Azure SQL Database の Gateway で IP アドレスが変わります。
質問
-
※ 本Blogの内容は、2019年9月 18 日現在の内容となっております。
こんにちは。SQL サポートチームです。久しぶりの投稿になりましたが、今回は SQL Database の Gateway に関するお知らせです。
先週末より、各リージョンのデータセンターから SQL Database をご利用中のお客様に以下のような通知をしています。
この通知の意味するところと、通知を受け取ったお客様に確認いただきたい点をご案内いたします。
Title : Action recommended: Allow communication with new Azure SQL Database gateways in ***** by October 14, 2019
<この通知について>
この通知の趣旨は以下の 2 点です。
・2019 年 10 月 14 日以降、SQL Database の Gateway の IP アドレスが順次変更されます。
・SQL Database をご利用のお客様には、SQL Database に接続している端末や環境で、ファイアウォールの設定などが正しく行われているかを確認してください。
<そもそも SQL Database の Gateway って?>
既にご存知の方も多いとは思いますが、改めて Gateway のおさらいです。
SSMS や各種プログラムから SQL Database に接続いただく場合、接続先には ”<YourServerName>.database.windows.net” というような、SQL Database 接続名を指定して接続していただきます。
一方で実際に接続するときには、直接 SQL Database にはアクセスせず、必ず Gateway (下図の GW) を経由して、該当の SQL Database に接続する必要があります。
(※ Azure 内のリソースからアクセスした場合にも、初回接続時には Gateway に接続し、次回以降の通信は Azure 内のリソースから SQL Database に接続します。)
つまり SQL Database を利用する端末では、必ず Gateway にアクセスできるようにしなければなりません。
<IP アドレスの変更の影響範囲>
クライアント環境からの不正な接続先へのアクセスを避けることを目的に、環境によっては特定の IP アドレス以外は接続をさせないような設定をしているお客様もいらっしゃると存じますが、こうしたクライアント環境からの接続を制限しているお客様が今回の変更の影響を受ける可能性があります。
前段の通り、SQL Database に接続する場合、必ず Gateway に接続する必要があります。また Gateway の IP アドレスは原則として固定しており変更 (もしくは) 追加がある場合でも前もってお客様に事前に告知します。
そのため、クライアント環境 (クライアント端末や、Azure VM 、アプリケーション、NSG など) によっては、Gateway の IP アドレスの情報をもとに IP アドレスのレベルで、Gateway のみへの接続を許可しており、そのほかの接続を制限しているお客様もいらっしゃると存じます。このような場合、Gateway の IP アドレスが変更されることで、SQL Database への接続ができなくなる可能性があります。
なお今回の IP アドレスの変更は、SQL Database 側のファイアウォールの設定には影響しません。SQL Database は接続元の IP アドレスなどの情報をもとに接続の可否を判断しますが、今回の変更の場合には、接続元のクライアント環境が、Gateway に対して接続可能であるか否かがポイントになります。
<通知を受けとったお客様に確認いただきたいポイント>
通知を受け取った方は、SQL Database に接続をしているクライアントで、特定の IP アドレスに対して、接続を制限していないかを確認してください。
よくあるご質問として、SQL Database の “ファイアウォールと仮想ネットワークの設定” を確認するのか?という趣旨のご質問をいただきますが、これは NO です。
具体的な確認するための参考例を以下にご案内いたします。
例えば、Azure の同一仮想ネットワーク上に存在する Windows 10 などの端末 (クライアント環境) から、SQL Server Management Studio を使用して、SQL Database に接続するものと仮定します。
この場合の確認箇所は主に、以下の通りです。それぞれの設定で、IP アドレスによる接続先の制限をしていない場合、お客様による追加アクションは不要です。
確認ポイント 1. Windows 10 (OS) のファイアウォールの設定 ([コントロールパネル] – [Windows Defender ファイアウォール] などが該当します。 )
確認ポイント 2. Windows 10 が接続しているルーターや各種ネットワーク機器のファイアウォールの設定
(主に SQL Database までのネットワーク経路全般を指します。例えば Windows OS などから SQL Database に接続する場合で、社内ネットワークで外向きの IP アドレスを制限している場合、ネットワーク管理者様などにご確認ください。)
確認ポイント 3. Azure の仮想ネットワーク上の Azure VM などをご利用の場合、NSG (ネットワーク セキュリティ グループ) のファイアウォールの設定により、特定の IP アドレスへの接続を制限しているかの確認
SQL Server Management Studio とは
ネットワーク セキュリティ グループの作成、変更、削除
URL : https://docs.microsoft.com/ja-jp/azure/virtual-network/manage-network-security-group
3 は、以下の NSG の送信セキュリティ規則などを指します。SQL Database の “ファイアウォールと仮想ネットワークの設定” ではありません。
この設定画面で、特定の IP アドレスだけに 1433 ポートの接続を許可している場合には、後段のリージョンに対応した IP アドレスがすべて許可されているかをご確認ください。
なおサービスタグを使用して、Internet や sql* などを指定している場合には、IP アドレスを直接指定する必要はありません。そのままの状態でご利用いただけます。
<クライアントで接続を許可いただきたい IP アドレス>
以下の URL でご案内をしているとおり、Gateway の IP アドレスが変更されます。
ご利用のリージョンと IP アドレスの組み合わせを確認して、クライアント環境で接続許可を実施しているかを確認してください。
<IP アドレス変更に伴うメンテナンスについて>
変更時には、メンテナンスに伴う Reconfiguration が発生し、一時的な接続の切断が発生する見込みです。
そのため、ご利用のお客様におかれましては、以下のガイドライン等に沿って再試行など実装をお願いしております。
Azure SQL Database での Azure メンテナンス イベントの計画
URL : https://docs.microsoft.com/ja-jp/azure/sql-database/sql-database-planned-maintenance
Reconfiguration (リコンフィグレーション) は悪ではない。
URL : https://social.technet.microsoft.com/Forums/ja-JP/412a2ca5-2e0a-4370-877e-df15dc7a082e/reconfiguration-?forum=jpbidp
以上です。
- 編集済み Microsoft Japan SQL Server Support TeamMicrosoft employee, Owner 2019年9月18日 11:42
