Kapcsolódási architektúra Azure SQL Kezelt Példányhoz

A következőkre vonatkozik:Azure SQL Managed Instance

Ez a cikk ismerteti a felügyelt Azure SQL-példány kapcsolati architektúráját, valamint azt, hogy az összetevők hogyan irányítják a felügyelt SQL-példányok kommunikációs forgalmát.

Áttekintés

Az SQL Managed Instance-ben egy példány az Azure virtuális hálózatán belül kerül elhelyezésre, és az SQL Managed Instance-ok számára dedikált alhálózatban található. Az üzembe helyezés a következő lehetőségeket biztosítja:

• Biztonságos virtuális hálózati (VNet-local) IP-cím.
• Helyszíni hálózat csatlakoztatása felügyelt SQL-példányhoz.
• A felügyelt SQL-példány összekapcsolásának lehetősége egy csatolt kiszolgálóhoz vagy egy másik helyszíni adattárhoz.
• A felügyelt SQL-példány azure-erőforrásokhoz való csatlakoztatásának lehetősége.

Magas szintű kapcsolati architektúra

A felügyelt SQL-példány olyan szolgáltatásösszetevőkből áll, amelyeket egy dedikált, hasonló konfigurációs attribútumokkal csoportosított és egy virtuális fürthöz csatlakoztatott izolált virtuális gépcsoporton üzemeltetnek. Egyes szolgáltatásösszetevők az ügyfél virtuális hálózati alhálózatán belül vannak üzembe helyezve, míg más szolgáltatások a Microsoft által felügyelt biztonságos hálózati környezetben működnek.

Az ügyfélalkalmazások csatlakozhatnak a felügyelt SQL-példányhoz, és lekérdezhetik és frissíthetik a virtuális hálózaton belüli adatbázisokat, a társhálózati virtuális hálózatot vagy a VPN vagy az Azure ExpressRoute által csatlakoztatott hálózatot.

Az alábbi ábra a felügyelt SQL-példányhoz csatlakozó entitásokat mutatja be. A felügyelt SQL-példányokkal való kommunikációhoz szükséges erőforrásokat is megjeleníti. A diagram alján található kommunikációs folyamat a felügyelt SQL-példányhoz adatforrásként csatlakozó ügyfélalkalmazásokat és eszközöket jelöli.

Az SQL Managed Instance egy egybérlős, platform szolgáltatásként (PaaS) kínált megoldás, amely két síkban működik: az adatsíkban és a vezérlősíkban.

Az adatsík az ügyfél alhálózatán belül van üzembe helyezve a kompatibilitás, a kapcsolat és a hálózatelkülönítés érdekében. Az adatsík olyan Azure-szolgáltatásoktól függ, mint az Azure Storage, a Microsoft Entra ID (korábban Azure Active Directory) a hitelesítéshez és a telemetriai adatgyűjtési szolgáltatásokhoz. Olyan szolgáltatásoknál láthatja a forgalmat, amely az alhálózatokból származik, amelyek felügyelt SQL-példányt tartalmaznak.

A vezérlősík automatizált ügynökökön keresztül végzi az üzembe helyezési, felügyeleti és alapvető szolgáltatáskarbantartási funkciókat. Ezek az ügynökök kizárólagos hozzáféréssel rendelkeznek a szolgáltatást üzemeltető számítási erőforrásokhoz. Ezekhez a gazdagépekhez nem lehet használni az SSH-t vagy az RDP-t. A vezérlősík összes kommunikációja tanúsítványokkal van titkosítva és aláírva. A kommunikáló felek megbízhatóságának ellenőrzéséhez a felügyelt SQL-példány folyamatosan ellenőrzi ezeket a tanúsítványokat a visszavont tanúsítványok listájának használatával.

A kommunikáció áttekintése

Az alkalmazások három végponttípuson keresztül csatlakozhatnak a felügyelt SQL-példányhoz: virtuális hálózat helyi végpontja, nyilvános végpont, valamint privát végpontok. Ezek a végpontok különböző tulajdonságokat és viselkedéseket mutatnak, amelyek különböző forgatókönyvekhez alkalmasak.

