Dienstgestützte Subnetzkonfiguration für Azure SQL Managed Instance aktivieren
Gilt für: 
Azure SQL Managed Instance
Dieser Artikel enthält eine Übersicht über die dienstgestützte Subnetzkonfiguration und wie Sie sie mit Subnetzdelegierung für Azure SQL Managed Instance aktivieren.
Eine dienstgestützte Subnetzkonfiguration automatisiert die Verwaltung der Netzwerkkonfiguration für Subnetze, in denen verwaltete Instanzen untergebracht sind. Dabei behält der Benutzer die volle Kontrolle über den Datenzugriff (TDS-Verkehrsströme), während die verwaltete Instanz für die Sicherstellung eines ununterbrochenen Flusses des Verwaltungsdatenverkehrs verantwortlich ist, um die Vereinbarungen zum Servicelevel zu erfüllen.
Übersicht
Um die Sicherheit, Verwaltungsfähigkeit und Verfügbarkeit des Diensts zu verbessern, wendet SQL Managed Instance eine Netzwerkabsichtsrichtlinie auf Elemente der Azure-VNet-Infrastruktur an. Die Richtlinie konfiguriert das Subnetz sowie die zugeordnete Netzwerksicherheitsgruppe und die Routingtabelle, um sicherzustellen, dass die Mindestanforderungen für SQL Managed Instance erfüllt sind. Dieser Plattformmechanismus kommuniziert Netzwerkanforderungen transparent an Benutzer, wenn sie versuchen, eine Konfiguration zu erstellen, die nicht den minimalen Anforderungen entspricht. Die Richtlinie verhindert eine Fehlkonfiguration des Netzwerks und trägt dazu bei, den normalen Betrieb von SQL Managed Instances und Vereinbarungen zum Service Level aufrechtzuerhalten. Wenn Sie die letzte verwaltete Instanz aus einem Subnetz löschen, wird auch die Netzwerkabsichtsrichtlinie aus diesem Subnetz entfernt.
Die dienstgestützte Subnetzkonfiguration baut auf dem Feature Subnetzdelegierung für virtuelle Netzwerke auf, um eine automatische Verwaltung der Netzwerkkonfiguration zu ermöglichen. Die dienstgestützte Subnetzkonfiguration wird automatisch aktiviert, wenn Sie die Subnetzdelegierung für den Microsoft.Sql/managedInstances Ressourcenanbieter aktivieren.
Sie können Dienstendpunkte zum Konfigurieren von Firewallregeln für virtuelle Netzwerke in Speicherkonten verwenden, in denen Sicherungen und Überwachungsprotokolle enthalten sind. Aber auch bei aktivierten Dienstendpunkten wird den Kunden empfohlen, Azure Private Link für den Zugriff auf ihre Speicherkonten zu verwenden, da Private Link mehr Isolierung bietet als Dienstendpunkte.
Wichtig
- Wenn Sie die Subnetzdelegierung wieder deaktivieren möchten, muss zuerst das virtuelle Cluster aus dem Subnetz entfernt werden. Ausführliche Informationen zur Lebensdauer des virtuellen Clusters finden Sie im Löschen eines Subnetzes nach dem Löschen von SQL Managed Instance.
- Aufgrund der spezifischen Konfiguration der Steuerebene sind die Service-Endpunkte nicht in nationalen Clouds verfügbar.
Subnetzdelegierung für neue Bereitstellungen aktivieren
Wenn Sie eine verwaltete Instanz in einem leeren Subnetz bereitstellen möchten, ist eine automatische Delegierung an den Ressourcenanbieter Microsoft.Sql/managedInstances erforderlich, wie in Subnetzdelegierung verwalten beschrieben. Im referenzierten Artikel wird der Microsoft.DBforPostgreSQL/serversv2 Ressourcenanbieter als Beispiel verwendet, sie müssen jedoch stattdessen den Microsoft.Sql/managedInstances Ressourcenanbieter verwenden.
Subnetzdelegierung für bereits vorhandene Bereitstellungen aktivieren
Wenn Sie die Subnetzdelegierung für eine bereits vorhandene Bereitstellung einer verwalteten Instanz aktivieren möchten, müssen Sie herausfinden, wo sich das Subnetz des virtuellen Netzwerks befindet.
Um das Subnetz zu finden, überprüfen Sie den Wert unter Virtuelles Netzwerk/Subnetz auf der Seite Übersicht Ihrer SQL Managed Instance Ressource verwaltete im Azure-Portal.
