Azure SQL 数据库和 Azure Synapse Analytics 连接体系结构

适用于: Azure SQL 数据库 Azure Synapse Analytics

本文介绍了将网络流量定向到 Azure SQL 数据库或 Azure Synapse Analytics 的服务器的各种组件的体系结构。 它还介绍了不同的连接策略,以及这些策略如何影响从 Azure 内部连接的客户端以及从 Azure 外部连接的客户端。

重要

本文不适用于 Azure SQL 托管实例。 请参阅 托管实例的连接体系结构

连接体系结构

下图提供连接体系结构的综合概述。

此图提供连接体系结构的概览。

以下步骤介绍如何建立与 Azure SQL 数据库的连接:

  • 客户端连接到网关,后者使用公共 IP 地址并侦听端口 1433。
  • 该网关根据有效的连接策略将流量重定向或代理到适当的数据库群集。
  • 在数据库群集中,流量转发到相应的数据库。

连接策略

SQL 数据库和 Azure Synapse 中的服务器支持以下三个服务器连接策略设置选项:

  • 重定向(建议): 客户端直接与托管数据库的节点建立连接,从而降低延迟并改进吞吐量。 若要通过连接来使用此模式,客户端需要:

    • 在范围为 11000 到 11999 的端口上允许从客户端到区域中所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使其更易于管理。
    • 在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
  • 代理: 在此模式下,所有连接都通过 Azure SQL 数据库网关来代理,导致延迟增大和吞吐量降低。 若要通过连接来使用此模式,客户端需满足以下条件:在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。

  • 默认值:除非显式将连接策略更改为 ProxyRedirect,否则,在创建后,此连接策略将在所有服务器上生效。 对于所有源自 Azure 内部的客户端连接(例如,源自 Azure 虚拟机的连接),默认策略为 Redirect;对于所有源自外部的客户端连接(例如,源自本地工作站的连接),默认策略为 Proxy

我们强烈建议使用 Redirect 连接策略而不要使用 Proxy 连接策略,以最大程度地降低延迟和提高吞吐量。 但是,你需要满足上述允许网络流量的附加要求。 如果客户端为 Azure 虚拟机,则可将网络安全组 (NSG) 与服务标记配合使用来实现它。 如果客户端从本地工作站进行连接,则可能需要联系网络管理员,让其允许网络流量通过公司防火墙。

从 Azure 内连接

如果从 Azure 内部连接,则连接默认具有 Redirect 连接策略。 Redirect 策略是指建立到 Azure SQL 数据库的 TCP 会话连接后,会将 Azure SQL 数据库网关的目标虚拟 IP 更改为群集的目标虚拟 IP,从而将客户端会话重定向到适当的数据库群集。 此后,所有后续数据包绕过 Azure SQL 数据库网关,直接传输到群集。 下图演示了此流量流。

体系结构概述

从 Azure 外连接

如果从 Azure 外部连接,则连接默认具有 Proxy 连接策略。 Proxy 策略是指通过 Azure SQL 数据库网关建立 TCP 会话,并且所有后续数据包通过网关传输。 下图演示了此流量流。

此图显示如何通过 Azure SQL 数据库网关建立 TCP 会话,以及所有后续数据包如何流经网关。

重要

另请打开 TCP 端口 1434 和 14000-14999,以便使用 DAC 进行连接

网关 IP 地址

下表列出了各个网关 IP 地址以及每个区域网关 IP 地址范围。

我们会定期停用使用旧硬件的网关,并将流量迁移到新网关。 强烈建议客户使用网关 IP 地址子网,以便不会在区域中受此活动的影响。

重要

SQL 数据库或 Azure Synapse 的登录名可以驻留在某个区域中的任何网关上。 为了与 SQL 数据库或 Azure Synapse 保持一致的连接性,允许进出该区域所有网关 IP 地址和网关 IP 地址子网的网络流量。

区域名称 网关 IP 地址 网关 IP 地址子网
中国东部 139.219.130.35 52.130.112.136/29
中国东部 2 40.73.82.1 52.130.120.88/29
中国北部 139.219.15.17 52.130.128.88/29
中国北部 2 40.73.50.0 52.130.40.64/29

后续步骤