Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à :
Azure SQL DatabaseAzure Synapse Analytics (pools SQL dédiés uniquement)
Lorsque vous créez un serveur logique à partir du démarrage rapide : Créer une base de données unique - Azure SQL Database pour Azure SQL Database et Azure Synapse Analytics, le résultat est un point de terminaison public au format suivant : yourservername.database.windows.net
Par défaut, le serveur logique refuse toutes les connexions pour garantir la sécurité. Vous pouvez utiliser un ou plusieurs contrôles d’accès réseau suivants pour autoriser de manière sélective l’accès à une base de données via le point de terminaison public
Règles de pare-feu basées sur l’IP : utilisez cette fonctionnalité pour autoriser explicitement les connexions à partir d’une adresse IP spécifique. Par exemple, à partir de machines locales ou d’une plage d’adresses IP en spécifiant l’adresse IP de début et de fin.
Autoriser les services et les ressources Azure à accéder à ce serveur : quand cette option est activée, d’autres ressources situées dans la limite Azure peuvent accéder à SQL Database. Par exemple, une machine virtuelle Azure peut accéder aux ressources de SQL Database.
Vous pouvez également autoriser l’accès privé à la base de données à partir des réseaux virtuels via :
Règles de pare-feu de réseau virtuel : utilisez cette fonctionnalité pour autoriser le trafic à partir d’un réseau virtuel spécifique au sein de la limite Azure.
Liaison privée : utilisez cette fonctionnalité pour créer un point de terminaison privé pour le serveur logique dans Azure au sein d’un réseau virtuel spécifique.
Importante
Cet article ne s'applique pas à SQL Managed Instance. Pour plus d’informations sur la configuration réseau, consultez Connexion à Azure SQL Managed Instance.
Règles de pare-feu IP
Les règles de pare-feu basées sur IP sont une fonctionnalité du serveur logique dans Azure qui empêche tout accès à votre serveur jusqu’à ce que vous ajoutiez explicitement des adresses IP des machines clientes.
Il existe deux types de règles de pare-feu :
- règles de pare-feu au niveau du serveur: ces règles s’appliquent à toutes les bases de données sur le serveur. Ils peuvent être configurés via le portail Azure, PowerShell ou les commandes T-SQL telles que sp_set_firewall_rule.
- règles de pare-feu au niveau de la base de données: ces règles s’appliquent à des bases de données individuelles et peuvent uniquement être configurées à l’aide de commandes T-SQL telles que sp_set_database_firewall_rule
Voici des contraintes pour nommer des règles de pare-feu :
- Le nom de la règle de pare-feu ne peut pas être vide.
- Il ne peut pas contenir les caractères suivants :
<, >, *, %, &, :, \\, /, ?. - Il ne peut pas se terminer par un point (.).
- Le nom de la règle de pare-feu ne peut pas dépasser 128 caractères.
Toute tentative de création de règles de pare-feu qui ne répondent pas à ces contraintes échoue avec un message d’erreur. Toutes les modifications apportées aux règles de pare-feu basées sur IP existantes peuvent prendre jusqu’à 5 minutes.
Autoriser les services Azure
Par défaut, lors de la création d’un serveur logique à partir du portail Azure, Autoriser les services et les ressources Azure à accéder à ce serveur est décoché et non activé. Ce paramètre s’affiche lorsque la connectivité est autorisée par le biais d’un point de terminaison public.
Vous pouvez aussi changer ce paramètre via le paramètre Réseau une fois le serveur logique créé, comme suit :
Quand Autoriser les services et les ressources Azure à accéder à ce serveur est activé, votre serveur autorise les communications de toutes les ressources situées dans la limite Azure, qu’elles fassent ou non partie de votre abonnement. En arrière-plan, une règle de pare-feu spéciale au niveau du serveur est ajoutée qui commence et se termine par l’adresse IP de 0.0.0.0.
Le paramètre activé est souvent plus permissif que ce que souhaitent la plupart des clients. Vous pouvez décocher ce paramètre et le remplacer par des règles de pare-feu IP plus restrictives, ou utiliser l’une des options d’accès privé.
Importante
Cocher Autoriser les services et les ressources Azure à accéder à ce serveur ajoute une règle de pare-feu basée sur IP, avec l’adresse IP de début et de fin définie à 0.0.0.0.
Cela étant, ce choix affecte les fonctionnalités suivantes qui s’exécutent sur des machines virtuelles dans Azure qui ne font pas partie de votre réseau virtuel et qui, par conséquent, se connectent à la base de données par le biais d’une adresse IP Azure :
Service d’importation/exportation
Le service d’importation et d’exportation ne fonctionne pas quand Autoriser les services et les ressources Azure à accéder à ce serveur n’est pas activé. Toutefois, vous pouvez contourner le problème en exécutant manuellement SqlPackage à partir d’une machine virtuelle Azure ou en effectuant l’exportation directement dans votre code à l’aide de l’API DACFx.