Virtuális hálózat helyi végpontja

A VNet helyi végpontja az alapértelmezett eszköz a felügyelt SQL-példányhoz való csatlakozáshoz. A virtuális hálózat helyi végpontjának tartományneve a következő formában van: <mi_name>.<dns_zone>.database.windows.net. Ez a tartománynév az alhálózat címtartományából származó IP-címre oldódik fel. A VNet helyi végpontja segítségével csatlakozhat egy felügyelt SQL-példányhoz minden szabványos kapcsolati forgatókönyvben. A VNet helyi végpontja fogadja a kapcsolatokat az 1433-as porton.

A virtuális hálózat helyi végpontja támogatja a proxy- és átirányítási kapcsolattípusokat.

A VNet helyi végponthoz való csatlakozáskor mindig használja a tartománynevét, és engedélyezze a bejövő forgalmat a szükséges portokon a teljes alhálózati tartományon, mivel a mögöttes IP-cím időnként változhat.

Egy példány VNet-helyi végpont tartománynevének megkeresése:

• Azure portal: Az Áttekintés panelen, az Alapvető funkciók szakaszban, a Gazdagép értéke a VNet-helyi végpont tartomány neve jelenik meg.
• PowerShell: Get-AzSqlInstance -ResourceGroupName <resource-group> -Name <mi-name> tulajdonságként a virtuális hálózat helyi végpontjának tartománynevét jeleníti meg fullyQualifiedDomainName .
• Azure CLI: az sql mi show -g <resource-group> -n <mi-name> tulajdonságként a virtuális hálózat helyi végpontjának tartománynevét jeleníti meg fullyQualifiedDomainName .

A nagyobb biztonság érdekében adjon meg egy titkosított kapcsolatot, és ne bízzon meg a tanúsítványban. További információ: Biztonsági áttekintés.

Nyilvános végpont

A nyilvános végpont egy tartománynév <mi_name>.public.<dns_zone>.database.windows.netformájában. Ez a tartománynév az internetről elérhető nyilvános IP-címre oldódik fel. A nyilvános végpont olyan helyzetekre alkalmas, amikor egy felügyelt SQL-példánynak a nyilvános interneten keresztül kell elérhetőnek lennie. Ha például egy másik virtuális hálózatról csatlakozik hozzá, amikor a társviszony-létesítés vagy a privát végpontok nem érhetők el. A nyilvános végpontok csak ügyfélforgalmat bonyolítanak, és nem használhatók két példány közötti adatreplikáláshoz, például feladatátvételi csoportokhoz vagy felügyeltpéldány-kapcsolathoz. A nyilvános végpont a 3342-s porton fogadja a kapcsolatokat.

A nyilvános végpont a kapcsolattípus-beállítástól függetlenül mindig a Proxy kapcsolattípust használja.

A példány nyilvános végpontjának tartományneve megegyezik annak virtuális hálózati helyi végpontjának nevével, azzal a különbséggel, hogy a címke public beillesztésre kerül a gazdagépnév és a tartomány többi része közé: <mi-name>.public.<dns-zone>.database.windows.net.

Amikor a nyilvános végponthoz csatlakozik, mindig használja a tartománynevét, és engedélyezze a bejövő forgalmat a 3342-as porton a teljes alhálózati tartományon, mivel a mögöttes IP-cím időnként változhat.

Ismerje meg, hogyan állíthat be nyilvános végpontot Felügyelt Azure SQL-példány nyilvános végpontjának konfigurálása.

Privát végpontok

A privát végpont egy nem kötelező rögzített IP-cím egy másik virtuális hálózatban, amely a felügyelt SQL-példány felé irányítja a forgalmat. Egy felügyelt Azure SQL-példány több privát végponttal is rendelkezhet több virtuális hálózatban. A privát végpontok csak ügyfélforgalmat bonyolítanak, és nem használhatók két példány közötti adatreplikáláshoz, például feladatátvételi csoportokhoz vagy felügyeltpéldány-kapcsolathoz. A privát végpont fogadja a kapcsolatokat az 1433-as porton.

