Activer la configuration du sous-réseau assistée par le service pour Azure SQL Managed Instance
S’applique à : 
Azure SQL Managed Instance
Cet article fournit une vue d’ensemble de la configuration du sous-réseau assistée par le service et explique comment l’activer avec la délégation du sous-réseau pour Azure SQL Managed Instance.
Une configuration du sous-réseau assistée par le service automatise la gestion de la configuration réseau pour les sous-réseaux qui hébergent des instances managées, laissant à l’utilisateur le contrôle total de l’accès aux données (flux de trafic TDS), tandis que l’instance managée est chargée de garantir un flux ininterrompu du trafic de gestion afin de respecter les contrats de niveau de service.
Vue d’ensemble
Pour améliorer la sécurité, la facilité de gestion et la disponibilité du service, SQL Managed Instance applique une stratégie d’intention réseau à certains éléments de l’infrastructure de réseau virtuel Azure. La stratégie configure le sous-réseau, ainsi que le groupe de sécurité réseau associé et la table de routage pour s’assurer que les exigences minimales pour SQL Managed Instance sont remplies. Ce mécanisme de plateforme communique en toute transparence les exigences réseau aux utilisateurs lorsqu’ils tentent une configuration qui ne répond pas aux exigences minimales. La stratégie évite une mauvaise configuration du réseau et aide à maintenir le contrat de niveau de service et le bon fonctionnement de SQL Managed Instance. Lorsque vous supprimez la dernière instance managée d’un sous-réseau, la stratégie d’intention de réseau est également supprimée de ce sous-réseau.
La configuration du sous-réseau assistée par le service s’appuie sur la fonctionnalité de délégation de sous-réseau de réseau virtuel pour fournir une gestion automatique de la configuration du réseau. La configuration du sous-réseau assistée par le service est automatiquement activée après activation de la délégation de sous-réseau pour le fournisseur de ressources Microsoft.Sql/managedInstances.
Vous pouvez utiliser des points de terminaison de service pour configurer des règles de pare-feu de réseau virtuel sur des comptes de stockage qui conservent des sauvegardes et des journaux d’audit. Cependant, même si les points de terminaison de service sont activés, les clients sont encouragés à utiliser Azure Private Link pour accéder à leurs comptes de stockage, car la liaison privée offre une plus grande isolation que les points de terminaison de service.
Important
- Une fois la délégation de sous-réseau activée, vous ne pouvez pas la désactiver tant que le cluster virtuel n’est pas supprimé du sous-réseau. Pour en savoir plus sur la durée de vie du cluster virtuel, reportez-vous à comment supprimer un sous-réseau après avoir supprimé une SQL Managed Instance.
- En raison des spécificités de configuration du plan de contrôle, les points de terminaison de service ne sont pas disponibles dans les clouds nationaux.
Activer la délégation de sous-réseau pour les nouveaux déploiements
Pour déployer une Managed Instance sur un sous-réseau vide, vous devez la déléguer au fournisseur de ressources Microsoft.Sql/managedInstances comme décrit dans Gérer la délégation de sous-réseau. L'article cité en référence utilise le fournisseur de ressources Microsoft.DBforPostgreSQL/serversv2 comme exemple, mais vous devez utiliser le fournisseur de ressources Microsoft.Sql/managedInstances à la place.
Activer la délégation de sous-réseau pour les déploiements existants
Pour activer la délégation de sous-réseau pour le déploiement de votre instance managée existante, vous devez pouvoir trouver le sous-réseau du réseau virtuel.
Pour trouver le sous-réseau, vérifiez la valeur sous Réseau virtuel/sous-réseau sur la page Vue d'ensemble de votre ressource SQL Managed Instance dans le portail Azure.
