Azure Synapse IP güvenlik duvarı kuralları

Tip

Microsoft Fabric Data Warehouse geleceğe hazır mimariye, yerleşik yapay zekaya ve yeni özelliklere sahip data lake foundation üzerinde kurumsal ölçekli ilişkisel bir ambardır. Veri ambarı konusunda yeniyseniz Fabric Data Warehouse ile başlayın. Mevcut özel SQL havuzu iş yükleri, veri bilimi, gerçek zamanlı analiz ve raporlama alanlarında yeni özelliklere erişmek için Fabric'e yükseltilebilir.

örneğin, Azure Synapse Analytics mysqlserver adlı yeni bir mantıksal sunucu oluşturduğunuzda, sunucu düzeyinde güvenlik duvarı logical server için genel uç noktaya erişimi engeller. Azure Synapse sunucu düzeyinde IP güvenlik duvarı kurallarını destekler. Azure Synapse Analytics çalışma alanlarındaki ayrılmış SQL havuzları mantıksal SQL sunucuları kullanmaz ve çalışma alanı düzeyinde güvenlik duvarına sahiptir.

Güvenlik duvarı nasıl çalışır?

İnternet'ten ve Azure bağlantı girişimlerinin sunucunuza veya veritabanınıza ulaşmadan önce güvenlik duvarından geçmesi gerekir

Sunucu düzeyinde IP güvenlik duvarı kuralları

Bu kurallar, istemcilerin sunucunuzun tamamına, yani sunucu tarafından yönetilen tüm veritabanlarına erişmesini sağlar. Kurallar veritabanında depolanır master . Sunucu düzeyinde IP güvenlik duvarı kuralı sayısı üst sınırı, bir sunucu için 256 ile sınırlıdır. Allow Azure Services and resources to access this server ayarı etkinse, bu, sunucu için tek bir güvenlik duvarı kuralı olarak sayılır.

Azure portalını, PowerShell'i veya Transact-SQL deyimlerini kullanarak sunucu düzeyinde IP güvenlik duvarı kurallarını yapılandırabilirsiniz.

Uyarı

Azure portalı kullanılarak yapılandırılırken sunucu düzeyinde IP güvenlik duvarı kuralları sayısı üst sınırı 256 ile sınırlıdır.

  • Portalı veya PowerShell'i kullanmak için abonelik sahibi veya abonelik katkıda bulunanı olmanız gerekir.
  • Transact-SQL kullanmak için master veritabanına sunucu düzeyinde asıl oturum açma veya Microsoft Entra yöneticisi olarak bağlanmanız gerekir. (Sunucu düzeyinde ip güvenlik duvarı kuralı önce Azure düzeyinde izinlere sahip bir kullanıcı tarafından oluşturulmalıdır.)

Uyarı

Varsayılan olarak, Azure portalından yeni bir mantıksal SQL sunucusu oluşturulurken Allow Azure Services and resources to access this server ayarı No olarak ayarlanır.

Güvenlik duvarı kurallarını ayarlama önerileri

Aynı erişim gereksinimlerine sahip çok sayıda veritabanınız olduğunda ve her veritabanını tek tek yapılandırmak istemediğinizde için sunucu düzeyinde IP güvenlik duvarı kurallarını kullanın.

İnternet'ten bağlantılar

Bir bilgisayar sunucunuza İnternet'ten bağlanmaya çalıştığında, güvenlik duvarı ilk olarak isteğin kaynak IP adresini denetler.

  • Adres, sunucu düzeyinde IP güvenlik duvarı kurallarında yer alan bir aralık içindeyse, bağlantı verilir.
    • Sunucu düzeyinde IP güvenlik duvarı kuralları, sunucu tarafından yönetilen tüm veritabanları için geçerlidir.
  • Adres, sunucu düzeyinde ip güvenlik duvarı kurallarından herhangi birinde yer alan bir aralık içinde değilse, bağlantı isteği başarısız olur.

Permissions

IP güvenlik duvarı kuralları oluşturmak ve yönetmek için aşağıdaki rollerden birine sahip olmanız gerekir:

IP güvenlik duvarı kurallarını oluşturma ve yönetme

İlk sunucu düzeyinde güvenlik duvarı ayarını Azure portal kullanarak veya Azure PowerShell, Azure CLI veya Azure REST API kullanarak program aracılığıyla oluşturursunuz. Bu yöntemleri veya Transact-SQL kullanarak ek sunucu düzeyinde IP güvenlik duvarı kuralları oluşturup yönetirsiniz. Azure Synapse yalnızca sunucu düzeyinde IP güvenlik duvarı kurallarını destekler. Veritabanı düzeyinde IP güvenlik duvarı kurallarını desteklemez.

Tip

Azure Synapse Analytics için Denetim özelliğini, sunucu düzeyindeki ve veritabanı düzeyindeki güvenlik duvarı değişikliklerini denetlemek için kullanabilirsiniz.