Synchronisation des données
Pour utiliser la fonctionnalité de synchronisation des données avec Autoriser les services et les ressources Azure à accéder à ce serveur désactivé, vous devez créer des entrées de règle de pare-feu individuelles pour ajouter des adresses IP à partir de l’étiquette de service SQL pour la région hébergeant la base de données Hub. Ajoutez ces règles de pare-feu au niveau du serveur aux serveurs hébergeant à la fois des bases de données Hub et Member (qui peuvent se trouver dans des régions différentes).
Utilisez le script PowerShell suivant pour générer les adresses IP correspondant à l’étiquette de service SQL pour la région USA Ouest.
PS C:\> $serviceTags = Get-AzNetworkServiceTag -Location eastus2
PS C:\> $sql = $serviceTags.Values | Where-Object { $_.Name -eq "Sql.WestUS" }
PS C:\> $sql.Properties.AddressPrefixes.Count
70
PS C:\> $sql.Properties.AddressPrefixes
13.86.216.0/25
13.86.216.128/26
13.86.216.192/27
13.86.217.0/25
13.86.217.128/26
13.86.217.192/27
Conseil
Get-AzNetworkServiceTag retourne la plage globale de la balise du service SQL malgré la spécification du paramètre Location. Veillez à la filtrer sur la région qui héberge la base de données Hub utilisée par votre groupe de synchronisation.
La sortie du script PowerShell est en notation CIDR (Classless Inter-Domain Routing). Celle-ci doit être convertie au format d’adresse IP de début et de fin à l’aide de la commande Get-IPrangeStartEnd.ps1 comme suit :
PS C:\> Get-IPrangeStartEnd -ip 52.229.17.93 -cidr 26
start end
----- ---
52.229.17.64 52.229.17.127
Vous pouvez utiliser le script PowerShell suivant pour convertir toutes les adresses IP en notation CIDR au format d’adresse IP de début et de fin.
PS C:\>foreach( $i in $sql.Properties.AddressPrefixes) {$ip,$cidr= $i.split('/') ; Get-IPrangeStartEnd -ip $ip -cidr $cidr;}
start end
----- ---
13.86.216.0 13.86.216.127
13.86.216.128 13.86.216.191
13.86.216.192 13.86.216.223
Vous pouvez maintenant les ajouter en tant que règles de pare-feu distinctes, puis désactiver le paramètre Autoriser les services et les ressources Azure à accéder à ce serveur.
Étiquette de service Sql
Les étiquettes de service peuvent être utilisées dans les règles de sécurité et les itinéraires des clients vers SQL Database. Les étiquettes de service peuvent être utilisées dans les groupes de sécurité réseau, le pare-feu Azure et les itinéraires définis par l’utilisateur en les spécifiant dans les champs source ou de destination d’une règle de sécurité.
L’étiquette de service Sql regroupe toutes les adresses IP utilisées par SQL Database. L’étiquette est ensuite segmentée par régions. Par exemple, Sql.WestUS répertorie toutes les adresses IP utilisées par SQL Database dans la région USA Ouest.
L’étiquette de service Sql se compose des adresses IP requises pour établir la connectivité à SQL Database, comme documenté dans Adresses IP de la passerelle. En outre, une étiquette de service est également associée à tout trafic sortant de SQL Database utilisé dans des fonctionnalités telles que :
- Audit pour Azure SQL Database et Azure Synapse Analytics
- Évaluation des vulnérabilités
- Importer ou exporter une base de données Azure SQL sans autoriser les services Azure à accéder au serveur
- OPENROWSET
- Insertion en bloc
- sp_invoke_external_rest_endpoint
- Registre
- PowerShell et Azure CLI : Activer Transparent Data Encryption avec une clé gérée par le client provenant d’Azure Key Vault
Étiquette de service SqlManagement
L’étiquette de service SqlManagement est utilisée pour les opérations de plan de contrôle sur SQL Database.
Règles de pare-feu de réseau virtuel
Utilisez des points de terminaison et des règles de service de réseau virtuel pour les serveurs dans Azure SQL Database sont des alternatives plus faciles pour établir et gérer l’accès à partir d’un sous-réseau spécifique qui contient vos machines virtuelles.
Liaison privée
Private Link vous permet de vous connecter à un serveur par le biais d’un point de terminaison privé. Un point de terminaison privé est une adresse IP privée au sein d’un réseau virtuel et d’un sous-réseau spécifiques.
Contenu associé
- Démarrage rapide : Créer une base de données unique - Azure SQL Database
- Utiliser des points de terminaison de service de réseau virtuel et des règles pour serveurs dans Azure SQL Database
- Exemples de code de démarrage rapide client vers SQL Database
- Ports au-delà de 1433 pour ADO.NET 4.5
- Architecture de connectivité
- Vue d’ensemble des capacités de sécurité d’Azure SQL Database et SQL Managed Instance