Azure SQL 连接设置

适用于:Azure SQL 数据库Azure Synapse Analytics(仅限专用 SQL 池)

本文介绍的设置可用于控制 Azure Synapse Analytics 中与 Azure SQL 数据库和专用 SQL 池(以前的 SQL DW)的服务器的连接。 这些设置适用于所有与服务器关联的 SQL 数据库和专用 SQL 池(以前的 SQL DW)数据库。

可以从逻辑服务器的网络选项卡更改这些设置:

Screenshot of the Firewalls and virtual networks settings in Azure portal for SQL server.

重要

本文不适用于 Azure SQL 托管实例。 本文也不适用于 Azure Synapse Analytics 工作区中的专用 SQL 池。 有关如何使用工作区为 Azure Synapse Analytics 配置 IP 防火墙规则的指南,请参阅 Azure Synapse Analytics IP 防火墙规则

拒绝公用网络访问

客户可以选择使用公共终结点(使用基于 IP 的服务器级防火墙规则或虚拟网络防火墙规则)或专用终结点(使用 Azure 专用链接)连接到数据库,如网络访问概述中所述。

当将“公用网络访问”设置为“禁用”时,将只允许从专用终结点进行连接。 将拒绝从公共终结点进行的所有连接,并显示如下错误消息:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

当将“公用网络访问”设置为“禁用”时,将拒绝添加、删除或编辑任何防火墙规则的所有尝试,并显示如下错误消息:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

确保将“公用网络访问”设置为“所选网络”,以便能够添加、删除或编辑 Azure SQL 数据库和 Azure Synapse Analytics 的任何防火墙规则。

更改公用网络访问

可以通过 Azure 门户、Azure PowerShell 和 Azure CLI 更改公用网络访问。

若要为托管数据库的逻辑服务器启用公用网络访问,请转到 Azure 门户Azure 逻辑服务器的“网络”页,选择“公共访问”选项卡,然后将“公用网络访问”设置为“选择网络”。

在此页中,可以添加虚拟网络规则,并为公共终结点配置防火墙规则。

选择“专用访问”选项卡以配置专用终结点

注意

这些设置在应用后会立即生效。 如果客户不满足每个设置的要求,则可能会遇到连接丢失的情况。

最低 TLS 版本

借助最低传输层安全性 (TLS) 版本设置,客户可以选择其 SQL 数据库使用哪个 TLS 版本。 可以使用 Azure 门户、Azure PowerShell 和 Azure CLI 更改最低 TLS 版本。

目前,我们支持 TLS 1.0、1.1 和 1.2。 设置最低 TLS 版本可确保支持更新的 TLS 版本。 例如,如果选择 TLS 版本 1.1,表示仅接受使用 TLS 1.1 和 1.2 的连接,并拒绝使用 TLS 1.0 的连接。 在测试以确认应用程序支持它后,建议将最低 TLS 版本设置为 1.2。 此版本包括对以前版本中漏洞的修复,以及 Azure SQL 数据库中支持的最高 TLS 版本。

重要

最低 TLS 版本的默认设置为允许使用所有版本。 在设置为 TLS 的某个版本后,不能还原为默认值。

如果客户使用的应用程序依赖于更低的 TLS 版本,我们建议根据应用程序的要求设置最低 TLS 版本。 如果应用程序要求未知或工作负载依赖于不再维护的旧驱动程序,建议不要设置任何最低 TLS 版本。

有关详细信息,请参阅 SQL 数据库连接的 TLS 注意事项

设置最低 TLS 版本后,如果客户所使用服务器的 TLS 版本低于最低 TLS 版本,则其登录尝试将失败并显示以下错误:

Error 47072
Login failed with invalid TLS version

注意

配置最低 TLS 版本时,该最低版本将在应用程序层强制执行。 当直接针对 SQL 数据库终结点运行时,尝试在协议层确定 TLS 支持的工具可能会返回 TLS 版本以及所需的最低版本。

Azure 门户中,转到你的 SQL Server 资源。 在“安全”设置下,选择“网络”,然后选择“连接”选项卡。选择与服务器关联的所有数据库所需的“最低 TLS 版本”,然后选择“保存”。

Screenshot of the Connectivity tab of the Networking settings for your logical server, minimal TLS version drop-down selected.

更改连接策略

连接策略确定客户连接到 Azure SQL 数据库的方式。

可以使用 Azure 门户、Azure PowerShell 和 Azure CLI 更改连接策略。

可以使用 Azure 门户更改逻辑服务器的连接策略。

Azure 门户中,转到你的 SQL Server 资源。 在“安全”设置下,选择“网络”,然后选择“连接”选项卡。选择所需的连接策略,然后选择“保存”。

Screenshot of the Connectivity tab of the Networking page, Connection policy selected.

后续步骤

  • 若要大致了解 Azure SQL 数据库中的连接工作原理,请参阅连接体系结构
  • 有关如何更改服务器的连接策略的信息,请参阅 conn-policy