Abilitare la configurazione della subnet assistita dal servizio per Istanza gestita di SQL di Azure
Si applica a: Istanza gestita di SQL di Azure
Questo articolo offre una panoramica della configurazione della subnet con supporto del servizio e di come abilitarla con la delega della subnet per l’istanza gestita di SQL di Azure.
La configurazione di una subnet con supporto del servizio automatizza la gestione della configurazione di rete per le subnet che ospitano istanze gestite, lasciando all'utente il pieno controllo dell'accesso ai dati (flussi di traffico TDS), mentre l'istanza gestita è responsabile di garantire un flusso ininterrotto del traffico di gestione per soddisfare i contratti di servizio.
Panoramica
Per migliorare la sicurezza, la gestibilità e la disponibilità dei servizi, Istanza gestita di SQL applica criteri di finalità di rete agli elementi dell'infrastruttura di rete virtuale di Azure. I criteri configurano la subnet, così come il gruppo di sicurezza di rete associato e la tabella di route per assicurarsi che vengano soddisfatti i requisiti minimi per Istanza gestita di SQL. Questo meccanismo della piattaforma comunica in modo trasparente i requisiti di rete agli utenti quando questi tentano di impostare una configurazione che non soddisfa requisiti minimi. I criteri impediscono un'errata configurazione della rete e garantiscono il normale funzionamento delle istanze gestite di SQL e il rispetto del contratto di servizio. Quando si elimina da una subnet l’ultima istanza gestita, vengono rimossi dalla subnet anche i criteri relativi alle finalità di rete.
Una configurazione della subnet assistita dal servizio si basa sulla funzionalità di delega della subnet rete virtuale per fornire la gestione automatica della configurazione di rete. La configurazione assistita dal servizio viene abilitata automaticamente dopo l'attivazione della delega subnet per il provider di risorse Microsoft.Sql/managedInstances
.
Gli endpoint di servizio possono essere usati per configurare le regole del firewall della rete virtuale per gli account di archiviazione che contengono i backup e i log di controllo. Tuttavia, anche con gli endpoint di servizio abilitati, i clienti sono invitati a usare il collegamento privato di Azure per accedere agli account di archiviazione, in quanto il collegamento privato offre un maggiore isolamento rispetto agli endpoint di servizio.
Importante
- Dopo aver attivato la delega subnet, non è possibile disattivarla fino a quando non si rimuove il cluster virtuale dalla subnet. Per informazioni dettagliate sulla durata del cluster virtuale, vedere come eliminare una subnet dopo l'eliminazione di Istanza gestita di SQL.
- Per via delle specifiche di configurazione del piano di controllo, gli endpoint di servizio non sono disponibili nei cloud nazionali.
Attivare la delega subnet per nuove distribuzioni
Per distribuire l'istanza gestita in una subnet vuota, è necessario delegarla al provider di risorse Microsoft.Sql/managedInstances
, come descritto in Gestisci delega subnet. L'articolo di riferimento usa il provider di risorse Microsoft.DBforPostgreSQL/serversv2
come esempio, ma è necessario usare il provider di risorse Microsoft.Sql/managedInstances
.
Attivare la delega subnet per distribuzioni esistenti
Per abilitare la delega subnet per la distribuzione dell'istanza gestita esistente, è necessario individuare la subnet della rete virtuale in cui è posizionata.
Per trovare la subnet, controllare il valore in Rete virtuale/subnet nella pagina Panoramica della risorsa Istanza gestita di SQL nel portale di Azure.
In alternativa, è possibile eseguire i comandi di PowerShell seguenti per trovare la subnet di rete virtuale per l'istanza. Sostituire i valori seguenti nel campione:
- subscription-id con l'ID sottoscrizione
- rg-name con il gruppo di risorse per l'istanza gestita
- mi-name con il nome dell'istanza gestita
Install-Module -Name Az
Import-Module Az.Accounts
Import-Module Az.Sql
Connect-AzAccount
# Use your subscription ID in place of subscription-id below
Select-AzSubscription -SubscriptionId {subscription-id}
# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance
$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}
$mi.SubnetId
Dopo aver determinato la subnet dell'istanza gestita, è necessario delegarla al provider di risorse Microsoft.Sql/managedInstances
come descritto in Gestire la delega subnet. Mentre l'articolo a cui si fa riferimento usa il provider di risorse Microsoft.DBforPostgreSQL/serversv2
come esempio, è necessario usare invece il provider di risorse Microsoft.Sql/managedInstances
.
Importante
L'abilitazione della configurazione assistita dal servizio non causa il failover o l'interruzione della connettività per le istanze gestite già presenti nella subnet.
Regole di sicurezza e route obbligatorie
Per garantire la connettività di gestione ininterrotta per l’istanza gestita di SQL, sono necessarie alcune regole di sicurezza e route, che non possono essere rimosse o modificate.
Le regole e le route obbligatorie iniziano sempre con Microsoft.Sql-managedInstances_UseOnly_mi-
.
Nella tabella seguente sono elencate le regole e le route obbligatorie applicate e distribuite automaticamente nella subnet dell'utente:
Tipologia | Nome | Descrizione |
---|---|---|
NSG in ingresso | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Consente ai probe di integrità in ingresso dal servizio di bilanciamento del carico associato di raggiungere i nodi dell'istanza. Questo meccanismo consente al servizio di bilanciamento del carico di tenere traccia delle repliche di database attive dopo un failover. |
NSG in ingresso | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantisce la connettività interna dei nodi necessaria per le operazioni di gestione. |
NSG in uscita | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantisce la connettività interna dei nodi necessaria per le operazioni di gestione. |
Itinerario | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Assicura che sia sempre presente una route che permetta ai nodi interni di raggiungersi a vicenda. |
Nota
Alcune subnet possono contenere regole di sicurezza di rete e route obbligatorie aggiuntive, che non sono elencate in una delle due sezioni precedenti. Tali regole vengono considerate obsolete e verranno rimosse dalle subnet.
Regole di sicurezzae route facoltative
Alcune regole e route sono facoltative e possono essere modificate o rimosse in modo sicuro senza compromettere la connettività di gestione interna delle istanze gestite. Queste regole facoltative vengono usate per mantenere la connettività in uscita delle istanze gestite distribuite, presupponendo che l’intero set di regole e route obbligatorie sia ancora in vigore.
Importante
Le regole e le route facoltative saranno deprecate in futuro. È consigliabile aggiornare le procedure di distribuzione e configurazione di rete in modo che ogni distribuzione di Istanza gestita di SQL di Azure in una nuova subnet venga seguita da una rimozione esplicita e/o sostituzione delle regole e delle route facoltative, in modo che solo il traffico minimo richiesto sia consentito per il flusso.
Per consentire di distinguere le regole e le route obbligatorie da quelle facoltative, i nomi delle regole e delle route facoltative e iniziano sempre con Microsoft.Sql-managedInstances_UseOnly_mi-optional-
.
Nella tabella seguente sono elencate le regole e le route facoltative che possono essere modificate o rimosse:
Tipologia | Nome | Descrizione |
---|---|---|
NSG in uscita | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regola di sicurezza facoltativa per mantenere la connettività HTTPS in uscita verso Azure. |
Itinerario | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Route facoltativa verso i servizi AzureCloud nell'area primaria. |
Itinerario | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Route facoltativa verso i servizi AzureCloud nell'area secondaria. |
Contenuto correlato
Per i contenuti relativi a Istanza gestita di SQL di Azure, consultare gli articoli seguenti:
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per