Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
van toepassing op:
Azure SQL Managed Instance
In dit artikel vindt u een overzicht van de configuratie van het servicehulpsubnet en hoe deze communiceert met de subnetten die zijn gedelegeerd aan Azure SQL Managed Instance. Door een service ondersteunde subnetconfiguratie automatiseert het beheer van netwerkconfiguraties voor subnetten van beheerde instanties. Dit mechanisme zorgt ervoor dat de gebruiker de toegang tot de gegevens volledig beheert, terwijl het beheerde exemplaar verantwoordelijk is voor de ononderbroken stroom van beheerverkeer.
Overzicht
Sql Managed Instance automatiseert het beheer van bepaalde kritieke netwerkpaden in het subnet van de gebruiker om de beveiliging, beheerbaarheid en beschikbaarheid van services te verbeteren. De service configureert het subnet, de bijbehorende netwerkbeveiligingsgroep en de routetabel om een set vereiste vermeldingen te bevatten.
Het mechanisme achter dit gedrag wordt beleid voor netwerkintentie genoemd. Een netwerkintentiebeleid wordt automatisch toegepast op het subnet wanneer het subnet voor het eerst gedelegeerd aan de resourceprovider van Azure SQL Managed Instance Microsoft.Sql/managedInstances. Op dat moment wordt de automatische configuratie van kracht. Wanneer u het laatste beheerde exemplaar uit een subnet verwijdert, wordt het beleid voor de netwerkintentie ook verwijderd uit dat subnet.
Het effect van het netwerkintentiebeleid op het gedelegeerde subnet
Een netwerkintentiebeleid breidt de routetabel en netwerkbeveiligingsgroep uit die aan het subnet zijn gekoppeld door verplichte en optionele regels en routes toe te voegen.
Een netwerkintentiebeleid voorkomt niet dat u de meeste configuratie van het subnet bijwerkt. Wanneer u de routetabel van het subnet wijzigt of de regels voor de netwerkbeveiligingsgroep bijwerkt, controleert het bijbehorende netwerkintentiebeleid of de effectieve routes en beveiligingsregels voldoen aan de vereisten voor Azure SQL Managed Instance. Als dat niet het probleem is, genereert het netwerkintentiebeleid een fout, waardoor de wijziging in de configuratie wordt voorkomen.
Dit gedrag stopt wanneer u het laatste beheerde exemplaar verwijdert uit het subnet en het beleid voor de netwerkintentie is losgekoppeld. Het kan niet worden uitgeschakeld terwijl beheerde exemplaren aanwezig zijn in het subnet.
Notitie
- Wij adviseren u een afzonderlijke routetabel en NSG te onderhouden voor elk gedelegeerd subnet. Automatisch geconfigureerde regels en routes verwijzen naar de specifieke subnetbereiken die mogelijk overlappen met die in een ander subnet. Wanneer u RT's en NSG's opnieuw gebruikt voor meerdere subnetten die zijn gedelegeerd aan Azure SQL Managed Instance, worden automatisch geconfigureerde regels gestapeld en worden de regels voor niet-gerelateerd verkeer mogelijk verstoord.
- We raden af om afhankelijk te zijn van een van de door de service beheerde regels en routes. Maak in de regel altijd expliciete routes en NSG-regels voor uw specifieke doeleinden. Zowel de verplichte als de optionele regels kunnen worden gewijzigd.
- Op dezelfde manier adviseren we het bijwerken van de door de service beheerde regels. Omdat het netwerkintentiebeleid alleen controleert op effectieve regels en routes, is het mogelijk om een van de automatisch geconfigureerde regels uit te breiden, bijvoorbeeld om meer poorten te openen voor inkomend verkeer of om routering uit te breiden naar een breder voorvoegsel. Door de service geconfigureerde regels en routes kunnen echter veranderen. U kunt het beste uw eigen routes en beveiligingsregels maken om het gewenste resultaat te bereiken.
Verplichte beveiligingsregels en routes
Om een ononderbroken beheerconnectiviteit voor SQL Managed Instance te garanderen, zijn sommige beveiligingsregels en routes verplicht en kunnen ze niet worden verwijderd of gewijzigd.
De namen van verplichte regels en routes beginnen altijd met Microsoft.Sql-managedInstances_UseOnly_mi-. Dit voorvoegsel is gereserveerd voor het gebruik van Azure SQL Managed Instance. Gebruik dit voorvoegsel niet bij het bijwerken van uw routetabel en NSG. Service-updates kunnen alle regels en routes met dat voorvoegsel verwijderen, waarna alleen de verplichte regels en routes opnieuw worden gemaakt.
De volgende tabel bevat de verplichte regels en routes die automatisch worden geïmplementeerd en afgedwongen op het subnet van de gebruiker:
| Soort | Naam | Beschrijving |
|---|---|---|
| NSG inkomend verkeer | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Hiermee kunnen binnenkomende gezondheidstests van de bijbehorende load balancer de instanties bereiken. Met dit mechanisme kan de load balancer actieve databasereplica's na een failover bijhouden. |
| NSG inkomend verkeer | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Zorgt voor interne knooppuntconnectiviteit die vereist is voor beheerbewerkingen. |
| NSG uitgaand | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Zorgt voor interne knooppuntconnectiviteit die vereist is voor beheerbewerkingen. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<bereik>-naar-vnetlocal | Zorgt ervoor dat er altijd een route is voor de interne knooppunten om elkaar te bereiken. |
Notitie
Sommige subnetten bevatten aanvullende verplichte netwerkbeveiligingsregels en -routes die niet op deze pagina worden vermeld, maar gebruiken nog steeds het voorvoegsel Microsoft.Sql-managedInstances_UseOnly_mi-. Dergelijke regels worden als verouderd beschouwd en worden verwijderd in een toekomstige service-update.
Optionele beveiligingsregels en routes
Sommige regels en routes zijn optioneel en kunnen veilig worden verwijderd zonder de interne beheerconnectiviteit van beheerde exemplaren te verstoren.
Belangrijk
Optionele regels en routes worden buiten gebruik gesteld in een toekomstige service-update. U wordt aangeraden uw implementatie- en netwerkconfiguratieprocedures bij te werken, zodat elke implementatie van Azure SQL Managed Instance in een nieuw subnet wordt gevolgd door een expliciete verwijdering en/of vervanging van de optionele regels en routes.
Om optioneel te onderscheiden van verplichte regels en routes, beginnen de namen van optionele regels en routes altijd met Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
De volgende tabel bevat de optionele regels en routes die kunnen worden gewijzigd of verwijderd:
| Kind | Naam | Beschrijving |
|---|---|---|
| NSG uitgaand | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Optionele beveiligingsregel om uitgaande HTTPS-connectiviteit met Azure te behouden. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<regio> | Optionele route naar AzureCloud-services in de primaire regio. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geografisch gekoppelde> | Optionele route naar AzureCloud-services in de secundaire regio. |
Het netwerkintentiebeleid verwijderen
Het effect van het netwerkintentiebeleid op het subnet stopt wanneer er geen virtuele clusters meer zijn en de delegering wordt verwijderd. Zie voor meer informatie over de levenscyclus van het virtuele cluster hoe u een subnet kunt verwijderen nadat u SQL Managed Instancehebt verwijderd.