Azure SQL Managed Instance에 대한 서비스 지원 서브넷 구성 사용
적용 대상:Azure SQL Managed Instance
이 문서에서는 서비스 지원 서브넷 구성의 개요와 Azure SQL Managed Instance에 위임된 서브넷과 상호 작용하는 방법을 제공합니다. 서비스 지원 서브넷 구성은 관리되는 인스턴스 서브넷에 대한 네트워크 구성 관리를 자동화합니다. 이 메커니즘은 관리되는 인스턴스가 관리 트래픽의 중단 없는 흐름에 대한 책임을 맡는 동안 사용자가 데이터에 대한 액세스를 완전히 제어할 수 있도록 합니다.
개요
서비스 보안, 관리 효율성 및 가용성을 개선하기 위해 SQL Managed Instance는 사용자의 서브넷 내에서 중요한 특정 네트워크 경로의 관리를 자동화합니다. 서비스는 서브넷, 연결된 네트워크 보안 그룹 및 경로 테이블을 구성하여 필요한 항목 집합을 포함합니다.
이 동작의 메커니즘을 네트워크 의도 정책이라고 합니다. 서브넷이 처음 Azure SQL Managed Instance의 리소스 공급자 Microsoft.Sql/managedInstances
위임되면 네트워크 의도 정책이 서브넷에 자동으로 적용됩니다. 이때 자동 구성의 효력이 발생합니다. 서브넷에서 마지막으로 관리형 인스턴스를 삭제하면 네트워크 의도 정책도 해당 서브넷에서 제거됩니다.
위임된 서브넷에 대한 네트워크 의도 정책의 효과
네트워크 의도 정책은 서브넷과 연결된 경로 테이블 및 네트워크 보안 그룹을 확장하여 필수 규칙 및 경로와 선택적 규칙 및 경로를 추가합니다.
네트워크 의도 정책을 사용하면 대부분의 서브넷 구성을 업데이트할 수 없습니다. 서브넷의 경로 테이블을 변경하거나 네트워크 보안 그룹 규칙을 업데이트하는 경우 연결된 네트워크 의도 정책은 유효한 경로 및 보안 규칙이 Azure SQL Managed Instance에 대한 요구 사항을 준수하는지 확인합니다. 그렇지 않으면 네트워크 의도 정책에서 오류가 발생하여 구성이 변경되지 않습니다.
이 동작은 서브넷에서 마지막 Managed Instance를 제거하고 네트워크 의도 정책이 분리되면 중지됩니다. 관리되는 인스턴스가 서브넷에 있는 동안에는 해제할 수 없습니다.
참고 항목
- 위임된 각 서브넷에 대해 별도의 경로 테이블과 NSG를 유지하는 것이 좋습니다. 자동 구성된 규칙 및 경로는 다른 서브넷의 특정 서브넷 범위와 겹칠 수 있는 특정 서브넷 범위를 참조합니다. Azure SQL Managed Instance에 위임된 여러 서브넷에서 경로 테이블(RTs) 및 네트워크 보안 그룹(NSGs)을 다시 사용하는 경우, 자동 구성된 규칙이 누적되어 관련 없는 트래픽을 제어하는 규칙을 방해할 수 있습니다.
- 서비스 관리 규칙 및 경로에 종속하지 않는 것이 좋습니다. 일반적으로 특정 목적을 위해 항상 명시적 경로 및 NSG 규칙을 만듭니다. 필수 규칙과 선택적 규칙은 모두 변경할 수 있습니다.
- 마찬가지로 서비스 관리 규칙을 업데이트하지 말 것을 권고합니다. 네트워크 의도 정책은 효과적인 규칙 및 경로만 확인하므로 자동 구성된 규칙 중 하나를 확장하여 인바운드 트래픽에 대해 더 많은 포트를 열거나 라우팅을 더 넓은 접두사로 확장할 수 있습니다. 그러나 서비스 구성 규칙 및 경로는 변경할 수 있습니다. 원하는 결과를 얻기 위해 고유한 경로 및 보안 규칙을 만드는 것이 가장 좋습니다.
필수 보안 규칙 및 경로
SQL Managed Instance에 대한 중단 없는 관리 연결을 보장하기 위해 일부 보안 규칙 및 경로는 필수이며 제거하거나 수정할 수 없습니다.
필수 규칙 및 경로의 이름은 항상 Microsoft.Sql-managedInstances_UseOnly_mi-
시작합니다. 이 접두사는 Azure SQL Managed Instance의 사용을 위해 예약되어 있습니다. 경로 테이블 및 NSG를 업데이트할 때는 이 접두사를 사용하지 마세요. 서비스 업데이트는 해당 접두사를 사용하여 모든 규칙과 경로를 삭제할 수 있으며, 그 후에는 필수 규칙만 다시 만들어질 수 있습니다.
다음 표에서는 사용자의 서브넷에 자동으로 배포되고 적용되는 필수 규칙 및 경로를 나열합니다.
종류 | 속성 | 설명 |
---|---|---|
NSG 인바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | 연결된 부하 분산 장치의 인바운드 상태 프로브가 인스턴스 노드에 도달할 수 있도록 허용합니다. 이 메커니즘을 사용하면 부하 분산 장치가 장애 조치(failover) 후 활성 데이터베이스 복제본을 추적할 수 있습니다. |
NSG 인바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | 관리 작업에 필요한 내부 노드 연결을 보장합니다. |
NSG 아웃바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | 관리 작업에 필요한 내부 노드 연결을 보장합니다. |
경로 | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | 내부 노드가 서로 도달할 수 있는 경로가 항상 있는지 확인합니다. |
참고 항목
일부 서브넷에는 이 페이지에 나열되지 않은 추가 필수 네트워크 보안 규칙 및 경로가 포함되어 있지만 여전히 Microsoft.Sql-managedInstances_UseOnly_mi-
접두사를 사용합니다. 이러한 규칙은 사용되지 않는 것으로 간주되며 향후 서비스 업데이트에서 제거될 예정입니다.
선택적 보안 규칙 및 경로
일부 규칙 및 경로는 선택 사항이며 관리되는 인스턴스의 내부 관리 연결을 손상시키지 않고 안전하게 제거할 수 있습니다.
Important
선택적 규칙 및 경로는 향후 서비스 업데이트에서 사용 중지됩니다. 새 서브넷에서 Azure SQL Managed Instance를 배포할 때마다 선택적 규칙 및 경로를 명시적으로 제거 및/또는 대체하도록 배포 및 네트워크 구성 절차를 업데이트하는 것이 좋습니다.
선택 사항과 필수 규칙 및 경로를 구분하기 위해 선택적 규칙 및 경로의 이름은 항상 Microsoft.Sql-managedInstances_UseOnly_mi-optional-
로 시작합니다.
다음 표에서는 수정하거나 제거할 수 있는 선택적 규칙 및 경로를 나열합니다.
종류 | 속성 | 설명 |
---|---|---|
NSG 아웃바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Azure에 대한 아웃바운드 HTTPS 연결을 유지하기 위한 선택적 보안 규칙입니다. |
경로 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | 주 지역의 AzureCloud 서비스에 대한 선택적 경로입니다. |
경로 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | 보조 지역의 AzureCloud 서비스에 대한 선택적 경로입니다. |
네트워크 의도 정책 제거
내부에 가상 클러스터가 더 이상 없고 위임이 제거되면 서브넷에 대한 네트워크 의도 정책의 효과가 중지됩니다. 가상 클러스터의 수명 세부 정보는 SQL Managed Instance를 삭제한 후 서브넷을 삭제하는 방법을 참조하세요.