Azure SQL Managed Instance에 대한 서비스 지원 서브넷 구성 사용
적용 대상: Azure SQL Managed Instance
이 문서에서는 서비스 지원 서브넷 구성의 개요와 Azure SQL Managed Instance에 위임된 서브넷과 상호 작용하는 방법을 제공합니다. 서비스 지원 서브넷 구성은 관리되는 인스턴스를 호스트하는 서브넷에 대한 네트워크 구성 관리를 자동화하여 사용자가 데이터(TDS 트래픽 흐름)에 대한 액세스를 완전히 제어할 수 있도록 하는 반면, 관리되는 인스턴스는 관리 트래픽의 중단 없는 흐름을 보장해야 합니다.
개요
서비스 보안, 관리 효율성 및 가용성을 개선하기 위해 SQL Managed Instance는 사용자의 서브넷 내에서 중요한 특정 네트워크 경로의 관리를 자동화합니다. 이 작업은 서브넷, 연결된 네트워크 보안 그룹 및 경로 테이블을 구성하여 필수 항목 집합을 포함하도록 만듭니다.
이를 수행하는 메커니즘을 네트워크 의도 정책이라고 합니다. 네트워크 의도 정책은 Azure SQL Managed Instance의 리소스 공급자 Microsoft.Sql/managedInstances
에 처음 위임될 때 서브넷에 자동으로 적용됩니다. 이때 자동 구성의 효력이 발생합니다. 서브넷에서 마지막으로 관리형 인스턴스를 삭제하면 네트워크 의도 정책도 해당 서브넷에서 제거됩니다.
위임된 서브넷에 대한 네트워크 의도 정책의 효과
서브넷에 적용되면 네트워크 의도 정책은 필수 및 선택적 규칙과 경로를 추가하여 서브넷과 연결된 경로 테이블 및 네트워크 보안 그룹을 확장합니다.
서브넷에 적용되는 동안 네트워크 의도 정책을 사용하면 대부분의 서브넷 구성을 업데이트할 수 없습니다. 서브넷의 경로 테이블을 변경하거나 네트워크 보안 그룹 규칙을 업데이트할 때마다 네트워크 의도 정책은 유효 경로 및 보안 규칙이 Azure SQL Managed Instance에 대한 요구 사항을 준수하는지 여부를 확인합니다. 그렇지 않으면 네트워크 의도 정책이 오류를 발생시키고 구성을 업데이트하지 못하게 합니다.
이 동작은 서브넷에서 마지막 Managed Instance를 제거하고 네트워크 의도 정책이 분리되면 중지됩니다. Managed Instance가 서브넷에 있는 동안에는 비활성화할 수 없습니다.
참고 항목
- 위임된 각 서브넷에 대해 별도의 경로 테이블과 NSG를 유지하는 것이 좋습니다. 자동 구성된 규칙 및 경로는 다른 서브넷에 있을 수 있는 특정 서브넷 범위를 참조합니다. Azure SQL Managed Instance에 위임된 여러 서브넷에서 RT 및 NSG를 다시 사용하면 자동 구성된 규칙이 누적되고 관련 없는 트래픽을 제어하는 규칙을 방해할 수 있습니다.
- 서비스 관리 규칙 및 경로에 종속하지 않는 것이 좋습니다. 일반적으로 특정 목적을 위해 항상 명시적 경로 및 NSG 규칙을 만듭니다. 필수 규칙과 선택적 규칙은 모두 변경할 수 있습니다.
- 마찬가지로 서비스 관리 규칙을 업데이트하지 말 것을 권장합니다. 네트워크 의도 정책은 효과적인 규칙 및 경로만 확인하므로 자동 구성된 규칙 중 하나를 확장하여 인바운드에 대한 추가 포트를 열거나 라우팅을 더 넓은 접두사로 확장할 수 있습니다. 그러나 서비스 구성 규칙 및 경로는 변경할 수 있습니다. 원하는 결과를 얻기 위해 고유한 경로 및 보안 규칙을 만드는 것이 가장 좋습니다.
필수 보안 규칙 및 경로
SQL Managed Instance에 대한 중단 없는 관리 연결을 보장하기 위해 일부 보안 규칙 및 경로는 필수이며 제거하거나 수정할 수 없습니다.
필수 규칙 및 경로는 항상 Microsoft.Sql-managedInstances_UseOnly_mi-
로 시작합니다.
다음 표에서는 사용자의 서브넷에 적용되고 자동으로 배포되는 필수 규칙 및 경로를 나열합니다.
종류 | 속성 | 설명 |
---|---|---|
NSG 인바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | 연결된 부하 분산 장치의 인바운드 상태 프로브가 인스턴스 노드에 도달할 수 있도록 허용합니다. 이 메커니즘을 사용하면 부하 분산 장치가 장애 조치(failover) 후 활성 데이터베이스 복제본을 추적할 수 있습니다. |
NSG 인바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | 관리 작업에 필요한 내부 노드 연결을 보장합니다. |
NSG 아웃바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | 관리 작업에 필요한 내부 노드 연결을 보장합니다. |
경로 | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | 내부 노드가 서로 도달할 수 있는 경로가 항상 있는지 확인합니다. |
참고 항목
일부 서브넷에는 위의 두 섹션 중 하나에 나열되지 않은 추가 필수 네트워크 보안 규칙 및 경로가 포함될 수 있습니다. 이러한 규칙은 더 이상 사용되지 않는 것으로 간주되며 해당 서브넷에서 제거됩니다.
선택적 보안 규칙 및 경로
일부 규칙 및 경로는 선택 사항이며 관리되는 인스턴스의 내부 관리 연결을 손상시키지 않고 안전하게 제거할 수 있습니다. 이러한 선택적 규칙은 필수 규칙 및 경로의 전체 보완이 계속 적용된다는 가정하에 배포된 관리되는 인스턴스의 아웃바운드 연결을 유지하는 데 사용됩니다.
Important
선택적 규칙 및 경로는 나중에 더 이상 사용되지 않습니다. 새 서브넷에서 Azure SQL Managed Instance를 배포할 때마다 최소한의 필요한 트래픽만 흐르도록 선택적 규칙 및 경로를 명시적으로 제거 및/또는 대체하도록 배포 및 네트워크 구성 절차를 업데이트하는 것이 좋습니다.
선택 사항과 필수 규칙 및 경로를 구분하기 위해 선택적 규칙 및 경로의 이름은 항상 Microsoft.Sql-managedInstances_UseOnly_mi-optional-
로 시작합니다.
다음 표에서는 수정하거나 제거할 수 있는 선택적 규칙 및 경로를 나열합니다.
종류 | 속성 | 설명 |
---|---|---|
NSG 아웃바운드 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Azure에 대한 아웃바운드 HTTPS 연결을 유지하기 위한 선택적 보안 규칙입니다. |
경로 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | 주 지역의 AzureCloud 서비스에 대한 선택적 경로입니다. |
경로 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | 보조 지역의 AzureCloud 서비스에 대한 선택적 경로입니다. |
네트워크 의도 정책 제거
내부에 가상 클러스터가 더 이상 없고 위임이 제거되면 서브넷에 대한 네트워크 의도 정책의 효과가 중지됩니다. 가상 클러스터의 수명 세부 정보는 SQL Managed Instance를 삭제한 후 서브넷을 삭제하는 방법을 참조하세요.