Habilitación de la configuración de subred asistida por servicio para Azure SQL Managed Instance
Se aplica a: 
Azure SQL Managed Instance
En este artículo se proporciona información general sobre la configuración de subred asistida por el servicio y cómo habilitarla con la delegación de subredes para Azure SQL Managed Instance.
Una configuración de subred asistida por servicio automatiza la administración de la configuración de red para las subredes que hospedan instancias administradas, lo que concede al usuario el control total sobre el acceso a los datos (flujos de tráfico de TDS), mientras que la instancia administrada es responsable de garantizar un flujo ininterrumpido del tráfico de administración para cumplir los acuerdos de nivel de servicio.
Información general
Para mejorar la seguridad, la administración y la disponibilidad del servicio, SQL Managed Instance aplica una directiva de intención de red a elementos de la infraestructura de red virtual de Azure. La directiva configura la subred, el grupo de seguridad de red asociado y la tabla de rutas para asegurarse de que se cumplen los requisitos mínimos de SQL Managed Instance. Este mecanismo de plataforma comunica de forma transparente los requisitos de red a los usuarios cuando intentan una configuración que no cumple los requisitos mínimos. La directiva evita errores de configuración de red y ayuda a mantener el funcionamiento normal de las operaciones SQL Managed Instance y el cumplimiento del acuerdo de nivel de servicio (SLA). Cuando se elimina la última instancia administrada de una subred, también se quita la directiva de intención de red de esa subred.
La configuración de la subred asistida por servicio se basa en la característica de delegación de subred de la red virtual para proporcionar administración automática de la configuración de red. La configuración asistida por servicio se habilita automáticamente cuando se activa la delegación de subred para el proveedor de recursos Microsoft.Sql/managedInstances.
Puedes usar puntos de conexión de servicio para configurar reglas de firewall de red virtual destinadas a cuentas de almacenamiento que guardan copias de seguridad y registros de auditoría. Sin embargo, incluso con los puntos de conexión de servicio habilitados, se recomienda a los clientes que usen Azure Private Link para acceder a sus cuentas de almacenamiento, ya que Private Link ofrece un aislamiento mayor que los puntos de conexión de servicio.
Importante
- Cuando la delegación de subred está activada, no se puede desactivar hasta que se quita el último clúster virtual de la subred. Para más información sobre la duración del clúster virtual, consulte cómo eliminar una subred después de eliminar SQL Managed Instance.
- Debido a los detalles de la configuración del plano de control, los puntos de conexión de servicio no están disponibles en nubes nacionales.
Habilitación de la delegación de subred para nuevas implementaciones
Para implementar una instancia administrada en una subred vacía, debe delegarla en el proveedor de recursos Microsoft.Sql/managedInstances, tal y como se describe en Administrar la delegación de subred. En el artículo al que se hace referencia se usa el proveedor de recursos Microsoft.DBforPostgreSQL/serversv2 como ejemplo, pero debe usar el proveedor de recursos Microsoft.Sql/managedInstances en su lugar.
Habilitación de la delegación de subred para implementaciones existentes
Para habilitar la delegación de subred para la implementación de instancia administrada existente, debes averiguar en qué subred de la red virtual se encuentra.
Para buscar la subred, compruebe el valor en Red virtual o subred en la página Información general del recurso de SQL Managed Instance en Azure Portal.
Como alternativa, puede ejecutar los siguientes comandos de PowerShell para buscar la subred de red virtual de la instancia. Reemplace los valores siguientes en la muestra.
- subscription_id con su Id. de suscripción
- rg-name con el grupo de recursos de la instancia administrada
- mi-name con el nombre de su instancia administrada
Install-Module -Name Az
Import-Module Az.Accounts
Import-Module Az.Sql
Connect-AzAccount
# Use your subscription ID in place of subscription-id below
Select-AzSubscription -SubscriptionId {subscription-id}
# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance
$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}
$mi.SubnetId
Una vez que determine la subred de la instancia administrada, debe delegarla en el proveedor de recursos Microsoft.Sql/managedInstances, tal como se describe en Administración de la delegación de subred. Aunque el artículo al que se hace referencia usa el proveedor de recursos Microsoft.DBforPostgreSQL/serversv2 como ejemplo, debe usar el proveedor de recursos Microsoft.Sql/managedInstances en su lugar.
Importante
La habilitación de la configuración asistida por servicio no provoca una conmutación por error ni una interrupción de la conectividad de las instancias administradas que ya están en la subred.
Reglas y rutas de seguridad obligatorias
Para garantizar la conectividad de administración ininterrumpida para SQL Managed Instance, algunas reglas de seguridad y rutas son obligatorias y no se pueden quitar ni modificar.
Las reglas y rutas obligatorias siempre comienzan por Microsoft.Sql-managedInstances_UseOnly_mi-.
En la tabla siguiente se enumeran las reglas y rutas obligatorias que se aplican y se implementan automáticamente en la subred del usuario:
| Variante | Nombre | Descripción |
|---|---|---|
| NSG entrante | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permite que los sondeos de estado de entrada del equilibrador de carga asociado lleguen a los nodos de instancia. Este mecanismo permite al equilibrador de carga realizar un seguimiento de las réplicas de base de datos activas después de una conmutación por error. |
| NSG entrante | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantiza la conectividad interna del nodo necesaria para las operaciones de administración. |
| NSG saliente | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantiza la conectividad interna del nodo necesaria para las operaciones de administración. |
| Ruta | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Garantiza que siempre haya una ruta para que los nodos internos se alcancen entre sí. |
Nota:
Algunas subredes pueden contener reglas de seguridad de red y rutas obligatorias adicionales que no aparecen en ninguna de las dos secciones anteriores. Estas reglas se consideran obsoletas y se quitarán de sus subredes.
Reglas y rutas de seguridad opcionales
Algunas reglas y rutas son opcionales y se pueden modificar o quitar de forma segura sin afectar a la conectividad de administración interna de las instancias administradas. Estas reglas opcionales se usan para conservar la conectividad saliente de las instancias administradas que se implementan con la suposición de que el complemento completo de las reglas y rutas obligatorias seguirá estando en vigor.
Importante
Las reglas y rutas opcionales quedarán en desuso en el futuro. Te recomendamos encarecidamente que actualices los procedimientos de implementación y configuración de red, de modo que a cada implementación de Azure SQL Managed Instance en una nueva subred le siga con la eliminación explícita o sustitución de las reglas y rutas opcionales, de forma que solo se permita que fluya el tráfico mínimo necesario.
Para ayudar a diferenciar las reglas y rutas obligatorias, los nombres de las reglas y rutas opcionales siempre comienzan por Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
En la tabla siguiente se enumeran las reglas y rutas opcionales que se pueden modificar o quitar:
| Variante | Nombre | Descripción |
|---|---|---|
| NSG saliente | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regla de seguridad opcional para conservar la conectividad HTTPS saliente a Azure. |
| Ruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Ruta opcional a los servicios de AzureCloud en la región primaria. |
| Ruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Ruta opcional a los servicios de AzureCloud en la región secundaria. |
Contenido relacionado
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de