Azure SQL Yönetilen Örneği için bağlantı mimarisi

Şunlar için geçerlidir: Azure SQL Yönetilen Örneği

Bu makalede Azure SQL Yönetilen Örneği iletişim açıklanmaktadır. Ayrıca bağlantı mimarisini ve bileşenlerin trafiği yönetilen örneğe nasıl yönlendirdiği de açıklanır.

SQL Yönetilen Örneği, Azure sanal ağına ve yönetilen örneklere ayrılmış alt ağa yerleştirilir. Bu dağıtımda aşağıdakiler sağlanır:

  • Güvenli bir özel IP adresi.
  • Şirket içi ağı SQL Yönetilen Örneği'a bağlama özelliği.
  • SQL Yönetilen Örneği bağlı sunucuya veya başka bir şirket içi veri deposuna bağlanma özelliği.
  • SQL Yönetilen Örneği Azure kaynaklarına bağlanma özelliği.

İletişime genel bakış

Aşağıdaki diyagramda SQL Yönetilen Örneği bağlanan varlıklar gösterilmektedir. Ayrıca yönetilen örnekle iletişim kurması gereken kaynakları da gösterir. Diyagramın altındaki iletişim işlemi, veri kaynağı olarak SQL Yönetilen Örneği bağlanan müşteri uygulamalarını ve araçlarını temsil eder.

Bağlantı mimarisindeki varlıklar

SQL Yönetilen Örneği bir hizmet olarak platform (PaaS) teklifidir. Azure, telemetri veri akışlarını temel alarak bu hizmeti yönetmek için otomatik aracıları (yönetim, dağıtım ve bakım) kullanır. Azure yönetimden sorumlu olduğundan müşteriler Uzak Masaüstü Protokolü (RDP) aracılığıyla SQL Yönetilen Örneği sanal küme makinelerine erişemez.

Son kullanıcılar veya uygulamalar tarafından başlatılan bazı işlemlerin platformla etkileşim kurması için SQL Yönetilen Örneği gerekebilir. Bir durum, SQL Yönetilen Örneği veritabanının oluşturulmasıdır. Bu kaynak Azure portal, PowerShell, Azure CLI ve REST API aracılığıyla kullanıma sunulur.

SQL Yönetilen Örneği yedeklemeler için Azure Depolama, telemetri için Azure Event Hubs, kimlik doğrulaması için Azure Active Directory (Azure AD), Saydam Veri Şifrelemesi için Azure Key Vault (TDE) ve güvenlik ve desteklenebilirlik özellikleri sağlayan birkaç Azure platform hizmeti gibi Azure hizmetlerine bağlıdır. SQL Yönetilen Örneği bu hizmetlerle bağlantı kurar.

Tüm iletişimler şifrelenir ve sertifikalar kullanılarak imzalanır. İletişim eden tarafların güvenilirliğini denetlemek için SQL Yönetilen Örneği sertifika iptal listeleri aracılığıyla bu sertifikaları sürekli olarak doğrular. Sertifikalar iptal edilirse, SQL Yönetilen Örneği verileri korumak için bağlantıları kapatır.

Üst düzey bağlantı mimarisi

Yüksek düzeyde SQL Yönetilen Örneği, bir dizi hizmet bileşenidir. Bu bileşenler, müşterinin sanal ağ alt ağı içinde çalışan ayrılmış bir yalıtılmış sanal makine kümesinde barındırılır. Bu makineler bir sanal küme oluşturur.

Sanal küme birden çok yönetilen örneği barındırabilir. Gerekirse, müşteri alt ağda sağlanan örneklerin sayısını değiştirdiğinde küme otomatik olarak genişler veya sözleşmeler gerçekleştirir.

Müşteri uygulamaları SQL Yönetilen Örneği bağlanabilir ve sanal ağ, eşlenmiş sanal ağ veya VPN ya da Azure ExpressRoute ile bağlanan ağ içindeki veritabanlarını sorgulayabilir ve güncelleştirebilir. Bu ağ bir uç nokta ve özel IP adresi kullanmalıdır.

Bağlantı mimarisi diyagramı

Azure yönetim ve dağıtım hizmetleri sanal ağın dışında çalışır. SQL Yönetilen Örneği ve Azure hizmetleri genel IP adresleri olan uç noktalar üzerinden bağlanır. SQL Yönetilen Örneği giden bağlantı oluşturduğunda, alıcı uç Ağ Adresi Çevirisi (NAT) bağlantının bu genel IP adresinden geliyormuş gibi görünmesini sağlar.

Yönetim trafiği müşterinin sanal ağı üzerinden akar. Bu, sanal ağın altyapısının öğelerinin örneğin başarısız olmasına ve kullanılamaz duruma gelmesine neden olarak yönetim trafiğine zarar verebileceği anlamına gelir.

Önemli

Azure, müşteri deneyimini ve hizmet kullanılabilirliğini geliştirmek için Azure sanal ağ altyapısı öğelerine bir ağ amacı ilkesi uygular. İlke, SQL Yönetilen Örneği nasıl çalıştığını etkileyebilir. Bu platform mekanizması, ağ gereksinimlerini kullanıcılara şeffaf bir şekilde iletir. İlkenin ana hedefi, ağ yapılandırmasının yanlış yapılandırılmasını önlemek ve normal SQL Yönetilen Örneği işlemleri sağlamaktır. Yönetilen örneği sildiğinizde, ağ amacı ilkesi de kaldırılır.