Sunucu düzeyinde IP güvenlik duvarı kurallarını yönetmek için Azure portalını kullanma

Azure portalında sunucu düzeyinde ip güvenlik duvarı kuralı ayarlamak için mantıksal sunucunuzun Overview sayfasına gidin.

  1. Networking sayfasına gidin.

  2. Kullandığınız bilgisayarın IP adresini eklemek için Güvenlik duvarı kuralları bölümüne bir kural ekleyin ve ardından Kaydet'i seçin. Geçerli IP adresiniz için sunucu düzeyinde bir IP güvenlik duvarı kuralı oluşturulur.

IP güvenlik duvarı kurallarını yönetmek için Transact-SQL kullanma

Katalog görünümü veya saklı yordam Level Description
sp_güvenlik_duvarı_kuralını_ayarla Sunucu Sunucu düzeyinde IP güvenlik duvarı kuralları oluşturur veya güncelleştirir
sp_güvenlik_duvarı_kuralını_sil Sunucu Sunucu düzeyinde IP güvenlik duvarı kurallarını kaldırır

Sunucu düzeyinde ip güvenlik duvarı kuralı eklemek için.

EXECUTE sp_set_firewall_rule @name = N'ContosoFirewallRule',
   @start_ip_address = '192.168.1.1', @end_ip_address = '192.168.1.10'

Sunucu düzeyindeki IP güvenlik duvarı kuralını silmek için sp_delete_firewall_rule saklı yordamını çalıştırın. Aşağıdaki örnek, ContosoFirewallRule kuralını siler:

EXECUTE sp_delete_firewall_rule @name = N'ContosoFirewallRule'

Sunucu düzeyinde IP güvenlik duvarı kurallarını yönetmek için PowerShell kullanma

Uyarı

Bu makalede, Azure ile etkileşim için önerilen PowerShell modülü olan Azure Az PowerShell modülü kullanılır. Az PowerShell modülünü kullanmaya başlamak için Azure PowerShell’i yükleyin. Az PowerShell modülüne nasıl geçeceğinizi öğrenmek için bkz. Azure PowerShell’i AzureRM’den Az’ye geçirme.

Important

PowerShell Azure Resource Manager (AzureRM) modülü 29 Şubat 2024'te kullanım dışı bırakılmıştır. Gelecekteki tüm geliştirmelerde Az.Sql modülü kullanılmalıdır. Kullanıcıların destek ve güncelleştirmelerin devam etmesini sağlamak için AzureRM'den Az PowerShell modülüne geçmeleri tavsiye edilir. AzureRM modülü artık korunmaz veya desteklenmez. Az PowerShell modülündeki ve AzureRM modüllerindeki komutların bağımsız değişkenleri önemli ölçüde aynıdır. Uyumlulukları hakkında daha fazla bilgi için yeni Az PowerShell modülünün tanıtımı bölümüne bakınız: .

Cmdlet Level Description
Get-AzSynapseFirewallRule Sunucu Synapse Analytics güvenlik duvarı kurallarını listeler.
New-AzSynapseFirewallRule Sunucu Bir Synapse Analytics güvenlik duvarı kuralı oluşturur.
Remove-AzSynapseFirewallRule Sunucu Synapse Analytics güvenlik duvarı kuralını kaldırır.
Update-AzSynapseFirewallRule Sunucu Synapse Analytics güvenlik duvarı kuralını güncelleştirir.

SUNUCU düzeyinde IP güvenlik duvarı kurallarını yönetmek için CLI kullanma

Cmdlet Level Description
az synapse sql SQL havuzlarını yönetme.
az synapse workspace firewall-rule Çalışma alanının güvenlik duvarı kurallarını yönetme.

Çalışma alanı düzeyinde güvenlik duvarı kuralları için bkz:

Cmdlet Level Description
az synapse workspace firewall-rule create komutu, bir Synapse çalışma alanı için yeni bir güvenlik duvarı kuralı oluşturur. Sunucu Güvenlik duvarı kuralı oluşturma
az synapse workspace firewall-rule delete Sunucu Güvenlik duvarı kuralını silme
az synapse workspace firewall-rule list Sunucu Tüm güvenlik duvarı kurallarını listeleme
az synapse çalışma alanı güvenlik duvarı kuralı göster Sunucu Güvenlik duvarı kuralı alma
az synapse çalışma alanı güvenlik duvarı kuralı güncelleme Sunucu Güvenlik duvarı kuralını güncelleştirme
az synapse workspace firewall-rule wait Sunucu Bir güvenlik duvarı kuralı koşulu karşılanıncaya kadar CLI'yi bekleme durumuna yerleştirin

Aşağıdaki örnekte, Azure Synapse'de sunucu düzeyinde ip güvenlik duvarı kuralı ayarlamak için CLI kullanılmaktadır:

az synapse workspace firewall-rule create --name AllowAllWindowsAzureIps --workspace-name $workspacename --resource-group $resourcegroupname --start-ip-address 0.0.0.0 --end-ip-address 0.0.0.0

Sunucu düzeyinde IP güvenlik duvarı kurallarını yönetmek için REST API kullanma

Command Description
Sql Havuzları Synapse SQL havuz yönetimi.
IP Güvenlik Duvarı Kuralları Synapse Ip güvenlik duvarı kuralı yönetimi.

