Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
Banco de Dados SQL do AzureAzure Synapse Analytics (somente pools de SQL dedicados)
Quando você cria um servidor lógico a partir do Quickstart: Criar um banco de dados individual – Azure SQL Database para o Azure SQL Database e o Azure Synapse Analytics, o resultado é um ponto de extremidade público no formato: yourservername.database.windows.net.
Por padrão, o servidor lógico nega todas as conexões para garantir a segurança. Você pode usar um ou mais dos seguintes controles de acesso à rede para permitir seletivamente o acesso a um banco de dados por meio do ponto de extremidade público
Regras de firewall baseadas em IP: use este recurso para permitir explicitamente conexões de um endereço IP específico. Por exemplo, de máquinas locais ou de um intervalo de endereços IP especificando o endereço IP inicial e final.
Permitir que os serviços e recursos do Azure acessem este servidor: quando habilitada, outros recursos no limite do Azure podem acessar o banco de dados SQL. Por exemplo, uma máquina virtual do Azure pode acessar os recursos do banco de dados SQL.
Você também pode permitir o acesso privado ao banco de dados de redes virtuais via:
Regras de firewall de rede virtual: use esse recurso para permitir o tráfego de uma determinada rede virtual no limite do Azure.
Link privado: use esse recurso para criar um ponto de extremidade privado para o servidor lógico no Azure em uma rede virtual específica.
Importante
Este artigo não se aplica à Instância Gerenciada de SQL. Para saber mais sobre a configuração de rede necessária, consulte Conectar-se a uma Instância Gerenciada de SQL do Azure.
Regras de firewall de IP
As regras de firewall baseadas em IP são um recurso do servidor lógico no Azure que impede todo o acesso ao servidor até que você adicione explicitamente endereços IP dos computadores cliente.
Há dois tipos de regras de firewall:
- Regras de firewall no nível do servidor: essas regras se aplicam a todos os bancos de dados no servidor. Eles podem ser configurados por meio do portal do Azure, do PowerShell ou de comandos T-SQL, como sp_set_firewall_rule.
- Regras de firewall no nível do banco de dados: essas regras se aplicam a bancos de dados individuais e só podem ser configuradas usando comandos T-SQL como sp_set_database_firewall_rule
Veja a seguir as restrições para nomear regras de firewall:
- O nome da regra de firewall não pode estar vazio.
- Ele não pode conter os seguintes caracteres:
<, >, *, %, &, :, \\, /, ?. - Não pode terminar com um ponto (.).
- O nome da regra de firewall não pode exceder 128 caracteres.
Qualquer tentativa de criar regras de firewall que não atendam a essas restrições falha com uma mensagem de erro. As modificações feitas nas regras de firewall baseadas em IP existentes podem levar até 5 minutos para entrar em vigor.
Permitir serviços do Azure
Por padrão, durante a criação de um novo servidor lógico via portal do Azure, a opção Permitir que os serviços e recursos do Azure acessem este servidor está desmarcada e desabilitada. Ela aparece quando a conectividade é permitida por meio do ponto de extremidade público.
Você também pode alterar essa configuração por meio da opção Rede, depois da criação do servidor lógico, conforme o seguinte:
Quando a opção Permitir que os serviços e recursos do Azure acessem este servidor está habilitada, o servidor permite comunicações de todos os recursos no limite do Azure, não importa se eles fazem ou não parte da assinatura. Nos bastidores, uma regra de firewall especial no nível do servidor é adicionada que inicia e termina com o endereço IP de 0.0.0.0.
Em muitos casos, a habilitação dessa configuração fornece muito mais permissões do que o desejado pela maioria dos clientes. Talvez você queira desmarcar essa configuração e substituí-la por regras de firewall IP mais restritivas ou usar uma das opções para acesso privado.
Importante
Marcar a opção Permitir que os serviços e recursos do Azure acessem este servidor adiciona uma regra de firewall baseada em IP com endereço IP inicial e final de 0.0.0.0
No entanto, isso afeta os seguintes recursos que são executados em máquinas virtuais no Azure que não fazem parte da rede virtual e que, portanto, se conectam ao banco de dados por meio de um endereço IP do Azure:
Serviço de Importação/Exportação
O serviço de importação e exportação não funciona quando Permitir que os serviços e recursos do Azure acessem este servidor não está habilitado. No entanto, é possível resolver o problema executando o SqlPackage manualmente em uma VM do Azure ou executando a exportação diretamente no código por meio da API do DACFx.
