Definições de conectividade do SQL do Azure

Aplica-se a:Banco de DadosSQL do Azure Synapse Analytics (somente pools SQL dedicados)

Este artigo apresenta configurações que controlam a conectividade com o servidor para o Banco de Dados SQL do Azure e o pool SQL dedicado (anteriormente SQL DW) no Azure Synapse Analytics. Essas configurações se aplicam a todos os bancos de dados SQL e bancos de dados dedicados do pool SQL (anteriormente SQL DW) associados ao servidor.

Você pode alterar essas configurações na guia rede do seu servidor lógico:

Screenshot of the Firewalls and virtual networks settings in Azure portal for SQL server.

Importante

Este artigo não se aplica à Instância Gerenciada SQL do Azure. Este artigo também não se aplica a pools SQL dedicados em espaços de trabalho do Azure Synapse Analytics. Consulte Regras de firewall IP do Azure Synapse Analytics para obter orientação sobre como configurar regras de firewall IP para o Azure Synapse Analytics com espaços de trabalho.

Negar acesso à rede pública

O padrão para a configuração de acesso à rede pública é Desabilitar. Os clientes podem optar por se conectar a um banco de dados usando pontos de extremidade públicos (com regras de firewall no nível de servidor baseadas em IP ou com regras de firewall de rede virtual) ou pontos de extremidade privados (usando o Azure Private Link), conforme descrito na visão geral de acesso à rede.

Quando o acesso à rede pública está definido como Desativar, apenas conexões de pontos de extremidade privados são permitidas. Todas as conexões de pontos de extremidade públicos serão negadas com uma mensagem de erro semelhante a:

Error 47073
An instance-specific error occurred while establishing a connection to SQL Server. 
The public network interface on this server is not accessible. 
To connect to this server, use the Private Endpoint from inside your virtual network.

Quando o acesso à rede pública estiver definido como Desativar, todas as tentativas de adicionar, remover ou editar quaisquer regras de firewall serão negadas com uma mensagem de erro semelhante a:

Error 42101
Unable to create or modify firewall rules when public network interface for the server is disabled. 
To manage server or database level firewall rules, please enable the public network interface.

Certifique-se de que o acesso à rede pública está definido como Redes selecionadas para poder adicionar, remover ou editar quaisquer regras de firewall para o Banco de Dados SQL do Azure e o Azure Synapse Analytics.

Alterar o acesso à rede pública

É possível alterar o acesso à rede pública por meio do portal do Azure, do Azure PowerShell e da CLI do Azure.

Para habilitar o acesso à rede pública para o servidor lógico que hospeda seus bancos de dados, vá para a página Rede no portal do Azure para seu servidor lógico no Azure, escolha a guia Acesso público e defina o Acesso à rede pública como Selecionar redes.

Nesta página, você pode adicionar uma regra de rede virtual, bem como configurar regras de firewall para seu ponto de extremidade público.

Escolha a guia Acesso privado para configurar um ponto de extremidade privado.

Nota

Essas configurações entram em vigor imediatamente após serem aplicadas. Seus clientes podem sofrer perda de conexão se não atenderem aos requisitos de cada configuração.

Versão mínima do TLS

A configuração de versão mínima do Transport Layer Security (TLS) permite que os clientes escolham qual versão do TLS seu banco de dados SQL usa. É possível alterar a versão mínima do TLS usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

Atualmente, suportamos o TLS 1.0, 1.1 e 1.2. A definição de uma versão mínima do TLS garante que as versões do TLS mais recentes são suportadas. Por exemplo, escolher a versão do TLS 1.1 significa que só as ligações com o TLS 1.1 e 1.2 são aceites, e as ligações com o TLS 1.0 são rejeitadas. Depois de testar para confirmar que as aplicação o suportam, é recomendável definir a versão mínima do TLS como 1.2. Esta versão inclui correções para vulnerabilidades em versões anteriores e é a versão mais recente do TLS suportada na Base de Dados SQL do Azure.

Importante

O padrão para a versão mínima do TLS é permitir todas as versões. Após a imposição de uma versão do TLS, não será possível reverter para a predefinição.

Para clientes com aplicações que dependem de versões mais antigas do TLS, recomendamos definir a versão mínima do TLS de acordo com os requisitos das aplicações. Se os requisitos do aplicativo forem desconhecidos ou as cargas de trabalho dependerem de drivers mais antigos que não são mais mantidos, recomendamos não definir nenhuma versão mínima do TLS.

Para obter mais informações, consulte Considerações sobre TLS para conectividade do Banco de dados SQL.

Depois de definir a versão mínima do TLS, as tentativas de login dos clientes que estão usando uma versão TLS inferior à versão mínima do TLS do servidor falharão com o seguinte erro:

Error 47072
Login failed with invalid TLS version

Nota

Quando você configura uma versão mínima do TLS, essa versão mínima é imposta na camada do aplicativo. As ferramentas que tentam determinar o suporte a TLS na camada de protocolo podem retornar versões TLS além da versão mínima necessária quando executadas diretamente no ponto de extremidade do Banco de dados SQL.

No portal do Azure, vá para o recurso do SQL Server. Nas configurações de segurança, selecione Rede e, em seguida, escolha a guia Conectividade. Selecione a Versão Mínima de TLS desejada para todos os bancos de dados associados ao servidor e selecione Salvar.

Screenshot of the Connectivity tab of the Networking settings for your logical server, minimal TLS version drop-down selected.

Alterar a política de conexão

A política de conexão determina como os clientes se conectam ao Banco de Dados SQL do Azure.

É possível alterar a política de conexão usando o portal do Azure, o Azure PowerShell e a CLI do Azure.

É possível alterar sua política de conexão para seu servidor lógico usando o portal do Azure.

No portal do Azure, vá para o recurso do SQL Server. Em Configurações de segurança, selecione Rede e, em seguida, escolha a guia Conectividade. Escolha a política de conexão desejada e selecione Salvar.

Screenshot of the Connectivity tab of the Networking page, Connection policy selected.

Próximos passos

  • Para obter uma visão geral de como a conectividade funciona no Banco de Dados SQL do Azure, consulte Arquitetura de conectividade.
  • Para obter informações sobre como alterar a política de conexão para um servidor, consulte conn-policy.