Freigeben über


Dienstgestützte Subnetzkonfiguration für Azure SQL Managed Instance aktivieren

Gilt für: Azure SQL Managed Instance

Dieser Artikel enthält eine Übersicht über die dienstgestützte Subnetzkonfiguration und über deren Interaktion mit Subnetzen, die an Azure SQL Managed Instance delegiert sind. Eine dienstgestützte Subnetzkonfiguration automatisiert die Verwaltung der Netzwerkkonfiguration für Subnetze, in denen verwaltete Instanzen untergebracht sind. Dabei behält der Benutzer die volle Kontrolle über den Datenzugriff (TDS-Verkehrsströme), während die verwaltete Instanz für die Sicherstellung eines ununterbrochenen Flusses des Verwaltungsdatenverkehrs verantwortlich ist.

Übersicht

Um die Dienstsicherheit, Verwaltbarkeit und Verfügbarkeit zu verbessern, automatisiert SQL Managed Instance die Verwaltung bestimmter kritischer Netzwerkpfade innerhalb des Subnetzes des Benutzers. Dies wird erreicht, indem das Subnetz, die zugeordnete Netzwerksicherheitsgruppe und die Routingtabelle so konfiguriert werden, dass sie eine Reihe von erforderlichen Einträgen enthält.

Der Mechanismus, der dies erreicht, wird als Netzwerkabsichtsrichtlinie bezeichnet. Eine Netzwerkabsichtsrichtlinie wird automatisch auf das Subnetz angewendet, wenn sie zum ersten Mal an den Ressourcenanbieter von Azure SQL Managed Instance Microsoft.Sql/managedInstances delegiert wird. Zu diesem Zeitpunkt wird die automatische Konfiguration wirksam. Wenn Sie die letzte verwaltete Instanz aus einem Subnetz löschen, wird auch die Netzwerkabsichtsrichtlinie aus diesem Subnetz entfernt.

Auswirkungen der Netzwerkabsichtsrichtlinie auf das delegierte Subnetz

Wenn sie auf ein Subnetz angewendet wird, erweitert die Netzwerkabsichtsrichtlinie die dem Subnetz zugeordnete Routingtabelle und die Netzwerksicherheitsgruppe, indem obligatorische und optionale Regeln und Routen hinzugefügt werden.

Solange sie auf ein Subnetz angewendet wird, hindert eine Netzwerkrichtlinie Sie nicht daran, die meisten Konfigurationen des Subnetzes zu aktualisieren. Wenn Sie die Routingtabelle des Subnetzes ändern oder die Regeln für die Netzwerksicherheitsgruppe aktualisieren, überprüft die Netzwerkabsichtsrichtlinie, ob die effektiven Routen und Sicherheitsregeln den Anforderungen für Azure SQL Managed Instance entsprechen. Andernfalls verursacht die Netzwerkabsichtsrichtlinie einen Fehler und verhindert, dass Sie die Konfiguration aktualisieren.

Dieses Verhalten wird beendet, wenn Sie die letzte verwaltete Instanz aus dem Subnetz entfernen und die Netzwerkabsichtsrichtlinie abgetrennt ist. Sie kann nicht ausgeschaltet werden, während verwaltete Instanzen im Subnetz vorhanden sind.

Hinweis

  • Wir empfehlen Ihnen, für jedes delegierte Subnetz eine separate Routingtabelle und NSG zu verwalten. Automatisch konfigurierte Regeln und Routen verweisen auf die spezifischen Subnetzbereiche, die in einem anderen Subnetz vorhanden sein können. Wenn Sie RTs und NSGs in mehreren Subnetzen wiederverwenden, die an Azure SQL Managed Instance delegiert wurden, werden automatisch konfigurierte Regeln gestapelt und können mit den Regeln für nicht verwandten Datenverkehr interferieren.
  • Wir raten davon ab, sich von den vom Dienst verwalteten Regeln und Routen abhängig zu machen. Erstellen Sie in der Regel immer explizite Routen und NSG-Regeln für Ihre jeweiligen Zwecke. Sowohl die obligatorischen als auch die optionalen Regeln können geändert werden.
  • Ebenso raten wir davon ab, die vom Dienst verwalteten Regeln zu aktualisieren. Da die Netzwerkabsichtsrichtlinie nur nach effektiven Regeln und Routen sucht, ist es möglich, eine der automatisch konfigurierten Regeln zu erweitern, z. B. um zusätzliche Ports für eingehende Verbindungen zu öffnen oder das Routing auf ein breiteres Präfix auszuweiten. Vom Dienst konfigurierte Regeln und Routen können sich jedoch ändern. Es empfiehlt sich, eigene Routen und Sicherheitsregeln zu erstellen, um das gewünschte Ergebnis zu erzielen.

