect用于源自 Azure 的所有客户端连接(例如,来自 Azure 虚拟机)。 -
Proxy用于源自外部的所有客户端连接(例如,来自本地工作站的连接)。
-
我们强烈建议使用 Redirect 连接策略而不要使用 Proxy 连接策略,以最大程度地降低延迟和提高吞吐量。 但是,你需要满足允许网络流量进行出站通信的附加要求:
- 如果客户端是 Azure 虚拟机,可将网络安全组 (NSG) 与服务标记配合使用来实现它。
- 如果客户端从本地工作站进行连接,则可能需要联系网络管理员,让其允许网络流量通过公司防火墙。
若要更改连接策略,请参阅更改连接策略。
从 Azure 内连接
如果从 Azure 内部连接,则连接默认具有 Redirect 连接策略。
Redirect 这一策略意味着,在建立 TCP 会话后,客户端会话会被重定向到正确的数据库群集,同时将 Azure SQL 数据库网关的目标虚拟 IP 更改为群集的目标虚拟 IP。 此后,所有后续数据包直接流向群集,绕过网关。 下图演示了此流量流。
从 Azure 外连接
如果从 Azure 外部连接,则连接默认具有 Proxy 连接策略。
Proxy 策略是指通过 Azure SQL 数据库网关建立 TCP 会话,并且所有后续数据包通过网关传输。 下图演示了此流量流。
重要
打开 TCP 端口 1434 和 14000-14999,以允许使用 DAC 进行连接
网关 IP 地址
下表列出了每个区域的单个网关 IP 地址和网关 IP 地址子网。
我们将定期停用单个网关 IP 地址,并将流量迁移到网关 IP 地址子网。
我们强烈建议客户不再依赖 任何单个网关 IP 地址 (因为这些地址将来将停用)。 请改为允许网络流量到达区域内的单个网关 IP 地址和网关 IP 地址子网。
重要
- SQL 数据库登录名可以登陆区域中的任何一个网关 IP 地址或网关 IP 地址子网。 为了与 SQL 数据库保持一致的连接,允许网络流量往返于某个区域中的所有单个网关 IP 地址和网关 IP 地址子网。
- 如果使用代理连接策略连接到数据库,请使用本部分中的单个网关 IP 地址和网关 IP 地址子网。
- 如果你使用重定向连接策略,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。
| 区域名称 | 网关 IP 地址 | 网关 IP 地址子网 |
|---|---|---|
| 中国东部 | 139.219.130.35 | 52.130.112.136/29 |
| 中国东部 2 | 40.73.82.1 | 52.130.120.88/29 |
| 中国北部 | 52.130.128.88/29 | |
| 中国北部 2 | 40.73.50.0 | 52.130.40.64/29 |
相关内容
- 若要了解使用 ADO.NET 4.5 或更高版本的客户端的 Azure SQL 数据库连接行为,请参阅用于 ADO.NET 4.5 的非 1433 端口。
- 若要了解常规应用程序开发的概述信息,请参阅SQL 数据库应用程序开发概述。
- 请参阅 Azure IP Ranges and Service Tags - China Cloud(Azure IP 范围和服务标记 - 中国云)