Mengaktifkan konfigurasi subnet yang dibantu layanan untuk Azure SQL Managed Instance
Berlaku untuk: Azure SQL Managed Instance
Artikel ini memberikan gambaran umum tentang konfigurasi subnet yang dibantu layanan dan cara mengaktifkannya dengan delegasi subnet untuk Azure SQL Managed Instance.
Konfigurasi subnet yang dibantu layanan mengotomatiskan manajemen konfigurasi jaringan untuk subnet yang menghosting instans terkelola, sehingga pengguna sepenuhnya mengontrol akses ke data (arus lalu lintas TDS) sementara instans terkelola bertanggung jawab untuk memastikan arus lalu lintas manajemen yang tidak terganggu untuk memenuhi perjanjian tingkat layanan.
Gambaran Umum
Untuk meningkatkan keamanan, pengelolaan, dan ketersediaan layanan, SQL Managed Instance menerapkan kebijakan niat jaringan ke elemen infrastruktur jaringan virtual Azure. Kebijakan ini mengonfigurasi subnet, serta grup keamanan jaringan dan tabel rute terkait, untuk memastikan memenuhi persyaratan minimum untuk SQL Managed Instance. Mekanisme platform ini secara transparan mengkomunikasikan persyaratan jaringan kepada pengguna ketika mereka mencoba konfigurasi yang gagal memenuhi persyaratan minimal. Kebijakan ini mencegah kesalahan konfigurasi jaringan, dan membantu mempertahankan operasi SQL Managed Instance normal dan perjanjian tingkat layanan (SLA). Saat Anda menghapus instans terkelola terakhir dari subnet, kebijakan niat jaringan juga dihapus dari subnet tersebut.
Konfigurasi subnet yang dibantu layanan dibangun di atas fitur delegasi subnet jaringan virtual untuk menyediakan manajemen konfigurasi jaringan otomatis. Konfigurasi subnet yang dibantu layanan diaktifkan secara otomatis saat Anda mengaktifkan delegasi subnet untuk Microsoft.Sql/managedInstances
penyedia sumber daya.
Anda dapat menggunakan titik akhir layanan untuk mengonfigurasi aturan firewall jaringan virtual untuk akun penyimpanan yang berisi cadangan dan log audit. Namun, bahkan dengan titik akhir layanan diaktifkan, pelanggan didorong untuk menggunakan Azure Private Link untuk mengakses akun penyimpanan mereka karena Private Link menyediakan lebih banyak isolasi daripada titik akhir layanan.
Penting
- Setelah delegasi subnet diaktifkan, Anda tidak dapat menonaktifkannya hingga kluster virtual dihapus dari subnet. Untuk detail seumur hidup kluster virtual, lihat cara menghapus subnet setelah menghapus SQL Managed Instance.
- Karena konfigurasi sarana kontrol spesifik, titik akhir layanan tidak tersedia di cloud nasional.
Mengaktifkan delegasi subnet untuk penyebaran baru
Untuk menyebarkan instans terkelola ke subnet kosong, Anda perlu mendelegasikannya ke Microsoft.Sql/managedInstances
penyedia sumber daya seperti yang dijelaskan dalam Mengelola delegasi subnet. Artikel yang dirujuk menggunakan Microsoft.DBforPostgreSQL/serversv2
penyedia sumber daya sebagai contoh tetapi Anda perlu menggunakan penyedia sumber daya sebagai gantinya Microsoft.Sql/managedInstances
.
Mengaktifkan delegasi subnet untuk penyebaran yang ada
Untuk mengaktifkan subnet-delegasi untuk penyebaran instans terkelola yang ada, Anda perlu mencari tahu di mana subnet jaringan virtual tempatnya ditempatkan.
Untuk menemukan subnet, periksa nilai di bawah Jaringan/subnet virtual di halaman Gambaran Umum sumber daya SQL Managed Instance Anda di portal Azure.
