Configuração de firewall para os Serviços de Machine Learning do SQL Server

Aplica-se a: SQL Server 2016 (13.x) e versões posteriores

Este artigo lista as considerações de configuração do firewall que o administrador ou o arquiteto deve ter em mente ao usar os Serviços de Machine Learning do SQL Server.

Regras de firewall padrão

Por padrão, a instalação do SQL Server desabilita as conexões de saída criando regras de firewall.

No SQL Server 2016 e 2017, essas regras se baseiam em contas de usuário local, em que a instalação criou uma regra de saída para SQLRUserGroup que negou acesso à rede para seus membros (cada conta de trabalho foi listada como uma entidade local para a regra). Para obter mais informações sobre SQLRUserGroup, confira Visão geral de segurança para a estrutura de extensibilidade nos Serviços de Machine Learning do SQL Server.

No SQL Server 2019, como parte da mudança para os AppContainers, há novas regras de firewall baseadas em SIDs de AppContainer: uma para cada um dos 20 AppContainers criados pela instalação do SQL Server. As convenções de nomenclatura para o nome da regra de firewall são Bloquear o acesso à rede para o AppContainer-00 na instância MSSQLSERVER do SQL Server, em que 00 é o número do AppContainer (00-20 por padrão) e MSSQLSERVER é o nome da instância do SQL Server.

Observação

Se forem necessárias chamadas de rede, você poderá desabilitar as regras de saída no Firewall do Windows.

Restringir acesso à rede

Na instalação padrão, uma regra de Firewall do Windows é usada para bloquear todo o acesso à rede de saída dos processos de runtime externos. As regras de firewall devem ser criadas para impedir que o processo de runtime de externo baixe pacotes ou faça outras chamadas de rede que possam ser potencialmente mal-intencionadas.

Se você estiver usando um programa de firewall diferente, também poderá criar regras para bloquear conexões de rede de saída para runtimes externos, definindo regras para as contas de usuário local ou para o grupo representado pelo pool de contas de usuário.

É altamente recomendável que você ative o Firewall do Windows (ou outro firewall de sua escolha) para evitar o acesso irrestrito à rede pelos runtimes de R ou Python.

Próximas etapas

Configurar o Firewall do Windows para conexões em associação