Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro:
Azure SQL Managed Instance
Tento článek obsahuje přehled konfigurace podsítě s podporou služeb a způsobu interakce s podsítěmi delegovanými do spravované instance Azure SQL. Konfigurace podsítě s podporou služeb automatizuje správu konfigurace sítě pro podsítě spravované instance SQL. Tento mechanismus ponechá uživatele plně pod kontrolou přístupu k datům, zatímco spravovaná instance SQL přebírá odpovědnost za nepřerušovaný tok provozu správy.
Přehled
Kvůli zlepšení zabezpečení služeb, spravovatelnosti a dostupnosti služba SQL Managed Instance automatizuje správu určitých kritických síťových cest uvnitř podsítě uživatele. Služba nakonfiguruje podsíť, přidruženou skupinu zabezpečení sítě a směrovací tabulku tak, aby obsahovala sadu požadovaných položek.
Mechanismus za tímto chováním se nazývá zásady záměru sítě. Zásady záměru sítě se automaticky použijí na podsíť, když je podsíť poprvé delegovaná poskytovateli prostředků Azure SQL Managed Instance Microsoft.Sql/managedInstances. V tomto okamžiku se automatická konfigurace projeví. Když odstraníte poslední spravovanou instanci SQL z podsítě, zásady záměru sítě se také z této podsítě odeberou.
Účinek zásad záměru sítě na delegovanou podsíť
Zásada záměru sítě rozšiřuje směrovací tabulku a skupinu zabezpečení sítě přidruženou k podsíti přidáním povinných a volitelných pravidel a tras.
Zásady záměru sítě vám nebrání v aktualizaci většiny konfigurace podsítě. Když změníte směrovací tabulku podsítě nebo aktualizujete její pravidla skupiny zabezpečení sítě, přidružené zásady záměru sítě kontrolují, jestli efektivní trasy a pravidla zabezpečení splňují požadavky pro spravovanou instanci Azure SQL. Pokud ne, zásada záměru sítě vyvolá chybu, což brání změně v konfiguraci.
Toto chování se zastaví, když odeberete poslední spravovanou instanci SQL z podsítě a zásadu záměru sítě odpojíte. Nejde ho vypnout, když jsou v podsíti spravované instance SQL.
Vezměte v úvahu následující body:
- Doporučujeme udržovat samostatnou směrovací tabulku a skupinu zabezpečení sítě pro každou delegovanou podsíť. Automaticky nakonfigurovaná pravidla a trasy odkazují na konkrétní rozsahy podsítí, které se můžou překrývat s oblastmi v jiné podsíti. Když opakovaně používáte RT a skupiny zabezpečení sítě napříč několika podsítěmi delegovanými do služby Azure SQL Managed Instance, zásobník automaticky nakonfigurovaných pravidel se může dostat do konfliktu s pravidly, která řídí nesouvisející síťový provoz.
- Doporučujeme, abyste se závislostili na žádném z pravidel a tras spravovaných službou. Pravidla platí, že pro konkrétní účely vždy vytvářejte explicitní trasy a pravidla NSG. Povinná i volitelná pravidla se můžou změnit.
- Podobně nedoporučujeme aktualizovat pravidla spravovaná službou. Vzhledem k tomu, že zásady záměru sítě kontrolují pouze účinná pravidla a trasy, je možné rozšířit jedno z automaticky konfigurovaných pravidel. Pokud chcete například otevřít více portů pro příchozí provoz nebo rozšířit směrování na širší předponu. Pravidla a trasy nakonfigurované službou se ale můžou změnit. Nejlepší je vytvořit vlastní trasy a pravidla zabezpečení, abyste dosáhli požadovaného výsledku.
Povinná pravidla zabezpečení a trasy
Aby se zajistilo nepřerušované připojení ke správě pro službu SQL Managed Instance, jsou některá pravidla zabezpečení a trasy povinné a není možné je odebrat ani upravit.
Názvy povinných pravidel a tras vždy začínají Microsoft.Sql-managedInstances_UseOnly_mi-. Tato předpona je vyhrazená pro použití spravované instance Azure SQL. Tuto předponu nepoužívejte při aktualizaci tabulky směrování a skupiny zabezpečení sítě. Aktualizace služeb můžou odstranit všechna pravidla a trasy s danou předponou, po které se znovu vytvoří jenom ty povinné.
Následující tabulka uvádí povinná pravidla a trasy, které se automaticky nasazují a vynucují v podsíti uživatele:
| Druh | Název | Popis |
|---|---|---|
| Příchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Povolí příchozí sondy stavu z přidruženého nástroje pro vyrovnávání zatížení, aby se dostaly k uzlům instance. Tento mechanismus umožňuje nástroji pro vyrovnávání zatížení sledovat aktivní repliky databáze po převzetí služeb při selhání. |
| Příchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Zajišťuje připojení k internímu uzlu vyžadované pro operace správy. |
| Odchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Zajišťuje připojení k internímu uzlu vyžadované pro operace správy. |
| Postup | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Zajišťuje, aby se interní uzly vždy dostaly do sebe. |
Poznámka:
Některé podsítě můžou obsahovat další pravidla zabezpečení sítě a trasy, které používají předponu Microsoft.Sql-managedInstances_UseOnly_mi- . Tato pravidla a trasy jsou také povinná, pokud jsou k dispozici, ale může být odebrána v budoucí aktualizaci služby.
Volitelná pravidla zabezpečení a trasy
Některá pravidla a trasy jsou volitelná a lze je bezpečně odstranit, aniž by to ovlivnilo konektivitu interní správy instancí spravovaných SQL.
Důležité
V budoucí aktualizaci služby budou vyřazena volitelná pravidla a trasy. Doporučujeme aktualizovat postupy nasazení a konfigurace sítě tak, aby každé nasazení služby Azure SQL Managed Instance v nové podsíti bylo dodrženo explicitním odebráním nebo nahrazením volitelných pravidel a tras.
Aby bylo možné odlišit volitelné od povinných pravidel a tras, názvy volitelných pravidel a tras vždy začínají .Microsoft.Sql-managedInstances_UseOnly_mi-optional-
Následující tabulka uvádí volitelná pravidla a trasy, které je možné upravit nebo odebrat:
| Druh | Název | Popis |
|---|---|---|
| Odchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Volitelné pravidlo zabezpečení pro zachování odchozího připojení HTTPS k Azure |
| Postup | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<oblast> | Volitelná trasa ke službám AzureCloud v primární oblasti |
| Postup | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geograficky párované> | Volitelná trasa ke službám AzureCloud v sekundární oblasti. |
Odebrání zásad záměru sítě
Účinek politiky záměru sítě na podsíť se zastaví, když uvnitř nejsou žádné další virtuální clustery a delegování je odebráno. Podrobnosti o životním cyklu virtuálního clusteru najdete v tématu odstranění podsítě po odstranění služby SQL Managed Instance.