Exporter (0) Imprimer
Développer tout

Pare-feu de Base de données SQL Azure

Mis à jour: avril 2014

Microsoft Base de données SQL Microsoft Azure fournit un service de base de données relationnelle pour Azure et d'autres applications basées sur Internet. Pour aider à protéger vos données, le pare-feu Base de données SQL Azure empêche tout accès à votre serveur Base de données SQL Azure jusqu'à ce que vous ayez spécifié les ordinateurs qui disposent d'une autorisation d'accès. Le pare-feu accorde l'accès en fonction de l'adresse IP d'origine de chaque demande.

Pour configurer votre pare-feu, vous devez créer les règles de pare-feu qui spécifient les plages des adresses IP acceptables. Vous pouvez créer des règles de pare-feu de niveaux serveur et base de données.

  • Règles de pare-feu au niveau du serveur : ces règles permettent aux clients d'accéder à l'ensemble de votre serveur Base de données SQL Azure, c'est-à-dire, toutes les bases de données du même serveur logique. Ces règles sont stockées dans la base de données master. Vous créez des règles de pare-feu de niveau serveur à l'aide du Portail Azure Platform Management ou par programme à l'aide des Operations on Firewall Rules exposées par l'API REST Database Management de Base de données SQL Azure. En guise d'alternative, après avoir établi l'accès, vous pouvez utiliser la base de données master par programme pour examiner et modifier votre configuration de pare-feu.

  • Règles de pare-feu au niveau de la base de données : ces règles permettent aux clients d'accéder à des bases de données individuelles sur votre serveur Base de données SQL Azure. Ces règles sont créées par base de données et sont stockées dans les bases de données individuelles (notamment la base de données master). Si vous spécifiez une plage d'adresses IP dans cette règle qui est en dehors de la plage spécifiée dans la règle de pare-feu de niveau serveur, seuls les clients dont l'adresse IP se trouve dans la plage spécifiée dans la règle de niveau base de données ont accès à la base de données. Par conséquent, ces règles s'avèrent utiles pour limiter l'accès du client à certaines bases de données du même serveur logique. Vous pouvez disposer, au maximum, de 128 règles de pare-feu de niveau base de données pour une base de données. Vous créez des paramètres de pare-feu de niveau base de données pour les bases de données master et utilisateur à l'aide de Transact-SQL. Pour plus d'informations, consultez How To: Configure the Database-Level Firewall Settings.

    noteRemarque
    Si vous créez une fédération de base de données dans Base de données SQL Azure où la base de données racine contient des règles de pare-feu de niveau base de données, les règles ne sont pas copiées dans les bases de données membres de fédération. Si vous avez besoin de règles de pare-feu de niveau base de données pour les membres de fédération, vous devrez recréer les règles pour les membres de fédération. Toutefois, si vous fractionnez un membre de fédération contenant une règle de pare-feu de niveau base de données en nouveaux membres de fédération à l'aide de l'instruction ALTER FEDERATION ... SPLIT, les nouveaux membres de destination auront les mêmes règles de pare-feu de niveau base de données que le membre de fédération source. Pour plus d'informations sur les fédérations, consultez Fédérations dans Base de données SQL Azure.

    La mise en œuvre actuelle des fédérations sera hors service avec les couches de service Web et Business. Envisagez de déployer des solutions de partitionnement personnalisées pour maximiser l'évolutivité, la souplesse et les performances. Pour plus d'informations sur le partitionnement personnalisé, consultez la rubrique Montée en puissance parallèle de bases de données SQL Azure.

Cette rubrique décrit le pare-feu Base de données SQL Azure et explique comment définir des règles de pare-feu afin de spécifier les clients qui ont accès à votre serveur Base de données SQL Azure et aux bases de données individuelles.

Dans cette rubrique

Initialement, tout accès à votre serveur Base de données SQL Azure est bloqué par le pare-feu Base de données SQL Azure ; les tentatives de connexion qui proviennent d'Internet ou de Azure ne seront pas en mesure d'atteindre votre serveur Base de données SQL Azure. Pour commencer à utiliser votre serveur Base de données SQL Azure, vous devez accéder au Portail de gestion et spécifier une ou plusieurs règles de pare-feu de niveau serveur qui autorisent l'accès à votre serveur Base de données SQL Azure. Utilisez les règles de pare-feu pour spécifier les plages d'adresses IP Internet qui sont autorisées et pour indiquer si les applications Azure peuvent essayer de se connecter à votre serveur Base de données SQL Azure.

