SQL Azure ファイアウォール

  • [アーティクル]

Windows Azure Platform

Microsoft SQL Azure は、Windows Azure とインターネットベースのアプリケーションとにリレーショナル データベース サービスを提供します。データを保護するために、SQL Azure ファイアウォールは、権限を持つコンピューターが指定されない限り、SQL Azure サーバーへのすべてのアクセスを禁止します。ファイアウォールは、各要求の発生元の IP アドレスに基づいてアクセス権を付与します。

ファイアウォールを構成するには、SQL Azure ポータルで許容される IP アドレスの範囲を指定します。または、アクセスを確立してから、プログラムから master データベースを使用して、ファイアウォール構成の確認と編集を行うこともできます。

このトピックでは、SQL Azure ファイアウォールについて説明します。また SQL Azure サーバーにアクセスできるクライアントを指定するためのファイアウォール設定の定義方法についても説明します。

概要

初期状態では、SQL Azure サーバーへのすべてのアクセスが SQL Azure ファイアウォールによってブロックされます。このため、インターネットまたは Windows Azure からの接続の試みは SQL Azure サーバーに届きません。SQL Azure サーバーの利用を開始するには、SQL Azure ポータルに移動し、SQL Azure サーバーへのアクセスを有効にする 1 つ以上のファイアウォール設定を指定する必要があります。ファイアウォール設定を使用して、インターネット上の許可される IP アドレスの範囲を指定し、また Windows Azure アプリケーションが SQL Azure サーバーに接続を試行できるかどうかも指定します。

インターネットと Windows Azure からの接続の試みは、次の図に示すように、まず SQL Azure ファイアウォールを通過し、次に SQL Azure サーバーにアクセスできる必要があります。

SQL Azure ファイアウォールによるサーバーへのアクセス制限

インターネットからの接続

コンピューターがインターネットから SQL Azure サーバーに接続を試みると、SQL Azure ファイアウォールは、要求の発生元の IP アドレスをファイアウォール設定の完全セットと照合して確認します。指定された範囲内に要求する IP アドレスが存在しない場合、接続の試みはブロックされ、SQL Azure サーバーに届きません。

注意

SQL Azure ファイアウォールを構成するだけでなく、ネットワークとローカル コンピューターにもファイアウォールを構成する必要がある場合があります。SQL Azure データベースにコンピューターからアクセスするには、ネットワークとローカル コンピューターのファイアウォールで、TCP ポート 1433 からの送信 TCP 通信が許可されていることが必要です。(SQL Azure データベース サービスは、TCP ポート 1433 だけで利用できます。)

Windows Azure からの接続

Windows Azure から SQL Azure サーバーにアプリケーションで接続を試みると、SQL Azure ファイアウォールは、Windows Azure 接続が許可されているかどうかを示す特定のファイアウォール設定を検索します。

開始アドレスと終了アドレスが 0.0.0.0 のファイアウォール設定は、Windows Azure 接続が許可されていることを示します。接続の試みが許可されていない場合、要求は SQL Azure サーバーに届きません。

注意

SQL Azure ポータルで 1 つのチェック ボックスを使用して、Windows Azure からの接続を有効にすることができます。詳細については、「方法: SQL Azure ファイアウォールを構成する」を参照してください。

最初のファイアウォール規則の作成

SQL Azure サーバーに初めて接続するときは、最初のファイアウォール設定を SQL Azure ポータルで指定する必要があります。SQL Azure ポータルでファイアウォールの構成を開始するには、[Server Administration] ページの [Firewall Settings] タブをクリックします。

SQL Azure ポータル では、ファイアウォール設定を削除することもできます。ファイアウォール設定の管理の詳細については、「方法: SQL Azure ファイアウォールを構成する」を参照してください。

マスター データベース

SQL Azure ポータルを使用して、SQL Azure サーバーへの接続を有効にするファイアウォール設定を作成したら、サーバーレベル プリンシパルのログインと master データベースを使用して、ファイアウォール設定の表示と編集を行うことができます。

master データベースでは、ファイアウォール設定は規則と呼ばれます。sys.firewall_rules ビューには現在のファイアウォール設定が表示され、sp_set_firewall_rule および sp_delete_firewall_rule ストアド プロシージャによってファイアウォール設定を変更できます。詳細については、「sys.firewall_rules (SQL Azure データベース)」、「sp_set_firewall_rule (SQL Azure データベース)」、および「sp_delete_firewall_rule (SQL Azure データベース)」を参照してください。

注意

ファイアウォール設定の変更が有効になるまでに、5 分ほど時間がかかることがあります。

ファイアウォールのトラブルシューティング

SQL Azure データベース サービスへのアクセスが予期したとおりに動作しない場合は、次の理由が考えられます。

  • ローカル ファイアウォール構成: コンピューターが SQL Azure にアクセスできるようにするために、TCP ポート 1433 に関するファイアウォールの例外をコンピューター側であらかじめ作成する必要がある場合があります。
  • ネットワーク アドレス変換 (NAT): NAT が原因で、SQL Azure への接続にコンピューターが使用する IP アドレスが、コンピューターの IP 構成設定で表示される IP アドレスと異なる場合があります。使用されている IP アドレスを確認するには、該当するコンピューターを使用して SQL Azure ポータルに接続し、[Firewall Settings] タブをクリックします。[Add Rule] または [Edit Rule] をクリックすると、[Your IP Address is] のラベルが付いたダイアログ ボックスに IP アドレスが表示されます。
  • 許可リストの変更がまだ有効でない: SQL Azure ファイアウォール構成の変更が有効になるまでに、5 分ほど時間がかかる場合があります。
  • ログインが承認されていないか、正しくないパスワードが使用された: ログインが SQL Azure サーバーへのアクセス許可を持たないか、使用したパスワードが正しくない場合、SQL Azure サーバーへの接続は拒否されます。ファイアウォール設定を作成しても、クライアントには SQL Azure サーバーへの接続を試みる機会が与えられるだけです。各クライアントは、必要なセキュリティ資格情報を提供しなければなりません。ログインの準備の詳細については、「SQL Azure におけるデータベースとログインの管理」を参照してください

参照

タスク

方法: SQL Azure ファイアウォールを構成する

ページのトップへ