NOBTAの気ままにITブログ

Azure全般 / SQL Serverに関する情報を発信していきます。

Azure SQL Database 接続問題 (Connectivity) の対処方法 (1 : Azure外環境からの接続)


スポンサーリンク

Azure SQL Database ゲートウェイの IP アドレスが増えたことにより、オンプレミス側ファイアウォールの送信側 (Outbound) を制限している場合、Azure SQL Database への接続ができないという現象が発生しているという話を聞くことがあります。

そのため、今回は、Azure SQL Database に接続できない現象の対象方法について、自分の整理も兼ねて、まとめてみようと思います。

※ 今回、VPN、ExpressRoute でクライアント環境(オンプレミス) - Azure 間をプライベート通信している環境ではなく、インターネット経由でクライアント から Azure SQL Database に接続している環境を想定しています。

 

 

Azure 外環境 から Azure SQL Database への接続アーキテクチャ (既定 : Proxy)

① クライアントから Azure SQL Database ゲートウェイ (*****.database.windows.net:1433) へのセッションを確立。

② Azure SQL Database ゲートウェイを経由し、接続先のデータベースが配置されているクラスタ ノードへセッションを確立し、該当のデータベースに接続する。

 

f:id:nobtak:20200804231847p:plain

上記の構成の場合、まず初めにクライアントから Azure SQL Database ゲートウェイ (*****.database.windows.net:1433) へセッションの確立が行われます。

Azure SQL Database ゲートウェイ IP アドレスは、Azure SQL Database サーバーと関連付けがされています。

以下の例の場合、「azsql***.database.windows.net」は 「13.78.61.196」と、東日本リージョンの Azure SQL Database ゲートウェイIPアドレスに紐づいていることになります。

f:id:nobtak:20200804233510p:plain

※ 東日本リージョンの Azure SQL Database ゲートウェイIPアドレス (2020年8月時点)

f:id:nobtak:20200804233818p:plain

  

オンプレミス側ファイアウォールの送信側(Outbound) を制限している場合の対処方法

オンプレミス側ファイアウォールの送信側(Outbound)を制限している場合、オンプレミス環境上のクライアント から Azure SQL Database へ接続するために、Azure SQL Database サーバーを配置しているリージョンで使用されている すべての Azure SQL Database ゲートウェイ IP アドレス および TCP 1433 ポートをオンプレミス側ファイアウォールの送信側(Outbound)で許可します。

 

Azure SQL Database ゲートウェイ IP アドレスについては以下のURLを参照

  

[補足]

Azure SQL Database サーバー に紐づく Azure SQL Database ゲートウェイ IP アドレスは、今後も変わらないことが保証されていないそうなので、Azure SQL Database サーバーが配置されたリージョンのすべての Azure SQL Database ゲートウェイ IP アドレス、および、TCP 1433 ポートをオンプレミス側ファイアウォールの送信側(Outbound)で許可する必要があるかと思います。

また、Azure SQL Database ゲートウェイが追加されたり、使用されている Azure SQL Database ゲートウェイ が停止する場合には、Azure SQL Database ゲートウェイ IP アドレスの追加/削除が行われる可能性があり、事前に メール、および、Azure Portal による通知が届くみたいなので、オンプレミス側ファイアウォールの送信側(Outbound)を制限している場合は、通知を受け取った後に対処が必要になるかと思います。

 

セキュリティ観点から Azure 外環境 から Azure SQL Database へ接続する場合、「Redirect」接続ポリシーを使用して Azure SQL Database ヘ接続する構成をとることは少ないかと思いますが、「Redirect」接続ポリシーを使用している場合は、更に Azure SQL Database サーバーが配置されているリージョンの内の Azure SQL Database で使用されている IP アドレス範囲、および、TCP 11000-11999 ポートを許可する必要があるかと思います。

 

リージョンの内の Azure SQL Database で使用されている IP アドレス範囲については、以下の URL を参照

  

次回は、 Azure 内環境 から Azure SQL Database へ接続する場合における接続問題 (Connectivity) に関する対処方法についてまとめてみようと思います。

 

参考 URL