Toutefois, si vous souhaitez accorder l'accès de manière sélective à une seule des bases de données de votre serveur Base de données SQL Azure, vous devez créer une règle de niveau base de données qui est en dehors de la plage d'adresses IP spécifiée dans la règle de pare-feu de niveau serveur, et vérifiez que l'adresse IP du client est comprise dans la plage spécifiée dans la règle de niveau base de données.

Les tentatives de connexion en provenance d'Internet et de Azure doivent traverser le pare-feu Base de données SQL Azure avant de pouvoir atteindre votre serveur Base de données SQL Azure ou vos bases de données, comme indiqué dans le diagramme suivant.

Lorsqu'un ordinateur essaie de se connecter à votre serveur Base de données SQL Azure à partir d'Internet, le pare-feu Base de données SQL Azure vérifie si l'adresse IP d'origine de la demande figure dans l'ensemble des règles de pare-feu de niveau serveur et (le cas échéant) de niveau base de données :

  • Si l'adresse IP de la demande figure dans l'une des plages spécifiées dans les règles de pare-feu de niveau serveur, la connexion est accordée à votre serveur Base de données SQL Azure.

  • Si l'adresse IP de la demande ne figure pas dans l'une des plages spécifiées dans la règle de pare-feu de niveau serveur, les règles de pare-feu de niveau base de données sont vérifiées. Si l'adresse IP de la demande figure dans l'une des plages spécifiées dans les règles de pare-feu de niveau base de données, la connexion n'est accordée qu'à la base de données ayant une règle de niveau base de données correspondante.

  • Si l'adresse IP de la demande ne figure pas dans les plages spécifiées dans l'une des règles de pare-feu de niveau serveur ou de niveau base de données, la demande de connexion échoue.

noteRemarque
En plus de configurer le pare-feu Base de données SQL Azure, vous devrez peut-être également configurer le pare-feu sur votre réseau et votre ordinateur local. Pour accéder à une base de données Base de données SQL Azure à partir de votre ordinateur, vérifiez que le pare-feu sur votre réseau et l'ordinateur local autorise les communications TCP sortantes sur le port TCP 1433. (Le service Base de données SQL Microsoft Azure est disponible uniquement avec le port TCP 1433.)

Lorsqu'une application de Azure essaie de se connecter à votre serveur Base de données SQL Azure, le pare-feu Base de données SQL Azure recherche un paramètre de pare-feu spécifique qui indique si les connexions Azure sont autorisées.

Un paramètre de pare-feu avec une adresse de début et de fin égale à 0.0.0.0 indique que les connexions Azure sont autorisées. Si la tentative de connexion n'est pas autorisée, la demande n'atteint pas le serveur Base de données SQL Azure.

noteRemarque
Sur le Portail Azure Platform Management, vous pouvez autoriser les connexions de Azure à l'aide d'une simple case à cocher. Pour plus d'informations, consultez How to: Prepare the SQL Azure Firewall.

Pour la première connexion à votre serveur Base de données SQL Azure, le premier paramètre de pare-feu de niveau serveur doit être spécifié à l'aide du Portail de gestion ou par programme à l'aide de Operations on Firewall Rules de l'API Database Management. Pour commencer à configurer le pare-feu, sur le Portail de gestion, cliquez sur l'onglet Firewall Settings (Paramètres de pare-feu) dans la page Server Administration (Administration du serveur). Si vous utilisez le nouveau Portail Azure Platform Management, cliquez sur le serveur sous votre abonnement. Des boutons Add (Ajouter), Update (Mettre à jour) et Delete (Supprimer) sont fournis dans le volet de droite pour la gestion des règles de pare-feu de niveau serveur. Si les règles de pare-feu de niveau serveur et les boutons ne sont pas visibles, cliquez sur le bouton Firewall Rules (Règles de pare-feu) pour basculer la vue des règles du pare-feu de niveau serveur.

Le Portail de gestion vous permet également de supprimer des paramètres de pare-feu de niveau serveur. Pour plus d'informations sur la gestion des paramètres de pare-feu de niveau serveur, consultez How to: Prepare the SQL Azure Firewall.

