Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
База данных SQL AzureAzure Synapse Analytics (только выделенные пулы SQL)
Правила исходящего брандмауэра ограничивают сетевой трафик от логического сервера Базы данных SQL Azure до пользовательского списка учетных записей хранения Azure и логических серверов Базы данных SQL Azure. Любая попытка доступа к учетным записям хранения или базам данных с ресурсов, не входящих в этот список, отклоняется. Эта возможность поддерживается для следующих функций Базы данных SQL Azure:
- Аудит
- Оценка уязвимостей
- Служба импорта и экспорта
- OPENROWSET
- Массовая вставка
- sp_вызвать_внешнюю_конечную_точку_rest
Внимание
- Эта статья применима к Базе данных Azure SQL и выделенному пулу SQL (ранее — SQL DW) в Azure Synapse Analytics. Эти параметры применяются ко всем базам данных Базы данных SQL Azure и выделенного пула SQL (ранее SQL DW), связанным с сервером. Для простоты термин "база данных" применяется к обеим из них. Аналогичным образом, сервером называется логический экземпляр SQL Server, на котором размещены База данных SQL Azure выделенный пул SQL (ранее — SQL DW) в Azure Synapse Analytics. Эта статья не применима к Управляемому экземпляру SQL Azure или выделенным пулам SQL в рабочих областях Azure Synapse Analytics.
- Правила брандмауэра для исходящего трафика определяются на логическом сервере. Для георепликации и групп отработки отказа требуется один и тот же набор правил для определения основного и всех вторичных файлов.
Настройка правил брандмауэра для исходящего трафика на портале Azure
В разделе "Безопасность" выберите "Сеть".
Перейдите на вкладку "Подключение ". В разделе "Исходящие сети" выберите ссылку на настройку ограничений исходящей сети.
Откроется следующая область:
Установите флажок "Ограничить исходящие сети".
Нажмите кнопку "Добавить домен" и укажите полное доменное имя для учетных записей хранения (или баз данных в базе данных SQL Azure).
Завершив ввод данных, вы увидите примерно такую информацию на экране. Чтобы применить эти параметры, щелкните ОК.
Настройка правил брандмауэра для исходящего трафика с помощью PowerShell
Внимание
Модуль PowerShell Azure Resource Manager (AzureRM) был объявлен устаревшим с 29 февраля 2024 г. Все будущие разработки должны использовать модуль Az.Sql. Пользователям рекомендуется выполнить миграцию из AzureRM в модуль Az PowerShell, чтобы обеспечить постоянную поддержку и обновления. Модуль AzureRM больше не поддерживается и не сопровождается. Аргументы команд в модуле Az PowerShell и в модулях AzureRM существенно идентичны. Дополнительные сведения о совместимости см. в статье Знакомство с новым модулем Az PowerShell.
Для работы следующего сценария требуется модуль Azure PowerShell.
В следующем скрипте PowerShell показано, как изменить параметры исходящей сети (с помощью свойства RestrictOutboundNetworkAccess):
# Get current settings for Outbound Networking
(Get-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>).RestrictOutboundNetworkAccess
# Update setting for Outbound Networking
$SecureString = ConvertTo-SecureString "<ServerAdminPassword>" -AsPlainText -Force
Set-AzSqlServer -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -SqlAdministratorPassword $SecureString -RestrictOutboundNetworkAccess "Enabled"
Используйте эти командлеты PowerShell для настройки правил исходящего брандмауэра:
# List all Outbound Firewall Rules
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName>
# Add an Outbound Firewall Rule
New-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN testOBFR1
# List a specific Outbound Firewall Rule
Get-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>
#Delete an Outbound Firewall Rule
Remove-AzSqlServerOutboundFirewallRule -ServerName <SqlServerName> -ResourceGroupName <ResourceGroupName> -AllowedFQDN <StorageAccountFQDN>
Настройка правил брандмауэра для исходящего трафика с помощью Azure CLI
Внимание
Для всех скриптов в этом разделе требуется Azure CLI.
Azure CLI в оболочке Bash
В следующем скрипте CLI показано, как изменить исходящий сетевой параметр (с помощью свойства restrictOutboundNetworkAccess ) в оболочке bash:
# Get current setting for Outbound Networking
az sql server show -n sql-server-name -g sql-server-group --query "restrictOutboundNetworkAccess"
# Update setting for Outbound Networking
az sql server update -n sql-server-name -g sql-server-group --set restrictOutboundNetworkAccess="Enabled"
Используйте следующие команды CLI для настройки правил исходящего брандмауэра:
# List a server's outbound firewall rules.
az sql server outbound-firewall-rule list -g sql-server-group -s sql-server-name
# Create a new outbound firewall rule
az sql server outbound-firewall-rule create -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN
# Show the details for an outbound firewall rule.
az sql server outbound-firewall-rule show -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN
# Delete the outbound firewall rule.
az sql server outbound-firewall-rule delete -g sql-server-group -s sql-server-name --outbound-rule-fqdn allowedFQDN