A privát végpontok a kapcsolattípus-beállítástól függetlenül mindig a Proxy kapcsolattípust használják.

A példány privát végpontjának tartományneve megegyezik a virtuális hálózat helyi tartománynevével, kivéve, ha a végpont eltérően lett konfigurálva. Ez akkor fordul elő, ha a privát végpont és a virtuális hálózat helyi végpontja is ugyanabban a virtuális hálózaton található. További információ: Tartománynévfeloldás beállítása privát végponthoz.

Privát végponthoz való csatlakozáskor mindig használja a tartománynevet, mivel a felügyelt Azure SQL-példányhoz az IP-címével való csatlakozás még nem támogatott. A privát végpont IP-címe azonban nem változik.

Tudjon meg többet a privát végpontokról és azok konfigurálásáról az Azure SQL Felügyelt példány számára készült Azure Private Link segítségével .

Virtuális fürt kapcsolati architektúra

Az alábbi ábra a virtuális fürtarchitektúra fogalmi elrendezését mutatja be:

A VNet helyi végpontjának tartományneve egy belső terheléselosztó privát IP-címére oldódik fel. Bár ez a tartománynév egy nyilvános dns-zónában van regisztrálva, és nyilvánosan feloldható, az IP-címe az alhálózat címtartományához tartozik, és alapértelmezés szerint csak a virtuális hálózatán belülről érhető el.

A terheléselosztó átirányítja a forgalmat egy felügyelt SQL-példány-átjáróra. Mivel több SQL Managed Instance is futtatható ugyanazon a fürtön belül, az átjáró a kapcsolati sztringben látható SQL Managed Instance gazdanevet használja a forgalom megfelelő SQL motor szolgáltatásba való átirányításához.

A dns-zone értéke automatikusan létrejön a fürt létrehozásakor. Ha egy újonnan létrehozott fürt egy másodlagos felügyelt SQL-példányt üzemeltet, a zónaazonosítóját megosztja az elsődleges fürttel.

Hálózati követelmények

A felügyelt Azure SQL-példányhoz a delegált alhálózat bizonyos aspektusait meghatározott módon kell konfigurálni, amelyet a szolgáltatássegített alhálózat-konfigurációhasználatával érhet el. A szolgáltatás által igényelteken túl a felhasználók teljes mértékben szabályozhatják az alhálózati hálózati konfigurációjukat, például:

• Forgalom engedélyezése vagy letiltása egyes portokon vagy az összes porton.
• Bejegyzések hozzáadása az útvonaltáblához, hogy a forgalmat virtuális hálózati berendezéseken vagy átjárókon keresztül irányíthassa.
• A DNS-feloldás egyéni konfigurálása.
• Peering vagy VPN beállítása.

A Microsoft Online Services szolgáltatásiszint-szerződésében szereplő megfelelő hálózati konfigurációs feltételek teljesítéséhez annak a virtuális hálózatnak és alhálózatnak, amelyben a felügyelt SQL-példány telepítve van, meg kell felelnie a következő követelményeknek:

