Udostępnij za pośrednictwem

Włączanie konfiguracji podsieci wspomaganej przez usługę dla usługi Azure SQL Managed Instance

  • Artykuł

Dotyczy: Azure SQL Managed Instance

Ten artykuł zawiera omówienie konfiguracji podsieci wspomaganej przez usługę oraz sposobu włączania jej z delegowaniem podsieci dla usługi Azure SQL Managed Instance.

Konfiguracja podsieci wspomaganej przez usługę automatyzuje zarządzanie konfiguracją sieci dla podsieci hostujących wystąpienia zarządzane, pozostawiając użytkownikowi pełną kontrolę nad dostępem do danych (przepływy ruchu TDS), podczas gdy wystąpienie zarządzane jest odpowiedzialne za zapewnienie nieprzerwanego przepływu ruchu zarządzania w celu spełnienia umów dotyczących poziomu usług.

Omówienie

Aby zwiększyć bezpieczeństwo usług, możliwości zarządzania i dostępności, usługa SQL Managed Instance stosuje zasady intencji sieci do elementów infrastruktury sieci wirtualnej platformy Azure. Zasady konfigurują podsieć, a także skojarzona sieciowa grupa zabezpieczeń i tabelę tras, aby zapewnić spełnienie minimalnych wymagań dotyczących usługi SQL Managed Instance. Ten mechanizm platformy w sposób przezroczysty komunikuje wymagania sieciowe użytkownikom podczas próby konfiguracji, która nie spełnia minimalnych wymagań. Zasady uniemożliwiają błędną konfigurację sieci i pomagają zachować normalne operacje usługi SQL Managed Instance i umowy dotyczące poziomu usług (SLA). Po usunięciu ostatniego wystąpienia zarządzanego z podsieci zasady intencji sieci zostaną również usunięte z tej podsieci.

Konfiguracja podsieci wspomaganej przez usługę jest oparta na funkcji delegowania podsieci sieci wirtualnej w celu zapewnienia automatycznego zarządzania konfiguracją sieci. Konfiguracja podsieci wspomaganej przez usługę jest automatycznie włączana po włączeniu Microsoft.Sql/managedInstances delegowania podsieci dla dostawcy zasobów.

Za pomocą punktów końcowych usługi można skonfigurować reguły zapory sieci wirtualnej dla kont magazynu zawierających kopie zapasowe i dzienniki inspekcji. Jednak nawet w przypadku włączenia punktów końcowych usługi klienci są zachęcani do korzystania z usługi Azure Private Link w celu uzyskania dostępu do kont magazynu, ponieważ usługa Private Link zapewnia większą izolację niż punkty końcowe usługi.

Ważne

  • Po włączeniu delegowania podsieci nie można go wyłączyć, dopóki klaster wirtualny nie zostanie usunięty z podsieci. Aby uzyskać szczegółowe informacje o okresie istnienia klastra wirtualnego, zobacz, jak usunąć podsieć po usunięciu wystąpienia zarządzanego SQL.
  • Ze względu na specyfikę konfiguracji płaszczyzny sterowania punkty końcowe usługi nie są dostępne w chmurach krajowych.

Włączanie delegowania podsieci dla nowych wdrożeń

Aby wdrożyć wystąpienie zarządzane w pustej podsieci, należy delegować je do Microsoft.Sql/managedInstances dostawcy zasobów zgodnie z opisem w temacie Zarządzanie delegowaniem podsieci. W odwołanym artykule Microsoft.DBforPostgreSQL/serversv2 użyto dostawcy zasobów jako przykładu Microsoft.Sql/managedInstances , ale należy zamiast tego użyć dostawcy zasobów.

Włączanie delegowania podsieci dla istniejących wdrożeń

Aby włączyć delegowanie podsieci dla istniejącego wdrożenia wystąpienia zarządzanego, należy dowiedzieć się, gdzie znajduje się podsieć sieci wirtualnej.

Aby znaleźć podsieć, sprawdź wartość w obszarze Sieć wirtualna/podsieć na stronie Przegląd zasobu usługi SQL Managed Instance w witrynie Azure Portal.