Atau, Anda dapat menjalankan perintah PowerShell berikut untuk menemukan subnet jaringan virtual untuk instans Anda. Ganti nilai berikut dalam sampel:
- id langganan dengan ID langganan Anda
- rg-name dengan grup sumber daya untuk instans terkelola Anda
- mi-name dengan nama instans terkelola Anda
Install-Module -Name Az
Import-Module Az.Accounts
Import-Module Az.Sql
Connect-AzAccount
# Use your subscription ID in place of subscription-id below
Select-AzSubscription -SubscriptionId {subscription-id}
# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance
$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}
$mi.SubnetId
Setelah menentukan subnet instans terkelola, Anda perlu mendelegasikannya ke Microsoft.Sql/managedInstances
penyedia sumber daya seperti yang dijelaskan dalam Mengelola delegasi subnet. Meskipun artikel yang dirujuk menggunakan Microsoft.DBforPostgreSQL/serversv2
penyedia sumber daya sebagai contoh, Anda perlu menggunakan penyedia sumber daya sebagai gantinya Microsoft.Sql/managedInstances
.
Penting
Mengaktifkan konfigurasi yang dibantu layanan tidak menyebabkan failover atau gangguan konektivitas untuk instans terkelola yang sudah ada di subnet.
Aturan dan rute keamanan wajib
Untuk memastikan konektivitas manajemen yang tidak terganggu untuk SQL Managed Instance, beberapa aturan dan rute keamanan bersifat wajib dan tidak dapat dihapus atau dimodifikasi.
Aturan dan rute wajib selalu dimulai dengan Microsoft.Sql-managedInstances_UseOnly_mi-
.
Tabel berikut mencantumkan aturan dan rute wajib yang diberlakukan dan disebarkan secara otomatis ke subnet pengguna:
Kind | Nama | Deskripsi |
---|---|---|
NSG masuk | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Memungkinkan pemeriksaan kesehatan masuk dari load balancer terkait untuk mencapai simpul instans. Mekanisme ini memungkinkan load balancer melacak replika database aktif setelah failover. |
NSG masuk | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Memastikan konektivitas simpul internal yang diperlukan untuk operasi manajemen. |
Keluar NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Memastikan konektivitas simpul internal yang diperlukan untuk operasi manajemen. |
Rute | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Memastikan selalu ada rute bagi simpul internal untuk menjangkau satu sama lain. |
Catatan
Beberapa subnet mungkin berisi aturan dan rute keamanan jaringan wajib tambahan yang tidak tercantum di salah satu dari dua bagian di atas. Aturan tersebut dianggap usang dan akan dihapus dari subnet mereka.
Aturan dan rute keamanan opsional
Beberapa aturan dan rute bersifat opsional dan dapat dimodifikasi atau dihapus dengan aman tanpa menghambat konektivitas manajemen internal instans terkelola. Aturan opsional ini digunakan untuk mempertahankan konektivitas keluar instans terkelola yang disebarkan dengan asumsi bahwa pelengkap penuh aturan dan rute wajib masih akan diberlakukan.
Penting
Aturan dan rute opsional akan ditolak di masa mendatang. Kami sangat menyarankan Anda untuk memperbarui prosedur penyebaran dan konfigurasi jaringan sedemikian rupa sehingga setiap penyebaran Azure SQL Managed Instance di subnet baru diikuti dengan penghapusan eksplisit dan/atau penggantian aturan dan rute opsional, sehingga hanya lalu lintas minimal yang diperlukan yang diizinkan untuk mengalir.
Untuk membantu membedakan opsional dari aturan dan rute wajib, nama aturan dan rute opsional selalu dimulai dengan Microsoft.Sql-managedInstances_UseOnly_mi-optional-
.
Tabel berikut mencantumkan aturan dan rute opsional yang dapat dimodifikasi atau dihapus:
Kind | Nama | Deskripsi |
---|---|---|
Keluar NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Aturan keamanan opsional untuk mempertahankan konektivitas HTTPS keluar ke Azure. |
Rute | Microsoft.Sql-managedInstances_UseOnly_mi-opsional-AzureCloud.<wilayah> | Rute opsional ke layanan AzureCloud di wilayah utama. |
Rute | Microsoft.Sql-managedInstances_UseOnly_mi-opsional-AzureCloud.<berpasangan geografis> | Rute opsional ke layanan AzureCloud di wilayah sekunder. |
Konten terkait
Untuk konten Azure SQL Managed Instance terkait, tinjau artikel berikut:
Saran dan Komentar
https://aka.ms/ContentUserFeedback.
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat:Kirim dan lihat umpan balik untuk