• dedikált alhálózati: Az SQL Managed Instance által használt alhálózat csak az SQL Managed Instance szolgáltatáshoz delegálható. Az alhálózat nem lehet átjáróalhálózat, és csak az SQL Managed Instance-erőforrásokat helyezheti üzembe az alhálózaton.
• alhálózat delegálása: A felügyelt SQL-példány alhálózatát delegálni kell a Microsoft.Sql/managedInstances erőforrás-szolgáltatóhoz.
• hálózati biztonsági csoport: A felügyelt SQL-példány alhálózatához hálózati biztonsági csoportot kell társítani. Egy hálózati biztonsági csoporttal szabályozhatja a felügyelt SQL-példány adatvégpontjaihoz való hozzáférést az 1433-as port bejövő forgalmának szűrésével. A szolgáltatás automatikusan kiépít szabályokat, és szükség szerint naprakészen tartja őket a felügyeleti forgalom zavartalan áramlásának lehetővé tétele érdekében.
• Útvonaltábla: Egy útvonaltáblát hozzá kell társítani a felügyelt SQL-példány alhálózatához. Bejegyzéseket adhat hozzá ehhez az útvonaltáblához, például a forgalmat egy virtuális hálózati átjárón keresztül a helyszínre irányíthatja, vagy hozzáadhatja a alapértelmezett 0.0.0.0/0 útvonalát, az összes forgalmat egy virtuális hálózati berendezésen, például tűzfalon keresztül irányíthatja. A felügyelt Azure SQL-példány automatikusan kiépít és kezel szükséges bejegyzéseit, az útvonaltáblában.
• Megfelelő IP-címek: A felügyelt SQL-példány alhálózatának legalább 32 IP-címmel kell rendelkeznie. További információ: Felügyelt SQL-példány alhálózatának méretének meghatározása. A felügyelt SQL-példányokat egy meglévő hálózaton belül is üzembe helyezheti, miután konfigurálta, hogy megfeleljen a felügyelt SQL-példányok hálózati követelményeinek. Ellenkező esetben hozzon létre egy új hálózatot és alhálózatot.
• Az Azure-szabályzatok által engedélyezett: Ha Azure Policy használatával akadályozza meg az erőforrások létrehozását vagy módosítását egy felügyelt SQL-példány alhálózatát vagy virtuális hálózatát tartalmazó hatókörben, a szabályzatok nem akadályozhatják meg, hogy a felügyelt SQL-példány kezelje a belső erőforrásait. A normál működés érdekében ki kell zárni a következő erőforrásokat a házirend-megtagadási hatások alól:
  • Microsoft.Network/serviceEndpointPoliciestípusú erőforrások, ha az erőforrás neve \_e41f87a2\_-el kezdődik.
  • Minden Microsoft.Network/networkIntentPolicies típusú erőforrás
  • Minden Microsoft.Network/virtualNetworks/subnets/contextualServiceEndpointPolicies típusú erőforrás
• Zárolások a virtuális hálózaton: A dedikált alhálózat virtuális hálózatának, szülőerőforrás-csoportjának vagy előfizetésének zárolásai esetenként zavarhatják a felügyelt SQL-példányok felügyeletét és karbantartását. Az erőforrás-zárolások használatakor különös figyelmet kell fordítania.
• Feloldható nyilvános DNS-rekordok: Ha a virtuális hálózat egyéni DNS-kiszolgáló használatára van konfigurálva, a DNS-kiszolgálónak képesnek kell lennie a nyilvános DNS-rekordok feloldására. Az olyan funkciók használata, mint a Microsoft Entra-hitelesítés, szükségessé teheti a teljesen minősített tartománynevek (FQDN-k) megoldását. További információ: Privát DNS-nevek feloldása felügyelt Azure SQL-példányban.
• Szükséges DNS-rekordok: A felügyelt SQL-példányok bizonyos tartománynevek helyes feloldásától függenek. Ezeket a tartományneveket nem szabad felülírni a virtuális hálózataikban, Azure DNS privát zónákon vagy egyéni DNS-kiszolgálón keresztül. Ellenkező esetben a felügyelt SQL-példányok telepítése sikertelen lesz, vagy elérhetetlenné válhat. A következő tartományok nem bírálhatók felül: windows.net, database.windows.net, core.windows.net, blob.core.windows.net, table.core.windows.net, management.core.windows.net, monitoring.core.windows.net, queue.core.windows.net, graph.windows.net, login.microsoftonline.com, login.windows.net, servicebus.windows.netés vault.azure.net. Továbbra is létrehozhat privát végpontokat egy felügyelt SQL-példány virtuális hálózatán belül, még a fent említett tartományok erőforrásaira is. A privát végpontok olyan DNS-mechanizmust használnak, amely nem követeli meg, hogy egy helyi DNS-kiszolgáló mérvadóvá váljon egy teljes zóna számára.
• AzurePlatformDNS-címke: Ha az AzurePlatformDNS szolgáltatáscímkét használja a platform DNS-feloldása letiltásához, az elérhetetlenné teheti a felügyelt SQL-példányt. Bár a SQL felügyelt példány támogatja a felhasználó által meghatározott DNS-t a DNS-feloldáshoz a szerveren belül, a platformműveletekhez az Azure DNS-re támaszkodik.