Obligatorische Sicherheitsregeln und Routen

Um eine unterbrechungsfreie Verwaltungskonnektivität für SQL Managed Instance zu gewährleisten, sind einige Sicherheitsregeln und Routen obligatorisch und können nicht entfernt oder geändert werden.

Obligatorische Regeln und Routen beginnen immer mit Microsoft.Sql-managedInstances_UseOnly_mi-.

In der folgenden Tabelle sind die obligatorischen Regeln und Routen aufgeführt, die durchgesetzt und automatisch im Subnetz des Benutzers bereitgestellt werden:

Variante Name Beschreibung
NSG eingehend Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in Ermöglicht, dass eingehende Integritätstests vom zugehörigen Load Balancer die Instanzknoten erreichen können. Dieser Mechanismus ermöglicht es dem Lastenausgleich, aktive Datenbankreplikate nach einem Failover nachzuverfolgen.
NSG eingehend Microsoft.Sql-managedInstances_UseOnly_mi-internal-in Stellt die interne Knotenkonnektivität sicher, die für Verwaltungsvorgänge erforderlich ist.
NSG ausgehend Microsoft.Sql-managedInstances_UseOnly_mi-internal-out Stellt die interne Knotenkonnektivität sicher, die für Verwaltungsvorgänge erforderlich ist.
Route Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal Stellt sicher, dass es immer eine Route für die internen Knoten gibt, um einander zu erreichen.

Hinweis

Einige Subnetze enthalten zusätzliche obligatorische Netzwerksicherheitsregeln und Routen, die in keinem der beiden obigen Abschnitte aufgeführt sind. Solche Regeln gelten als veraltet und werden aus ihren Subnetzen entfernt.

Optionale Sicherheitsregeln und Routen

Einige Regeln und Routen sind optional und können ohne Beeinträchtigung der internen Verwaltungskonnektivität verwalteter Instanzen sicher entfernt werden. Diese optionalen Regeln werden verwendet, um die ausgehende Konnektivität von verwalteten Instanzen zu erhalten, die unter der Annahme eingesetzt werden, dass die obligatorischen Regeln und Routen weiterhin in vollem Umfang vorhanden sind.

Wichtig

Optionale Regeln und Routen werden in Zukunft nicht mehr unterstützt. Wir raten Ihnen dringend, Ihre Bereitstellungs- und Netzwerkkonfigurationsverfahren so zu aktualisieren, dass bei jeder Bereitstellung von Azure SQL Managed Instance in einem neuen Subnetz die optionalen Regeln und Routen explizit entfernt und/oder ersetzt werden, so dass nur der minimal erforderliche Datenverkehr fließen kann.

Um optionale von obligatorischen Regeln und Routen zu unterscheiden, beginnen die Namen optionaler Regeln und Routen immer mit Microsoft.Sql-managedInstances_UseOnly_mi-optional-.

In der folgenden Tabelle sind die optionalen Regeln und Routen aufgeführt, die geändert oder entfernt werden können:

Variante Name Beschreibung
NSG ausgehend Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out Optionale Sicherheitsregel zur Aufrechterhaltung der ausgehenden HTTPS-Konnektivität zu Azure.
Route Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<Region> Optionale Route zu AzureCloud-Diensten in der primären Region.
Route Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geografisch gekoppelt> Optionale Route zu AzureCloud-Diensten in der sekundären Region.

Entfernen der Netzwerkabsichtsrichtlinie

Die Auswirkung der Netzwerkabsichtsrichtlinie auf das Subnetz wird beendet, wenn keine virtuellen Cluster mehr vorhanden sind und die Delegierung entfernt wird. Ausführliche Informationen zum Lebenszyklus des virtuellen Clusters finden Sie im Löschen eines Subnetzes nach dem Löschen von SQL Managed Instance.