本文介绍将网络流量定向到 Azure SQL 数据库中服务器的各种组件的体系结构。 详细了解不同的连接策略,以及它们如何影响从 Azure 内部连接的客户端以及从 Azure 外部连接的客户端。
- 有关 Azure SQL 数据库的连接字符串,请参阅连接到和查询 Azure SQL 数据库。
- 有关控制 Azure SQL 数据库的 逻辑服务器的 连接的设置,请参阅 连接设置。
- 本文不适用于 Azure SQL 托管实例。 请参阅 Azure SQL 托管实例的连接体系结构。
- 本文 不适用于 Azure Synapse Analytics 中的专用 SQL 池。
- 有关控制与 Azure Synapse Analytics 中专用 SQL 池的连接的设置,请参阅 Azure Synapse Analytics 连接设置。
- 有关 Azure Synapse Analytics 池的连接字符串,请参阅连接到 Synapse SQL。
连接体系结构
下图提供连接体系结构的综合概述。
以下步骤描述如何建立连接:
- 客户端连接到网关,后者使用公共 IP 地址并侦听端口 1433。
- 根据有效的连接策略,网关将流量重定向或代理到正确的数据库群集。
- 在数据库群集中,流量被转发到相应的数据库。
连接策略
逻辑 SQL 服务器支持服务器的连接策略设置的以下三个选项。
-
重定向(建议): 客户端直接与托管数据库的节点建立连接,从而降低延迟并改进吞吐量。 若要使连接使用此模式,客户端需要:
- 在范围为 11000 到 11999 的端口上允许从客户端到区域中的所有 Azure SQL IP 地址的出站通信。 使用 SQL 服务标记,使其更易于管理。 如果使用专用链接,请参阅将重定向连接策略与专用终结点配合使用,了解允许的端口范围。
- 在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用重定向连接策略时,请参阅 Azure IP 范围和服务标记 - 中国云获取你所在区域允许的 IP 地址列表。
-
代理: 在此模式下,所有连接都通过 Azure SQL 数据库网关来代理,导致延迟增大和吞吐量降低。 若要通过连接来使用此模式,客户端需满足以下条件:在端口 1433 上允许从客户端到 Azure SQL 数据库网关 IP 地址的出站通信。
- 使用代理连接策略时,请参阅本文后面的网关 IP 地址列表,了解你所在区域允许的 IP 地址。
- 默认值:除非显式将连接策略更改为 或
Proxy,否则,在创建后,此连接策略将在所有服务器上生效。 默认策略为:-
Redirect用于源自 Azure 的所有客户端连接(例如,来自 Azure 虚拟机)。 -
Proxy用于源自外部的所有客户端连接(例如,来自本地工作站的连接)。
-
我们强烈建议使用 Redirect 连接策略而不要使用 Proxy 连接策略,以最大程度地降低延迟和提高吞吐量。 但是,你需要满足允许网络流量进行出站通信的附加要求:
- 如果客户端是 Azure 虚拟机,可将网络安全组 (NSG) 与服务标记配合使用来实现它。
- 如果客户端从本地工作站进行连接,则可能需要联系网络管理员,让其允许网络流量通过公司防火墙。
若要更改连接策略,请参阅更改连接策略。
从 Azure 内连接
如果从 Azure 内部连接,则连接默认具有 Redirect 连接策略。
Redirect 这一策略意味着,在建立 TCP 会话后,客户端会话会被重定向到正确的数据库群集,同时将 Azure SQL 数据库网关的目标虚拟 IP 更改为群集的目标虚拟 IP。 此后,所有后续数据包直接流向群集,绕过网关。 下图演示了此流量流。
从 Azure 外连接
如果从 Azure 外部连接,则连接默认具有 Proxy 连接策略。
Proxy 策略是指通过 Azure SQL 数据库网关建立 TCP 会话,并且所有后续数据包通过网关传输。 下图演示了此流量流。
重要
打开 TCP 端口 1434 和 14000-14999,以允许使用 DAC 进行连接
网关 IP 地址
本部分列出了分配给 SQL 数据库的区域网关的 IP 地址范围。
当代理 连接策略 生效时,数据库客户端必须能够访问逻辑服务器区域的所有范围内所有给定的 IP 地址。 使用重定向连接类型,客户端必须能够访问更广泛的 IP 地址集。有关完整列表,请参阅 Azure IP 范围和服务标记 - 中国云 中的 Sql.\<region\> 服务标记。
连接到专用终结点的客户端不需要连接到这些范围中的任何一个,因为专用终结点与网关有直接连接。
| 区域名称 | 网关 IP 地址范围 |
|---|---|
| 中国东部 | 52.130.13.96/27, 52.130.112.136/29 |
| 中国东部 2 | 52.130.7.0/27, 52.130.120.88/29 |
| 中国东部 3 | 52.131.155.192/29, 163.228.53.32/27 |
| 中国北部 | 40.72.77.128/27, 52.130.128.88/29 |
| 中国北部 2 | 52.130.21.160/27, 52.130.40.64/29 |
| 中国北部 3 | 52.131.27.192/29, 159.27.21.32/27, 159.27.195.192/29, 159.27.203.192/29 |
相关内容
- 若要了解使用 ADO.NET 4.5 或更高版本的客户端的 Azure SQL 数据库连接行为,请参阅用于 ADO.NET 4.5 的非 1433 端口。
- 若要了解常规应用程序开发的概述信息,请参阅SQL 数据库应用程序开发概述。
- 请参阅 Azure IP Ranges and Service Tags - China Cloud(Azure IP 范围和服务标记 - 中国云)