Szolgáltatással támogatott alhálózat konfigurációja

A szolgáltatásbiztonság, a kezelhetőség és a rendelkezésre állás javítása érdekében a felügyelt SQL-példány szolgáltatás által támogatott alhálózat-konfigurációt és hálózati szándékszabályzatot használ az Azure virtuális hálózati infrastruktúrán a hálózat, a társított összetevők és az útvonaltábla konfigurálásához, hogy a felügyelt SQL-példányra vonatkozó minimális követelmények teljesüljenek.

Az automatikusan konfigurált hálózati biztonsági és útvonaltábla-szabályok láthatók az ügyfél számára, és az alábbi előtagok egyikével vannak eljegyzve:

• Microsoft.Sql-managedInstances_UseOnly_mi- kötelező szabályok és útvonalak
• Microsoft.Sql-managedInstances_UseOnly_mi-optional- választható szabályokhoz és útvonalakhoz

További részletekért tekintse át a szolgáltatás által támogatott alhálózat konfigurációját.

A kapcsolati architektúrával és a felügyeleti forgalommal kapcsolatos további információkért lásd magas szintű kapcsolatarchitektúra.

Hálózatkezelési korlátozások

A virtuális hálózati szolgáltatásokra és a forgalomra vonatkozó alábbi korlátozások lépnek érvénybe:

