Compartilhar via

Habilitar a configuração de sub-rede auxiliada por serviço para a Instância Gerenciada de SQL do Azure

  • Artigo

Aplica-se a: Instância Gerenciada de SQL do Azure

Este artigo fornece uma visão geral da configuração de sub-rede auxiliada por serviço e como habilitá-la com delegação de sub-rede para a Instância Gerenciada de SQL do Azure.

Uma configuração de sub-rede auxiliada por serviço automatiza o gerenciamento de configuração de rede para sub-redes que hospedam instâncias gerenciadas, deixando o usuário totalmente no controle do acesso aos dados (fluxos de tráfego TDS), enquanto a instância gerenciada é responsável por garantir o fluxo ininterrupto do tráfego de gerenciamento para cumprir os contratos de nível de serviço.

Visão geral

Para aprimorar a segurança do serviço, a capacidade de gerenciamento e a disponibilidade, a Instância Gerenciada de SQL aplica uma política de intenção de rede em elementos da infraestrutura de rede virtual do Azure. A política configura a sub-rede e também o grupo de segurança de rede associado e a tabela de rotas para garantir que os requisitos mínimos da Instância Gerenciada de SQL sejam atendidos. Esse mecanismo de plataforma comunica de forma transparente os requisitos de rede aos usuários quando eles tentam uma configuração que não atende aos requisitos mínimos. A política previne a configuração incorreta da rede e ajuda a manter normais as operações e os contratos de nível de serviço (SLAs) da Instância Gerenciada de SQL. Quando você exclui uma instância gerenciada de uma sub-rede, a política de intenção de rede também é removida dessa sub-rede.

A configuração de sub-rede auxiliada por serviço baseia-se no recurso de delegação de sub-rede da rede virtual para fornecer gerenciamento automático de configuração de rede. A configuração da sub-rede auxiliada por serviço é habilitada automaticamente depois que você ativa a delegação de sub-rede para o provedor de recursos Microsoft.Sql/managedInstances.

É possível usar os pontos de extremidade de serviço para configurar regras de firewall de rede virtual nas contas de armazenamento que contêm backups e logs de auditoria. Mesmo com os pontos de extremidade de serviço habilitados, incentivamos os clientes a usar o Link Privado do Azure para acessar as contas de armazenamento, uma vez que o Link Privado fornece maior isolamento do que os pontos de extremidade de serviço.

Importante

  • Quando a delegação da sub-rede estiver ativada, você não poderá desativá-la até que o cluster virtual seja removido da sub-rede. Para obter detalhes do tempo de vida do cluster virtual, consulte como excluir uma sub-rede após excluir a Instância Gerenciada SQL.
  • Devido às especificidades da configuração do plano de controle, os pontos de extremidade de serviço não estão disponíveis em nuvens nacionais.

Habilitar a delegação de sub-rede para novas implantações

Para implantar uma instância gerida em uma sub-rede vazia, é necessário delegá-la ao fornecedor de recursos Microsoft.Sql/managedInstances, conforme descrito em Gerenciar a delegação de sub-rede. O artigo citado usa o provedor de recursos Microsoft.DBforPostgreSQL/serversv2 como exemplo, mas você precisa usar o provedor de recursos Microsoft.Sql/managedInstances.

Habilitar a delegação de sub-rede para implantações existentes

Para habilitar a delegação de sub-rede para a implantação de instância gerenciada existente, é necessário descobrir onde a sub-rede da rede virtual está localizada.

Para localizar a sub-rede, verifique o valor em Rede virtual/sub-rede na página Visão geral do recurso Instância Gerenciada SQL no portal do Azure.

Como alternativa, você pode executar os seguintes comandos do PowerShell para localizar a sub-rede de rede virtual para sua instância. Substitua os seguintes valores na amostra:

  • subscription_id pela sua assinatura
  • rg-name pelo grupo de recursos da instância gerenciada
  • mi-name pelo nome da instância gerenciada
Install-Module -Name Az

Import-Module Az.Accounts
Import-Module Az.Sql

Connect-AzAccount

# Use your subscription ID in place of subscription-id below

Select-AzSubscription -SubscriptionId {subscription-id}

# Replace rg-name with the resource group for your managed instance, and replace mi-name with the name of your managed instance

$mi = Get-AzSqlInstance -ResourceGroupName {rg-name} -Name {mi-name}

$mi.SubnetId

Depois de determinar a sub-rede da instância gerenciada, você precisa delegá-la ao provedor de recursos Microsoft.Sql/managedInstances, conforme descrito em Gerenciar delegação de sub-rede. Embora o artigo referenciado use o provedor de recursos Microsoft.DBforPostgreSQL/serversv2 como exemplo, você precisa usar o provedor de recursos Microsoft.Sql/managedInstances.

Importante

A habilitação da configuração auxiliada por serviço não causa failover ou interrupção na conectividade de instâncias gerenciadas que já estão na sub-rede.

Regras e rotas de segurança obrigatórias

Para garantir a conectividade de gerenciamento ininterrupta para a Instância Gerenciada de SQL, algumas regras e rotas de segurança são obrigatórias e não podem ser removidas ou modificadas.

As regras e rotas obrigatórias sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-.

A tabela a seguir lista as regras e rotas obrigatórias que são impostas e implantadas automaticamente na sub-rede do usuário:

Tipo Nome Descrição
Entrada NSG Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in Permite que as investigações sobre a integridade da entrada do balanceador de carga associado alcancem os nós da instância. Esse mecanismo permite que o balanceador de carga acompanhe as réplicas de banco de dados ativas após um failover.
Entrada NSG Microsoft.Sql-managedInstances_UseOnly_mi-internal-in Garante a conectividade do nó interno necessária para as operações de gerenciamento.
Saída NSG Microsoft.Sql-managedInstances_UseOnly_mi-internal-out Garante a conectividade do nó interno necessária para as operações de gerenciamento.
Rota Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal Garante uma rota permanente para que os nós internos alcancem uns aos outros.

Observação

Algumas sub-redes contêm outras regras e rotas de segurança de rede obrigatórias que não estão listadas em nenhuma das duas seções acima. Essas regras são consideradas obsoletas e serão removidas de suas sub-redes.

Regras e rotas de segurança opcionais

Algumas regras e rotas são opcionais e podem ser modificadas ou removidas com segurança sem prejudicar a conectividade do gerenciamento interno das instâncias gerenciadas. Essas regras opcionais são usadas para preservar a conectividade de saída das instâncias gerenciadas implantadas, presumindo que o complemento total das regras e rotas obrigatórias ainda estará em vigor.

Importante

Regras e rotas opcionais serão preteridas no futuro. É altamente recomendável que você atualize seus procedimentos de implantação e configuração de rede para que cada implantação da Instância Gerenciada de SQL do Azure em uma nova sub-rede seja seguida por uma remoção e/ou substituição explícita das regras e rotas opcionais, de modo que apenas o tráfego mínimo necessário tenha permissão para fluir.

Para diferenciar regras e rotas opcionais das obrigatórias, os nomes das regras e rotas opcionais sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-optional-.

A tabela a seguir lista as regras e rotas opcionais que podem ser modificadas ou removidas:

Tipo Nome Descrição
Saída NSG Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out Regra de segurança opcional para preservar a conectividade HTTPS de saída com o Azure.
Rota Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> Rota opcional para os serviços AzureCloud na região primária.
Rota Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> Rota opcional para os serviços do AzureCloud na região secundária.

Conteúdo relacionado