Alternativ können Sie die folgenden PowerShell-Befehle ausführen, um das virtuelle Netzwerksubnetz für Ihre Instanz zu finden. Ersetzen Sie die folgenden Werte im Beispiel:
- subscription-id mit Ihrer Abonnement-ID
- rg-name mit der Ressourcengruppe für Ihre verwaltete Instanz
- mi-name mit dem Namen Ihrer verwalteten Instanz
Install-Module -Name Az
Import-Module Az.Accounts
Import-Module Az.Sql
Connect-AzAccount
# Use your subscription ID in place of subscription-id below
Select-AzSubscription -SubscriptionId {subscription-id}
# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance
$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}
$mi.SubnetId
Nachdem Sie das verwaltete Instanz Subnetz ermittelt haben, müssen Sie es an den Microsoft.Sql/managedInstances Ressourcenanbieter delegieren, wie unter Subnetz-Delegierung verwalten beschrieben. Während der referenzierte Artikel den Microsoft.DBforPostgreSQL/serversv2 Ressourcenanbieter als Beispiel verwendet, müssen Sie stattdessen den Microsoft.Sql/managedInstances Ressourcenanbieter verwenden.
Wichtig
Die Aktivierung der dienstgestützten Konfiguration hat kein Failover und keine Unterbrechung der Konnektivität für verwaltete Instanzen zur Folge, die sich bereits im Subnetz befinden.
Obligatorische Sicherheitsregeln und Routen
Um eine unterbrechungsfreie Verwaltungskonnektivität für SQL Managed Instance zu gewährleisten, sind einige Sicherheitsregeln und Routen obligatorisch und können nicht entfernt oder geändert werden.
Obligatorische Regeln und Routen beginnen immer mit Microsoft.Sql-managedInstances_UseOnly_mi-.
In der folgenden Tabelle sind die obligatorischen Regeln und Routen aufgeführt, die durchgesetzt und automatisch im Subnetz des Benutzers bereitgestellt werden:
| Variante | Name | Beschreibung |
|---|---|---|
| NSG eingehend | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Ermöglicht, dass eingehende Integritätstests vom zugehörigen Load Balancer die Instanzknoten erreichen können. Dieser Mechanismus ermöglicht es dem Lastenausgleich, aktive Datenbankreplikate nach einem Failover nachzuverfolgen. |
| NSG eingehend | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Stellt die interne Knotenkonnektivität sicher, die für Verwaltungsvorgänge erforderlich ist. |
| NSG ausgehend | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Stellt die interne Knotenkonnektivität sicher, die für Verwaltungsvorgänge erforderlich ist. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Stellt sicher, dass es immer eine Route für die internen Knoten gibt, um einander zu erreichen. |
Hinweis
Einige Subnetze enthalten zusätzliche obligatorische Netzwerksicherheitsregeln und Routen, die in keinem der beiden obigen Abschnitte aufgeführt sind. Solche Regeln gelten als veraltet und werden aus ihren Subnetzen entfernt.
Optionale Sicherheitsregeln und Routen
Einige Regeln und Routen sind optional und können ohne Beeinträchtigung der internen Verwaltungskonnektivität verwalteter Instanzen sicher geändert oder entfernt werden. Diese optionalen Regeln werden verwendet, um die ausgehende Konnektivität von verwalteten Instanzen zu erhalten, die unter der Annahme eingesetzt werden, dass die obligatorischen Regeln und Routen weiterhin in vollem Umfang vorhanden sind.
Wichtig
Optionale Regeln und Routen werden in Zukunft nicht mehr unterstützt. Wir raten Ihnen dringend, Ihre Bereitstellungs- und Netzwerkkonfigurationsverfahren so zu aktualisieren, dass bei jeder Bereitstellung von Azure SQL Managed Instance in einem neuen Subnetz die optionalen Regeln und Routen explizit entfernt und/oder ersetzt werden, so dass nur der minimal erforderliche Datenverkehr fließen kann.
Um optionale von obligatorischen Regeln und Routen zu unterscheiden, beginnen die Namen optionaler Regeln und Routen immer mit Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
In der folgenden Tabelle sind die optionalen Regeln und Routen aufgeführt, die geändert oder entfernt werden können:
| Variante | Name | Beschreibung |
|---|---|---|
| NSG ausgehend | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Optionale Sicherheitsregel zur Aufrechterhaltung der ausgehenden HTTPS-Konnektivität zu Azure. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<Region> | Optionale Route zu AzureCloud-Diensten in der primären Region. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geografisch gekoppelt> | Optionale Route zu AzureCloud-Diensten in der sekundären Region. |
Zugehöriger Inhalt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für