Параметры подключения

Применимо к: База данных SQL Azureбазе данных SQL в Fabric

В этой статье приведены параметры, управляющие подключением к серверу для базы данных SQL Azure и базы данных SQL в Microsoft Fabric.

• Для получения дополнительных сведений о различных компонентах, которые направляют сетевой трафик и политики подключения, см. архитектуру подключения.
• Эта статья не относится к Управляемому экземпляру SQL Azure, вместо этого см. статью "Подключение приложения к Управляемому экземпляру SQL Azure".
• Эта статья не применяется к Azure Synapse Analytics.
  • Параметры, управляющие подключением к выделенным пулам SQL в Azure Synapse Analytics, см. в параметрах подключения Azure Synapse Analytics.
  • Строки подключения к пулам Azure Synapse Analytics см. в статье Connect to Synapse SQL.
  • Руководство по настройке правил брандмауэра для IP-адресов для Azure Synapse Analytics с помощью рабочих областей см. в этой статье.

Сеть или подключение

Эти параметры можно изменить на логическом сервере.

Изменение доступа к общедоступной сети

Можно изменить доступ к общедоступной сети для базы данных SQL Azure с помощью портала Azure, Azure PowerShell и Azure CLI.

# Get the Public Network Access property
(Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).PublicNetworkAccess

# Update Public Network Access to Disabled
$SecureString = ConvertTo-SecureString "password" -AsPlainText -Force

Set-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group -SqlAdministratorPassword $SecureString -PublicNetworkAccess "Disabled"

# Get current setting for Public Network Access
az sql server show -n sql-server-name -g sql-server-group --query "publicNetworkAccess"

# Update setting for Public Network Access
az sql server update -n sql-server-name -g sql-server-group --set publicNetworkAccess="Disabled"

Запретить доступ из общедоступной сети

Значение по умолчанию для параметра доступа к общедоступной сети — Disable. Клиенты могут подключаться к базе данных с помощью общедоступных конечных точек (с правилами брандмауэра на уровне IP-адреса сервера или с правилами брандмауэра виртуальной сети), или частных конечных точек (используя Azure Private Link), как описано в обзоре сетевого доступа.

Если для общедоступного сетевого доступа задано значение Disable, разрешены только подключения из частных конечных точек. Все подключения из общедоступных конечных точек будут отклонены с сообщением об ошибке, аналогичным:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server.
The public network interface on this server is not accessible.
To connect to this server, use the Private Endpoint from inside your virtual network.

Если для общедоступного сетевого доступа задано значение Disable, любые попытки добавить, удалить или изменить правила брандмауэра будут отклонены с сообщением об ошибке, аналогичным:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled.
To manage server or database level firewall rules, please enable the public network interface.

Убедитесь, что общий доступ к сети установлен на выбранные сети, чтобы можно было добавлять, удалять или изменять правила брандмауэра для базы данных SQL Azure.

Минимальная версия TLS

Минимальный параметр версии TLS позволяет клиентам выбрать версию TLS, которую использует база данных SQL. TLS — это криптографический протокол, используемый для защиты обмена данными между клиентом и сервером по сети. Это гарантирует, что конфиденциальная информация, например учетные данные проверки подлинности и запросы к базе данных, безопасна от перехвата и изменения. Минимальную версию TLS можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

Установка минимальной версии TLS обеспечивает базовый уровень соответствия и гарантирует поддержку новых протоколов TLS. Например, выбор TLS 1.2 означает, что принимаются только подключения с TLS 1.2 или TLS 1.3, а подключения с использованием TLS 1.1 или более поздней версии отклоняются.

В настоящее время самая низкая минимальная версия TLS, поддерживаемая базой данных SQL Azure, — TLS 1.2. Эта версия устраняет уязвимости, обнаруженные в более ранних версиях. Рекомендуется установить минимальную версию TLS на TLS 1.2 после тестирования, чтобы убедиться, что приложения совместимы.