Vous pouvez également exécuter les commandes PowerShell suivantes pour trouver le sous-réseau du réseau virtuel de votre instance. Remplacez les valeurs suivantes dans l'exemple :
- subscription_id par votre ID d’abonnement
- rg-name par le groupe de ressources de votre Managed Instance
- mi-name par le nom de votre instance managée
Install-Module -Name Az
Import-Module Az.Accounts
Import-Module Az.Sql
Connect-AzAccount
# Use your subscription ID in place of subscription-id below
Select-AzSubscription -SubscriptionId {subscription-id}
# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance
$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}
$mi.SubnetId
Une fois que vous avez déterminé le sous-réseau de la Managed Instance, vous devez le déléguer au fournisseur de ressources Microsoft.Sql/managedInstances comme décrit dans Gérer la délégation de sous-réseau. Bien que l'article cité en référence utilise le fournisseur de ressources Microsoft.DBforPostgreSQL/serversv2 comme exemple, vous devez utiliser le fournisseur de ressources Microsoft.Sql/managedInstances à la place.
Important
L’activation de la configuration assistée par le service n’entraîne pas de basculement ou d’interruption de la connectivité pour les instances gérées déjà présentes dans le sous-réseau.
Règles et itinéraires de sécurité obligatoires
Pour garantir une connectivité de gestion ininterrompue pour SQL Managed Instance, certaines règles et certains itinéraires de sécurité sont obligatoires et ne peuvent pas être supprimés ou modifiés.
Les règles et itinéraires obligatoires commencent toujours par Microsoft.Sql-managedInstances_UseOnly_mi-.
Le tableau suivant répertorie les règles et itinéraires obligatoires qui sont appliqués et déployés automatiquement sur le sous-réseau de l’utilisateur :
| Type | Nom | Description |
|---|---|---|
| NSG entrant | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permet aux sondes d’intégrité entrantes de l’équilibreur de charge associé d’atteindre les nœuds d’instance. Ce mécanisme permet à l’équilibreur de charge de suivre les réplicas de base de données actifs après un basculement. |
| NSG entrant | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantit la connectivité des nœuds internes requise pour les opérations de gestion. |
| NSG sortant | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantit la connectivité des nœuds internes requise pour les opérations de gestion. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Garantit qu’il existe toujours un itinéraire pour que les nœuds internes s’atteignent les uns les autres. |
Remarque
Certains sous-réseaux peuvent contenir des règles et des itinéraires de sécurité réseau obligatoires supplémentaires qui ne sont pas répertoriés dans l’une des deux sections ci-dessus. Ces règles sont considérées comme obsolètes et seront supprimées de leurs sous-réseaux.
Règles et itinéraires de sécurité facultatifs
Certaines règles et itinéraires sont facultatifs et peuvent être modifiés ou supprimés en toute sécurité sans compromettre la connectivité de gestion interne des instances managées. Ces règles facultatives sont utilisées pour préserver la connectivité sortante des instances managées déployées avec l’hypothèse que le complément complet des règles et itinéraires obligatoires sera toujours en place.
Important
Les règles et itinéraires facultatifs seront déconseillés à l’avenir. Nous vous conseillons vivement de mettre à jour vos procédures de déploiement et de configuration réseau afin que chaque déploiement d’Azure SQL Managed Instance dans un nouveau sous-réseau soit suivi d’une suppression et/ou d’un remplacement explicite des règles et itinéraires facultatifs, afin que seul le trafic minimal requis soit autorisé à circuler.
Pour vous aider à différencier les règles et itinéraires facultatifs des règles et itinéraires obligatoires, les noms des règles et itinéraires facultatifs commencent toujours par Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
Le tableau suivant répertorie les règles et itinéraires facultatifs qui peuvent être modifiés ou supprimés :
| Type | Nom | Description |
|---|---|---|
| NSG sortant | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Règle de sécurité facultative pour préserver la connectivité HTTPS sortante à Azure. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Itinéraire facultatif vers les services AzureCloud dans la région primaire. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Itinéraire facultatif vers les services AzureCloud dans la région secondaire. |
Contenu connexe
Pour plus d’informations sur Azure SQL Managed Instance, consultez les articles suivants :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour