Настройка брандмауэра для служб машинного обучения SQL Server
Область применения: SQL Server 2016 (13.x) и более поздних версий
В этой статье приведены рекомендации по настройке брандмауэра, которые следует учитывать администраторам или архитекторам при использовании Служб машинного обучения SQL Server.
Правила брандмауэра по умолчанию
По умолчанию программа установки SQL Server отключает исходящие подключения, создавая правила брандмауэра.
В SQL Server 2016 и 2017 эти правила были основаны на учетных записях локальных пользователей, где программа установки создавала одно правило для исходящего трафика для SQLRUserGroup, которое запрещало доступ к сети для своих членов (каждая учетная запись рабочей роли указывалась как локальный субъект правила). Дополнительные сведения см. в разделе Общие сведения о безопасности для платформы расширяемости в службах машинного обучения SQL Server.
В SQL Server 2019 в рамках перехода на AppContainers введены новые правила брандмауэра, основанные на идентификаторах безопасности AppContainer: по одному для каждого из 20 AppContainers, созданных программой установки SQL Server. Соглашения об именовании для имени правила брандмауэра следующие: Блокировать сетевой доступ для AppContainer-00 в экземпляре SQL Server MSSQLSERVER, где 00 — это номер AppContainer (00–20 по умолчанию), а MSSQLSERVER — имя экземпляра SQL Server.
Примечание.
Если сетевые вызовы требуются, можно отключить правила исходящего трафика в брандмауэре Windows.
Ограничение сетевого доступа
В установке по умолчанию правило брандмауэра Windows используется для блокировки всего исходящего доступа к сети из процессов внешней среды выполнения. С помощью правил брандмауэра для процесса внешней среды выполнения можно запретить скачивание пакетов или выполнение каких-либо других сетевых вызовов, которые могут быть потенциально вредоносными.
Если используется другой брандмауэр, можно также создать правила, блокирующие исходящее сетевое подключение для внешней среды выполнения. Эти правила нужно задать для локальных учетных записей пользователей или группы, представляющей собой пул учетных записей.
Мы настоятельно советуем включить брандмауэр Windows (или другой брандмауэр), чтобы блокировать неограниченный доступ к сети для среды выполнения R или Python.