Sincronização de Dados
Para usar o recurso de sincronização de dados com Permitir que os serviços e recursos do Azure acessem este servidor desabilitado, é preciso criar entradas de regra de firewall individuais para adicionar endereços IP da marca de serviço SQL para a região que hospeda o banco de dados Hub. Adicione essas regras de firewall no nível dos servidores que hospedam os bancos de dados de Hub e de Membro (que poderiam estar em regiões diferentes).
Use o script do PowerShell a seguir para gerar endereços IP correspondentes à marca de serviço SQL para a região Oeste dos EUA.
PS C:\> $serviceTags = Get-AzNetworkServiceTag -Location eastus2
PS C:\> $sql = $serviceTags.Values | Where-Object { $_.Name -eq "Sql.WestUS" }
PS C:\> $sql.Properties.AddressPrefixes.Count
70
PS C:\> $sql.Properties.AddressPrefixes
13.86.216.0/25
13.86.216.128/26
13.86.216.192/27
13.86.217.0/25
13.86.217.128/26
13.86.217.192/27
Dica
Get-AzNetworkServiceTag retorna o intervalo global para a Marca de Serviço SQL, apesar de especificar o parâmetro de Localização. Filtre-o para a região que hospeda o banco de dados de hub usado pelo grupo de sincronização
A saída do script do PowerShell está na notação CIDR (Roteamento entre Domínios sem Classificação). Ela precisa ser convertida em um formato de endereço IP inicial e final por meio de Get-IPrangeStartEnd.ps1, como a seguir:
PS C:\> Get-IPrangeStartEnd -ip 52.229.17.93 -cidr 26
start end
----- ---
52.229.17.64 52.229.17.127
Você pode usar o script do PowerShell a seguir para converter todos os endereços IP de CIDR no formato de endereço IP inicial e final.
PS C:\>foreach( $i in $sql.Properties.AddressPrefixes) {$ip,$cidr= $i.split('/') ; Get-IPrangeStartEnd -ip $ip -cidr $cidr;}
start end
----- ---
13.86.216.0 13.86.216.127
13.86.216.128 13.86.216.191
13.86.216.192 13.86.216.223
Agora é possível adicioná-las como regras de firewall distintas e desabilitar a configuração Permitir que os serviços e recursos do Azure acessem este servidor.
Marca de Serviço do SQL
As marcas de serviço podem ser usadas em regras de segurança e rotas de clientes para o banco de dados SQL. As marcas de serviço podem ser usadas em grupos de segurança de rede, no Firewall do Azure e em rotas definidas pelo usuário. Para isso, é necessário especificá-las no campo de origem ou destino de uma regra de segurança.
A marca de serviço Sql consiste em todos os endereços IP que estão sendo usados pelo banco de dados SQL. O rótulo é ainda mais segmentado por regiões. Por exemplo Sql.WestUS lista todos os endereços IP usados pelo banco de dados SQL na região Oeste dos EUA.
A marca de serviço Sql consiste nos endereços IP necessários para estabelecer conectividade com o banco de dados SQL, conforme documentado em Endereços IP do gateway. Além disso, uma marca de serviço também será associada a qualquer tráfego de saída do banco de dados SQL usado em recursos como:
- Auditoria do Banco de Dados SQL do Azure e Azure Synapse Analytics
- Avaliação de vulnerabilidades
- Importar ou exportar um Banco de Dados SQL do Azure sem permitir que os serviços do Azure acessem o servidor
- OPENROWSET
- Inserção em Massa
- sp_invoke_external_rest_endpoint
- Razão
- PowerShell e CLI do Azure: habilite o Transparent Data Encryption pela chave gerenciada pelo cliente do Azure Key Vault
Marca de Serviço SqlManagement
A marca de serviço SqlManagement é usada para operações no painel de controle contra o Banco de Dados SQL.
Regras de firewall de rede virtual
Usar pontos de extremidade de serviço de rede virtual e regras para servidores no Banco de Dados SQL do Azure são alternativas mais fáceis para estabelecer e gerenciar o acesso de uma sub-rede específica que contém suas VMs.
Link Privado
O Link Privado permite se conectar a um servidor por meio de um ponto de extremidade privado. Um ponto de extremidade privado é um endereço IP privado em uma rede virtual e uma sub-rede específicas.
Conteúdo relacionado
- Guia de Início Rápido: Criar um banco de dados individual – Banco de Dados SQL do Azure
- Use as regras e pontos de extremidade de serviço da rede virtual para os servidores no Banco de Dados SQL do Azure
- Exemplos de código de início rápido do cliente para o Banco de Dados SQL
- Portas além da 1433 para ADO.NET 4.5
- Arquitetura de conectividade
- Uma visão geral das funcionalidades de segurança do Banco de Dados SQL do Azure e da Instância Gerenciada de SQL