Vous pouvez également créer une règle de pare-feu de niveau base de données si vous souhaitez autoriser l'accès à certaines bases de données de votre serveur de manière sélective pour des clients spécifiques. Pour créer une règle de niveau base de données, consultez How To: Configure the Database-Level Firewall Settings.

Après avoir utilisé le Portail de gestion pour créer un paramètre de pare-feu de niveau serveur qui autorise la connexion à votre serveur Base de données SQL Azure, vous pouvez utiliser la connexion du principal au niveau du serveur et la base de données master pour afficher et modifier vos paramètres de pare-feu de niveau serveur. Dans la base de données master, les paramètres du pare-feu sont connus sous le nom de règles. La vue sys.firewall_rules affiche les paramètres de pare-feu actuels et les procédures stockées sp_set_firewall_rule et sp_delete_firewall_rule vous permettent de modifier les paramètres de pare-feu. Pour plus d'informations, consultez sys.firewall_rules (Base de données SQL Azure), sp_set_firewall_rule (Base de données SQL Azure) et sp_delete_firewall_rule (Base de données SQL Azure).

De la même façon, après avoir créé un paramètre de pare-feu de niveau base de données, connectez-vous à la base de données master ou à une base de données utilisateur pour afficher et modifier les paramètres de pare-feu de niveau base de données correspondante. La vue sys.database_firewall_rules de chaque base de données affiche les paramètres de pare-feu de niveau base de données actuels et les procédures stockées sp_set_database_firewall_rule et sp_delete_database_firewall_rule vous permettent de modifier les paramètres de pare-feu. Pour plus d'informations, consultez sys.database_firewall_rules (Base de données SQL Azure), sp_set_database_firewall_rule (Base de données SQL Azure) et sp_delete_database_firewall_rule (Base de données SQL Azure).

noteRemarque
Il peut y avoir un délai de cinq minutes pour que les modifications apportées aux paramètres de pare-feu prennent effet.

Considérez les points suivants lorsque l'accès au service Base de données SQL Microsoft Azure ne se comporte pas comme prévu :

  • Local firewall configuration: pour que votre ordinateur puisse accéder à Base de données SQL Azure, vous devrez peut-être créer une exception de pare-feu sur votre ordinateur pour le port TCP 1433.

  • Traduction d'adresses réseau (NAT) : en raison de la traduction d'adresses réseau, l'adresse IP utilisée par votre ordinateur pour se connecter à Base de données SQL Azure peut être différente de celle affichée dans les paramètres de configuration IP de votre ordinateur. Pour voir quelle adresse IP est utilisée, utilisez cet ordinateur pour vous connecter au Portail de gestion et cliquez sur l'onglet Firewall Settings (Paramètres de pare-feu). Lorsque vous cliquez sur Add Rule (Ajouter une règle) ou Edit Rule (Modifier une règle), votre adresse IP est affichée dans la boîte de dialogue avec l'étiquette Votre adresse IP est.

  • Les modifications apportées à la liste verte ne sont pas encore entrées en vigueur : il peut y avoir un délai de cinq minutes avant que les modifications apportées à la configuration du pare-feu Base de données SQL Azure prennent effet.

  • The login is not authorized or an incorrect password was used: si une connexion n'a pas d'autorisations sur le serveur Base de données SQL Azure ou que le mot de passe utilisé est incorrect, la connexion au serveur Base de données SQL Azure est refusée. La création d'un paramètre de pare-feu fournit uniquement aux clients une possibilité de tenter de se connecter à votre serveur Base de données SQL Azure ; chaque client doit fournir les informations d'identification de sécurité nécessaires. Pour plus d'informations sur la préparation des connexions, voir Gestion des bases de données et des connexions dans Base de données SQL Azure.

  • Adresse IP dynamique : si vous avez une connexion Internet avec adressage IP dynamique et vous avez un problème pour franchir le pare-feu de la base de données SQL, vous pouvez tenter les solutions suivantes :

    • Demandez à votre fournisseur de services Internet la plage d'adresses IP affectée aux ordinateurs client qui accéderont au serveur de Base de données SQL et puis ajoutez la plage d'adresses IP à la règle de pare-feu de la base de données SQL.

    • Obtenez à la place l'adressage IP statique pour les ordinateurs client et puis ajoutez les adresses IP en tant que règles de pare-feu de la base de données SQL.

Voir aussi

Afficher:
© 2014 Microsoft