Alternatywnie można uruchomić następujące polecenia programu PowerShell, aby znaleźć podsieć sieci wirtualnej dla danego wystąpienia. Zastąp następujące wartości w przykładzie:

  • identyfikator subskrypcji z identyfikatorem subskrypcji
  • rg-name z grupą zasobów dla wystąpienia zarządzanego
  • mi-name z nazwą wystąpienia zarządzanego
Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi.SubnetId

Po określeniu podsieci wystąpienia zarządzanego należy delegować ją do Microsoft.Sql/managedInstances dostawcy zasobów zgodnie z opisem w temacie Zarządzanie delegowaniem podsieci. W artykule, do którego odwołuje się odwołanie Microsoft.DBforPostgreSQL/serversv2 , jako przykład jest używany dostawca zasobów, należy zamiast tego użyć Microsoft.Sql/managedInstances dostawcy zasobów.

Ważne

Włączenie konfiguracji wspomaganej przez usługę nie powoduje przejścia w tryb failover ani przerwy w łączności dla wystąpień zarządzanych, które znajdują się już w podsieci.

Obowiązkowe reguły zabezpieczeń i trasy

Aby zapewnić nieprzerwaną łączność zarządzania dla usługi SQL Managed Instance, niektóre reguły zabezpieczeń i trasy są obowiązkowe i nie można ich usunąć ani zmodyfikować.

Obowiązkowe reguły i trasy zawsze zaczynają się od Microsoft.Sql-managedInstances_UseOnly_mi-.

W poniższej tabeli wymieniono obowiązkowe reguły i trasy, które są wymuszane i automatycznie wdrażane w podsieci użytkownika:

Rodzaj Nazwa/nazwisko opis
Ruch przychodzący sieciowej grupy zabezpieczeń Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in Umożliwia przychodzące sondy kondycji ze skojarzonego modułu równoważenia obciążenia w celu uzyskania dostępu do węzłów wystąpienia. Ten mechanizm umożliwia modułowi równoważenia obciążenia śledzenie aktywnych replik bazy danych po przejściu w tryb failover.
Ruch przychodzący sieciowej grupy zabezpieczeń Microsoft.Sql-managedInstances_UseOnly_mi-internal-in Zapewnia wewnętrzną łączność węzłów wymaganą dla operacji zarządzania.
Ruch wychodzący sieciowej grupy zabezpieczeń Microsoft.Sql-managedInstances_UseOnly_mi-internal-out Zapewnia wewnętrzną łączność węzłów wymaganą dla operacji zarządzania.
Marszruta Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> Gwarantuje, że zawsze istnieje trasa dla węzłów wewnętrznych, aby się ze sobą skontaktować.

Uwaga

Niektóre podsieci mogą zawierać dodatkowe obowiązkowe reguły zabezpieczeń sieci i trasy, które nie są wymienione w żadnej z powyższych dwóch sekcji. Takie reguły są uznawane za przestarzałe i zostaną usunięte z ich podsieci.

Opcjonalne reguły zabezpieczeń i trasy

Niektóre reguły i trasy są opcjonalne i można je bezpiecznie modyfikować lub usuwać bez zakłócania wewnętrznej łączności zarządzania wystąpieniami zarządzanymi. Te opcjonalne reguły służą do zachowania łączności wychodzącej wystąpień zarządzanych wdrożonych przy założeniu, że pełne uzupełnienie obowiązkowych reguł i tras będzie nadal obowiązywać.

Ważne

Opcjonalne reguły i trasy zostaną wycofane w przyszłości. Zdecydowanie zalecamy zaktualizowanie procedur wdrażania i konfiguracji sieci, tak aby każde wdrożenie usługi Azure SQL Managed Instance w nowej podsieci było zgodne z jawnym usunięciem i/lub zastąpieniem opcjonalnych reguł i tras, tak aby tylko minimalny wymagany ruch mógł przepływać.

Aby ułatwić odróżnienie opcjonalnych reguł i tras od obowiązkowych, nazwy opcjonalnych reguł i tras zawsze zaczynają się od Microsoft.Sql-managedInstances_UseOnly_mi-optional-.

W poniższej tabeli wymieniono opcjonalne reguły i trasy, które można modyfikować lub usuwać:

Rodzaj Nazwa/nazwisko opis
Ruch wychodzący sieciowej grupy zabezpieczeń Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out Opcjonalna reguła zabezpieczeń w celu zachowania wychodzącej łączności HTTPS z platformą Azure.
Marszruta Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> Opcjonalna trasa do usług AzureCloud w regionie podstawowym.
Marszruta Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<sparowane geograficznie> Opcjonalna trasa do usług AzureCloud w regionie pomocniczym.

Powiązana zawartość

W przypadku powiązanej zawartości usługi Azure SQL Managed Instance zapoznaj się z następującymi artykułami: