Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A következőkre vonatkozik:
Azure SQL Felügyelt Példány
Ez a cikk áttekintést nyújt a szolgáltatás által támogatott alhálózat konfigurációjáról, valamint arról, hogy hogyan működik együtt a felügyelt Azure SQL-példányhoz delegált alhálózatokkal. A szolgáltatás által támogatott alhálózat-konfiguráció automatizálja a felügyelt SQL-példányok alhálózatainak hálózati konfigurációkezelését. Ez a mechanizmus teljes mértékben felügyeli a felhasználót az adatokhoz való hozzáférés felett, miközben a felügyelt SQL-példány felelősséget vállal a felügyeleti forgalom zavartalan áramlásáért.
Áttekintés
A szolgáltatásbiztonság, a kezelhetőség és a rendelkezésre állás javítása érdekében a felügyelt SQL-példány automatizálja bizonyos kritikus hálózati útvonalak kezelését a felhasználó alhálózatán belül. A szolgáltatás úgy konfigurálja az alhálózatot, a hozzá tartozó hálózati biztonsági csoportot és útvonaltáblát, hogy tartalmazza a szükséges bejegyzéseket.
A viselkedés mögötti mechanizmust hálózati szándékszabályzatnak nevezzük. A rendszer automatikusan alkalmaz egy hálózati szándékszabályzatot az alhálózatra, amikor az alhálózatot először delegálják delegált az Azure SQL Managed Instance erőforrás-szolgáltatójának Microsoft.Sql/managedInstances. Ekkor lép érvénybe az automatikus konfiguráció. Amikor egy alhálózatról törli az utolsó felügyelt SQL-példányt, a hálózati szándékszabályzat is törlődik az alhálózatról.
A hálózati szándékszabályzat hatása a delegált alhálózatra
A hálózati szándékra vonatkozó szabályzat kibővíti az alhálózathoz társított útvonaltáblát és hálózati biztonsági csoportot kötelező és választható szabályok és útvonalak hozzáadásával.
A hálózati szándékra vonatkozó szabályzat nem akadályozza meg az alhálózat konfigurációjának frissítését. Az alhálózat útvonaltáblájának módosításakor vagy a hálózati biztonsági csoport szabályainak frissítésekor a társított hálózati szándékszabályzat ellenőrzi, hogy a hatályos útvonalak és biztonsági szabályok megfelelnek-e a felügyelt Azure SQL-példányra vonatkozó követelményeknek. Ha nem, a hálózati szándékszabályzat hibát jelez, megakadályozva a konfiguráció módosítását.
Ez a viselkedés leáll, ha eltávolítja az utolsó felügyelt SQL-példányt az alhálózatról, és a hálózati szándékszabályzat le van választva. Nem kapcsolható ki, amíg a felügyelt SQL-példányok megtalálhatók az alhálózatban.
Vegye figyelembe a következő szempontokat:
- Javasoljuk, hogy minden delegált alhálózathoz külön útvonaltáblát és NSG-t tartson fenn. Az automatikusan konfigurált szabályok és útvonalak azokra az alhálózati tartományokra hivatkoznak, amelyek átfedésben lehetnek egy másik alhálózatban lévőkkel. Ha újra felhasználja az RT-ket és az NSG-ket több, az Azure SQL Managed Instance-hoz delegált alhálózaton, az automatikusan konfigurált szabályok egymásra épülnek, és ütközhetnek a nem kapcsolódó forgalmat szabályozó szabályokkal.
- Javasoljuk, hogy ne függjön a szolgáltatás által felügyelt szabályoktól és útvonalaktól. Általában mindig hozzon létre explicit útvonalakat és hálózati biztonsági csoport szabályokat a meghatározott célokra. A kötelező és az opcionális szabályok is változhatnak.
- Hasonlóképpen nem javasoljuk a szolgáltatás által felügyelt szabályok frissítését. Mivel a hálózati szándékszabályzat csak az érvényes szabályokat és útvonalakat ellenőrzi, lehetséges valamelyik automatikusan konfigurált szabály kiterjesztése. Például több portot nyithat meg a bejövő forgalom számára, vagy kibővítheti az útválasztást egy szélesebb előtagra. A szolgáltatás által konfigurált szabályok és útvonalak azonban változhatnak. A legjobb, ha saját útvonalakat és biztonsági szabályokat hoz létre a kívánt eredmény eléréséhez.