Настройка минимальной версии TLS

Минимальную версию TLS для клиентских подключений можно настроить с помощью портал Azure, Azure PowerShell или Azure CLI.

Для заказчиков, использующих приложения, которые применяют более ранние версии TLS, рекомендуется указывать минимальную версию TLS в соответствии с требованиями конкретного приложения. Если требования к приложению неизвестны или рабочие нагрузки используют старые драйверы, которые больше не поддерживаются, рекомендуется не устанавливать минимальную версию TLS.

Дополнительные сведения см. в разделе Рекомендации по использованию протокола TLS для подключения к базе данных SQL.

После установки минимальной версии TLS клиенты, использующие версию TLS ниже минимальной версии TLS сервера, не смогут пройти проверку подлинности с следующей ошибкой:

Error 47072
Login failed with invalid TLS version

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
}

(Get-AzSqlServer @serverParams).MinimalTlsVersion

$serverParams = @{
    ServerName = "sql-server-name"
    ResourceGroupName = "sql-server-group"
    SqlAdministratorPassword = (ConvertTo-SecureString "strong_password_here_password" -AsPlainText -Force)
    MinimalTlsVersion = "1.2"
}
Set-AzSqlServer @serverParams

# Get current setting for Minimal TLS Version
az sql server show -n sql-server-name -g sql-server-group --query "minimalTlsVersion"

# Update setting for Minimal TLS Version
az sql server update -n sql-server-name -g sql-server-group --set minimalTlsVersion="1.2"

Определение клиентских подключений

Портал Azure и журналы аудита SQL можно использовать для идентификации клиентов, подключающихся с помощью TLS 1.0 и 1.1.

В портале Azure перейдите на вкладку Метрики в разделе Мониторинг для вашего ресурса базы данных, а затем отфильтруйте по успешным подключениям и по версиям TLS = 1.0:1.1.

Вы также можете сделать запрос к sys.fn_get_audit_file непосредственно в вашей базе данных, чтобы просмотреть client_tls_version_name в файле аудита и найти события с именем audit_event.

Изменение политики подключения

Политика подключения определяет, как клиенты подключаются. Мы настоятельно рекомендуем политику подключения Redirect вместо политики подключения Proxy для минимальной задержки и максимальной пропускной способности.

Политику подключения можно изменить с помощью портал Azure, Azure PowerShell и Azure CLI.

# Get SQL Server ID
$sqlserverid = (Get-AzSqlServer -ServerName sql-server-name -ResourceGroupName sql-server-group).ResourceId

# Set URI
$id = "$sqlserverid/connectionPolicies/Default"

# Get current connection policy
$resourceParams = @{
    ResourceId = $id
    ApiVersion = "2014-04-01"
    Verbose = $true
}
(Get-AzResource @resourceParams).Properties.ConnectionType

# Update connection policy
$updateParams = @{
    ResourceId = $id
    Properties = @{
        connectionType = "Proxy"
    }
    Force = $true
}
Set-AzResource @updateParams

# Get SQL Server ID
sqlserverid=$(az sql server show -n sql-server-name -g sql-server-group --query 'id' -o tsv)

# Set URI
ids="$sqlserverid/connectionPolicies/Default"

# Get current connection policy
az resource show --ids $ids

# Update connection policy
az resource update --ids $ids --set properties.connectionType=Proxy

# Get SQL Server ID and set URI
FOR /F "tokens=*" %g IN ('az sql server show --resource-group myResourceGroup-571418053 --name server-538465606 --query "id" -o tsv') do (SET sqlserverid=%g/connectionPolicies/Default)

# Get current connection policy
az resource show --ids %sqlserverid%

# Update connection policy
az resource update --ids %sqlserverid% --set properties.connectionType=Proxy

Предстоящие изменения о выходе TLS 1.0 и 1.1

Azure объявила, что поддержка старых версий TLS (TLS 1.0 и 1.1) заканчивается 31 августа 2025 г. Для получения дополнительной информации см. статью Об прекращении поддержки TLS 1.0 и 1.1.