• Privát alhálózatok: A felügyelt SQL-példányok privát alhálózatokban való üzembe helyezése (ahol az alapértelmezett kimenő hozzáférés le van tiltva) jelenleg nem támogatott.
• Virtuális hálózatok titkosítása: A felügyelt SQL-példányok telepítése és üzemeltetése olyan virtuális hálózatokban, amelyeken engedélyezve van az Azure Virtual Network titkosítása , jelenleg nem támogatott.
• 25-ös porton lévő külső SMTP-továbbítóknak küldött adatbázispostaüzenetek: adatbázis-levelezési küldése a 25-ös porton keresztül külső e-mail-szolgáltatásokba csak a Microsoft Azure bizonyos előfizetési típusai számára érhető el. A más előfizetési típusok példányainak más portot (például 587) kell használniuk a külső SMTP-továbbítókhoz való csatlakozáshoz. Ellenkező esetben előfordulhat, hogy a példányok nem tudják kézbesíteni az adatbázisleveleket. További információ: Kimenő SMTP-kapcsolati problémák elhárítása az Azure.
• Microsoft társviszony-létesítési: Ha engedélyezi a(z) Microsoft társviszony-létesítést olyan ExpressRoute-kapcsolatcsoportokon, amelyek közvetlenül vagy tranzitív módon kapcsolódnak egy olyan virtuális hálózathoz, amelyben felügyelt SQL-példányok találhatók, az hatással van az SQL Managed Instance összetevői közötti forgalomra a virtuális hálózaton belül, valamint az azoktól függő szolgáltatásokra. Rendelkezésre állási problémák lépnek fel. A felügyelt SQL-példányok olyan virtuális hálózaton történő üzembe helyezései, amelyeken már engedélyezve van a Microsoft-társviszony-létesítés, várhatóan sikertelenek lesznek.
• Globális virtuális hálózatok közötti társviszony-létesítés: Az Azure-régiók közötti virtuális hálózati társviszony-létesítés nem működik a 2020. szeptember 9. előtt létrehozott alhálózatokban elhelyezett felügyelt SQL-példányok esetében.
• Virtuális hálózatok közötti társviszony-létesítés – konfiguráció: A felügyelt SQL-példányokat tartalmazó alhálózatokat tartalmazó virtuális hálózatok közötti virtuális hálózatok közötti társviszony létesítésekor az ilyen alhálózatoknak különböző útvonaltáblákat és hálózati biztonsági csoportokat (NSG) kell használniuk. Az útvonaltábla és az NSG újrafelhasználása a virtuális hálózatok közötti társviszony-létesítésben részt vevő két vagy több alhálózatban csatlakozási problémákat okoz az adott útvonaltáblákat vagy NSG-t használó összes alhálózatban, és a felügyelt SQL-példány felügyeleti műveletei meghiúsulnak.
• NAT-átjáró: Az Azure Virtual Network NAT használata egy adott nyilvános IP-címmel való kimenő kapcsolat szabályozásához jelenleg nem támogatott.
• IPv6 for Azure Virtual Network: A felügyelt SQL-példány üzembe helyezése a kétveremes IPv4/IPv6 virtuális hálózatok várhatóan sikertelen lesz,. Ha egy hálózati biztonsági csoportot vagy útvonaltáblát társít felhasználó által definiált útvonalakkal (UDR-ekkel), amely IPv6-címelőtagokat tartalmaz egy felügyelt SQL-példány alhálózatához, akkor a felügyelt SQL-példány nem érhető el. Emellett az IPv6-címelőtagok hozzáadása egy olyan hálózati biztonsági csoporthoz vagy UDR-hez, amely már társított egy felügyelt SQL-példány alhálózatával, elérhetetlenné teszi a felügyelt SQL-példányt. A felügyelt SQL-példányok hálózati biztonsági csoporttal és IPv6-előtagokkal már rendelkező UDR-sel rendelkező alhálózatra történő üzembe helyezése várhatóan sikertelen lesz.
• TLS 1.2 kényszerítve van a kimenő kapcsolatokon: 2020 januárjától a Microsoft a TLS 1.2-t kényszeríti ki az összes Azure-szolgáltatás szolgáltatáson belüli forgalmára. A felügyelt SQL-példány esetében ez azt eredményezte, hogy a TLS 1.2 kényszerítve lett a replikációhoz használt kimenő kapcsolatokon és az SQL Serverhez társított kiszolgálói kapcsolatokon. Ha az SQL Server 2016-nál korábbi verzióját használja felügyelt SQL-példányokkal, győződjön meg arról, hogy TLS 1.2-specifikus frissítéseket.
• Belső tartalék az Azure DNS-hez: a felügyelt SQL-példányok a virtuális hálózataikban működő DNS-feloldástól függenek. Ha egy felügyelt SQL-példány virtuális hálózata egyéni DNS-kiszolgálók használatára van konfigurálva, és az egyéni DNS-kiszolgálóknak kiadott DNS-kérések bizonyos időközönként (1–2 másodpercen belül) nem fejeződnek be, a felügyelt SQL-példány megismétli a kérést az Azure DNS-sel szemben az adott virtuális hálózaton.

Kapcsolódó tartalom

• Áttekintésért tekintse meg Mi a felügyelt Azure SQL-példány?.
• További információ:
  • Virtuális fürt architektúra.
  • Szolgáltatással támogatott alhálózat-konfiguráció.
  • Új Azure-beli virtuális hálózati vagy meglévő Azure-beli virtuális hálózati beállítása, ahol üzembe helyezheti a felügyelt SQL-példányt.
  • Kiszámíthatja annak az alhálózatnak a méretét,, ahol a felügyelt SQL-példányt telepíteni szeretné.
• Megtudhatja, hogyan hozhat létre felügyelt SQL-példányt:
  • A(z) Azure portálról.
  • PowerShell-használatával.
  • Azure Resource Manager-sablonhasználatával.
  • Azáltal, hogy Azure Resource Manager-sablont használ jumpboxszal és az SQL Server Management Studio.