Microsoft Azure MS-SQL への接続は、一部の地域では機能し、他の地域では失敗しています
14261
Created On 06/21/24 09:57 AM - Last Modified 08/14/24 01:42 AM
Symptom
- ユーザーは GlobalProtect に接続しており、Azure MS-SQL にアクセスしようとしています
- これは、一部のゲートウェイの場所で機能し、すべてのゲートウェイに同じポリシーが適用されているにもかかわらず、同じユーザーの他のゲートウェイの場所で失敗します。
Environment
- プリズマアクセス
- グローバルプロテクト
Cause
Azure SQL DB に接続するには、既定、リダイレクト、プロキシの 3 つの方法があります。
- リダイレクト: ユーザーは最初にポート 1433 で Azure ゲートウェイに接続し、次に 11000 から 11999 のポートで DB にリダイレクトされます。
- プロキシ: ユーザーはポート 1433 で Azure ゲートウェイに接続し、その Azure ゲートウェイはクライアントと SQL DB サーバー間のプロキシとして機能します。
- 既定値: 既定のポリシーは、Azure の内部から発信されるすべてのクライアント接続に対しては [リダイレクト] であり、外部から発信されるすべてのクライアント接続に対しては [プロキシ] です。 デフォルトでは、デフォルトの接続モードが使用されます。
- デフォルトでは、Azure側から「デフォルト」モードが選択されています。 (参照: Azure-ゲートウェイIPアドレス)
- Azure では、インフラストラクチャにいくつかの変更を加え、現在はより多くの接続が "元々内部" と見なされています
- そのため、プロキシモードの代わりにリダイレクトモードが使用されます。
- この問題は、TCP/11000-11999 の範囲が mssql-db アプリケーションに対してデフォルトで許可されていないことから始まりました。
Resolution
これを解決するには、次のいずれかの方法を使用できます。
Palo Alto ファイアウォールの場合:
- TCP/1433 と TCP/11000-11999 の両方で mssql-db アプリケーションが Azure SQL に正常に接続できるようにします。
- このオプションを使用すると、リダイレクト モードとプロキシ モードの両方の接続が許可されるため、Azure がリダイレクトまたはプロキシを使用して接続することを決定した場合でも、両方のモードが許可されます。
- Azure ダッシュボードの [SQL データベース] > [ネットワーク] >接続] の下にある [既定] ではなく [プロキシ] を選択します。
- これにより、すべての接続がプロキシを使用するように強制されます。