Начиная с ноября 2024 г. вы больше не сможете установить минимальную версию TLS для базы данных SQL Azure и клиентских подключений управляемого экземпляра SQL Azure ниже TLS 1.2.

Почему протокол TLS 1.0 и 1.1 отменяется?

TLS версии 1.0 и 1.1 устарели и больше не соответствуют современным стандартам безопасности. Они уходят в отставку:

• Уменьшите воздействие известных уязвимостей.
• Соответствие отраслевым рекомендациям и требованиям к соответствию требованиям.
• Убедитесь, что клиенты используют более надежные протоколы шифрования, такие как TLS 1.2 или TLS 1.3.

Что произойдет, если tls 1.0 и 1.1 используются после 31 августа 2025 г.?

После 31 августа 2025 г. tls 1.0 и 1.1 больше не будет поддерживаться, а подключения с использованием TLS 1.0 и 1.1, скорее всего, завершится сбоем. Крайне важно перейти к минимуму TLS 1.2 или выше до крайнего срока.

Как проверить, используются ли экземпляры БАЗЫ данных SQL, Управляемого экземпляра SQL, Cosmos DB или MySQL TLS 1.0/1.1?

• Чтобы определить клиенты, подключающиеся к базе данных SQL Azure с помощью TLS 1.0 и 1.1, необходимо включить журналы аудита SQL . С включенным аудитом можно просматривать клиентские подключения.

• Чтобы определить клиенты, подключающиеся к управляемому экземпляру SQL Azure с помощью TLS 1.0 и 1.1, необходимо включить аудит . С включенным аудитом можно использовать журналы аудита с помощью службы хранилища Azure, Центров событий или журналов Azure Monitor для просмотра клиентских подключений.

• Чтобы проверить минимальную версию TLS для Azure Cosmos DB, получите текущее значение minimalTlsVersion свойства с помощью Azure CLI или Azure PowerShell.

• Чтобы проверить минимальную версию TLS, настроенную для сервера Базы данных Azure для MySQL, проверьте значение tls_version параметра сервера с помощью интерфейса командной строки MySQL, чтобы понять, какие протоколы настроены.

Почему моя служба помечена, если я уже настроила TLS 1.2?

Службы могут быть неправильно помечены из-за:

• Периодический возврат к старым версиям TLS устаревшими клиентами.
• Неправильно настроенные клиентские библиотеки или строки подключения, которые не применяют TLS 1.2.
• Задержка телеметрии или ложные срабатывания в логике обнаружения.

Что делать, если я получил уведомление об выходе на пенсию в ошибке?

Если сервер или база данных уже настроены с минимальным протоколом TLS 1.2 или настроены без минимального TLS (параметр по умолчанию в базе данных SQL и управляемом экземпляре minimalTLSVersion SQL, сопоставленном 0с ) и подключение с 1.2, никаких действий не требуется.

Что произойдет, если приложение или клиентская библиотека не поддерживает TLS 1.2?

Подключения завершаются ошибкой после отключения TLS 1.0/1.1. Необходимо обновить клиентские библиотеки, драйверы или платформы до версий, поддерживающих TLS 1.2.

Что делать, если сервер настроен без минимальной версии TLS?

Серверы, настроенные без минимальной версии TLS и подключения к TLS 1.0/1.1, должны быть обновлены до минимальной версии TLS 1.2. Для серверов, настроенных без минимальной версии TLS и подключения к версии 1.2, никаких действий не требуется. Для серверов, настроенных без минимальной версии TLS и использования зашифрованных подключений, никаких действий не требуется.

Как получать уведомления об выходе на пенсию TLS для моих ресурсов?

Напоминания по электронной почте будут продолжаться до выхода TLS 1.0 и 1.1 в августе.

Кто может связаться, если мне нужна помощь в проверке или обновлении параметров TLS?

Если вам нужна помощь по проверке или обновлению параметров TLS, обратитесь в Microsoft Q&A или откройте запрос в службу поддержки на портале Azure, если у вас есть план поддержки.

Связанный контент

• Архитектура подключения