Kötelező biztonsági szabályok és útvonalak
A felügyelt SQL-példány folyamatos felügyeleti kapcsolatainak biztosítása érdekében bizonyos biztonsági szabályok és útvonalak kötelezőek, és nem távolíthatók el vagy nem módosíthatók.
A kötelező szabályok és útvonalak neve mindig Microsoft.Sql-managedInstances_UseOnly_mi-kezdődik. Ez az előtag az Azure SQL Managed Instance használatára van fenntartva. Ne használja ezt az előtagot az útvonaltábla és az NSG frissítésekor. Előfordulhat, hogy a szolgáltatásfrissítések törlik az előtaggal rendelkező összes szabályt és útvonalat, majd csak a kötelezőek lesznek újra létrehozva.
Az alábbi táblázat a felhasználó alhálózatán automatikusan üzembe helyezett és kikényszerített kötelező szabályokat és útvonalakat sorolja fel:
| Altípus | Név | Leírás |
|---|---|---|
| NSG bejövő | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Lehetővé teszi, hogy a társított terheléselosztó bejövő állapotmintái elérjék a példánycsomópontokat. Ez a mechanizmus lehetővé teszi, hogy a terheléselosztó nyomon kövesse az aktív adatbázis-replikákat a feladatátvétel után. |
| NSG bejövő | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Biztosítja a felügyeleti műveletekhez szükséges belső csomópontkapcsolatot. |
| NSG kimenő | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Biztosítja a felügyeleti műveletekhez szükséges belső csomópontkapcsolatot. |
| Útvonal | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<tartomány>-to-vnetlocal | Biztosítja, hogy a belső csomópontok mindig elérjék egymást. |
Jegyzet
Egyes alhálózatok további hálózati biztonsági szabályokat és útvonalakat tartalmazhatnak, amelyek az Microsoft.Sql-managedInstances_UseOnly_mi- előtagot használják. Ezek a szabályok és útvonalak jelen esetben is kötelezőek, de egy későbbi szolgáltatásfrissítésben eltávolíthatók.
Választható biztonsági szabályok és útvonalak
Egyes szabályok és útvonalak nem kötelezőek, és biztonságosan eltávolíthatók anélkül, hogy rontaná az SQLmanaged példányok belső felügyeleti kapcsolatát.
Fontos
A választható szabályok és útvonalak egy későbbi szolgáltatásfrissítésben megszűnnek. Javasoljuk, hogy frissítse az üzembe helyezési és hálózati konfigurációs eljárásokat, hogy az Azure SQL Managed Instance új alhálózaton történő minden egyes üzembe helyezését a választható szabályok és útvonalak explicit eltávolításával és/vagy cseréjével kísérje.
A választható szabályok és útvonalak megkülönböztetése érdekében az opcionális szabályok és útvonalak neve mindig Microsoft.Sql-managedInstances_UseOnly_mi-optional-kezdődik.
Az alábbi táblázat a módosítható vagy eltávolítható választható szabályokat és útvonalakat sorolja fel:
| Altípus | Név | Leírás |
|---|---|---|
| NSG kimenő | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Nem kötelező biztonsági szabály az Azure-hoz való kimenő HTTPS-kapcsolat megőrzéséhez. |
| Útvonal | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<régió> | Nem kötelező útvonal az elsődleges régióban lévő AzureCloud-szolgáltatásokhoz. |
| Útvonal | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<földrajzilag párosított> | Nem kötelező útvonal az AzureCloud-szolgáltatásokhoz a másodlagos régióban. |
A hálózati szándékszabályzat eltávolítása
A hálózati szándékházirend hatása az alhálózatra akkor szűnik meg, ha nincs több virtuális fürt a hálózaton belül, és a delegálás el lesz távolítva. A virtuális fürt életciklusának részleteiért tekintse meg, hogyan töröljön egy alhálózatot az SQL Kezelt példánytörlése után.