Güvenlik duvarı güncelleştirmelerinin gecikme süresini anlama

Veritabanı kapsamadığı ve yük devretme iş ortağı olmadığı sürece, sunucu kimlik doğrulama modelinin güvenlik ayarlarında yapılan tüm değişiklikler için 5 dakika gecikme süresi vardır. Yük devretme iş ortağı olmayan içerilen veritabanlarında yapılan değişiklikler anında gerçekleşir. Yük devretme ortağı bulunan kapsanan veritabanları için her güvenlik güncelleştirmesi birincil veritabanında anlık olarak uygulanır, ancak ikincil veritabanının değişiklikleri yansıtması 5 dakika kadar sürebilir.

Aşağıdaki tabloda, veritabanı türüne ve yük devretme yapılandırmasına göre güvenlik ayarları değişikliklerinin gecikme süresi açıklanmaktadır:

Kimlik doğrulaması modeli Yük devretme yapılandırıldı Güvenlik ayarları değişiklikleri için gecikme süresi Latent örnekler
Sunucu kimlik doğrulaması Evet 5 dakika tüm veritabanları
Sunucu kimlik doğrulaması No 5 dakika tüm veritabanları
Barındırılan veritabanı Evet 5 dakika ikincil veritabanı
Barındırılan veritabanı No yok yok

Güvenlik duvarı kurallarını el ile yenileme

Güvenlik duvarı kurallarının 5 dakikalık gecikme süresinden daha hızlı güncelleştirildiğini görmeniz gerekiyorsa, güvenlik duvarı kurallarını el ile yenileyebilirsiniz. Kurallarının güncelleştirilmesi gereken veritabanı örneğinde oturum açın ve DBCC FLUSHAUTHCACHE komutunu çalıştırın. Bu, veritabanı örneğinin yerel önbelleğini temizlemesine ve güvenlik duvarı kurallarını yenilemesine neden olur.

DBCC FLUSHAUTHCACHE[;]

Güvenlik duvarı sorunlarını giderme

Erişim beklediğiniz gibi davranmadığında aşağıdaki noktaları göz önünde bulundurun.

  • Yerel güvenlik duvarı yapılandırması:

    Bilgisayarınızın ayrılmış SQL havuzuna erişebilmesi için önce bilgisayarınızda 1433 numaralı TCP bağlantı noktası için bir güvenlik duvarı özel durumu oluşturmanız gerekebilir. Azure bulut sınırı içinde bağlantı oluşturmak için ek bağlantı noktaları açmanız gerekebilir.

  • Ağ adresi çevirisi:

    Ağ adresi çevirisi (NAT) nedeniyle, bilgisayarınız tarafından Azure Synapse Analytics bağlanmak için kullanılan IP adresi, bilgisayarınızın IP yapılandırma ayarlarındaki IP adresinden farklı olabilir. Bilgisayarınızın Azure’a bağlanırken kullandığı IP adresini görüntülemek için:

    1. Portala oturum açma
    2. Veritabanınızı barındıran sunucuda Yapılandır sekmesine gidin.
    3. Geçerli İstemci IP Adresiİzin Verilen IP Adresleri bölümünde görüntülenir. Bu bilgisayarın sunucuya erişmesine izin vermek için İzin Verilen IP Adresleri için Ekle'yi seçin.
  • İzin ver listesindeki değişiklikler henüz geçerli değildir:

    Azure Synapse Analytics güvenlik duvarı yapılandırmasındaki değişikliklerin geçerli olması beş dakikaya kadar gecikebilir.

  • Oturum açma yetkisi yok veya yanlış bir parola kullanıldı:

    Bir oturum açmasının sunucuda izinleri yoksa veya parola yanlışsa, sunucuya bağlanma reddedilir. Güvenlik duvarı ayarı oluşturmak yalnızca istemcilere sunucunuza bağlanmayı deneme fırsatı verir. İstemcinin yine de gerekli güvenlik kimlik bilgilerini sağlaması gerekir. Daha fazla bilgi için bkz. Azure Synapse Analytics bağlantı ayarları.

  • Dinamik IP adresi:

    Dinamik IP adresleme kullanan bir İnternet bağlantınız varsa ve güvenlik duvarından geçerken sorun yaşıyorsanız aşağıdaki çözümlerden birini deneyin:

    • İnternet servis sağlayıcınızdan sunucuya erişen istemci bilgisayarlarınıza atanmış olan IP adres aralığını öğrenin. Bu IP adresi aralığını IP güvenlik duvarı kuralı olarak ekleyin.
    • İstemci bilgisayarlarınız için bunun yerine statik IP adresi alma. IP adreslerini IP güvenlik duvarı kuralları olarak ekleyin.