Sanal küme bağlantı mimarisi

Şimdi SQL Yönetilen Örneği için bağlantı mimarisine daha ayrıntılı bir şekilde göz atalım. Aşağıdaki diyagramda sanal kümenin kavramsal düzeni gösterilmektedir.

Sanal kümenin bağlantı mimarisi

İstemciler, biçiminde <mi_name>.<dns_zone>.database.windows.netbir ana bilgisayar adı kullanarak SQL Yönetilen Örneği bağlanır. Bu ana bilgisayar adı, genel Etki Alanı Adı Sistemi (DNS) bölgesinde kayıtlı olmasına ve genel olarak çözülebilir olmasına rağmen özel bir IP adresine çözümleniyor. zone-id, kümeyi oluşturduğunuzda otomatik olarak oluşturulur. Yeni oluşturulan bir küme ikincil yönetilen örneği barındırıyorsa, bölge kimliğini birincil kümeyle paylaşır. Daha fazla bilgi için bkz. Birden çok veritabanının saydam ve eşgüdümlü yük devretmesini etkinleştirmek için otomatik yük devretme gruplarını kullanma.

Bu özel IP adresi, SQL Yönetilen Örneği için iç yük dengeleyiciye aittir. Yük dengeleyici trafiği SQL Yönetilen Örneği ağ geçidine yönlendirir. Birden çok yönetilen örnek aynı küme içinde çalışabildiğinden ağ geçidi, trafiği doğru SQL altyapısı hizmetine yeniden yönlendirmek için SQL Yönetilen Örneği ana bilgisayar adını kullanır.

Yönetim ve dağıtım hizmetleri, dış yük dengeleyiciye eşlenmiş bir yönetim uç noktası kullanarak SQL Yönetilen Örneği bağlanır. Trafik yalnızca SQL Yönetilen Örneği yönetim bileşenlerinin kullandığı önceden tanımlanmış bir bağlantı noktası kümesine alındığında düğümlere yönlendirilir. Düğümlerde yerleşik bir güvenlik duvarı, yalnızca Microsoft IP aralıklarından gelen trafiğe izin verecek şekilde ayarlanır. Sertifikalar, yönetim bileşenleriyle yönetim düzlemi arasındaki tüm iletişimin kimliğini karşılıklı olarak doğrular.

Yönetim uç noktası

Azure, yönetim uç noktasını kullanarak SQL Yönetilen Örneği yönetir. Bu uç nokta bir örneğin sanal kümesinin içindedir. Yönetim uç noktası, ağ düzeyinde yerleşik bir güvenlik duvarı tarafından korunur. Uygulama düzeyinde, karşılıklı sertifika doğrulama ile korunur. Uç noktanın IP adresini bulmak için bkz. Yönetim uç noktasının IP adresini belirleme.

Bağlantılar SQL Yönetilen Örneği içinde başladığında (yedeklemeler ve denetim günlüklerinde olduğu gibi), trafik yönetim uç noktasının genel IP adresinden başlıyor gibi görünür. Güvenlik duvarı kurallarını yalnızca SQL Yönetilen Örneği IP adresine izin verecek şekilde ayarlayarak genel hizmetlere erişimi SQL Yönetilen Örneği'den sınırlandırabilirsiniz. Daha fazla bilgi için bkz. SQL Yönetilen Örneği yerleşik güvenlik duvarını doğrulama.

Not

SQL Yönetilen Örneği bölgesinin içindeki Azure hizmetlerine giden trafik iyileştirilir ve bu nedenle yönetim uç noktası için genel IP adresine sızılmaz. Bu nedenle, genellikle depolama için IP tabanlı güvenlik duvarı kurallarını kullanmanız gerekiyorsa hizmetin SQL Yönetilen Örneği farklı bir bölgede olması gerekir.

Hizmet destekli alt ağ yapılandırması

Müşteri güvenliği ve yönetilebilirlik gereksinimlerini karşılamak için SQL Yönetilen Örneği el ile hizmet destekli alt ağ yapılandırmasına geçiş yapmaktır.

Hizmet destekli alt ağ yapılandırmasıyla müşteri veri (TDS) trafiğinin tam denetiminde olurken SQL Yönetilen Örneği kontrol düzlemi, bir SLA'yı gerçekleştirmek için kesintisiz yönetim trafiği akışı sağlama sorumluluğunu üstlenir.

Hizmet destekli alt ağ yapılandırması, otomatik ağ yapılandırma yönetimi sağlamak ve hizmet uç noktalarını etkinleştirmek için sanal ağ alt ağ temsilcisi özelliğinin üzerine inşa edilir.

Hizmet uç noktaları, yedeklemeleri ve denetim günlüklerini tutan depolama hesaplarında sanal ağ güvenlik duvarı kurallarını yapılandırmak için kullanılabilir. Hizmet uç noktaları etkinleştirildiğinde bile müşterilerin hizmet uç noktaları üzerinde ek güvenlik sağlayan özel bağlantı kullanması teşvik edilir.

Önemli

Denetim düzlemi yapılandırma özellikleri nedeniyle, hizmet destekli alt ağ yapılandırması ulusal bulutlarda hizmet uç noktalarını etkinleştirmez.

Ağ gereksinimleri

SQL Yönetilen Örneği sanal ağın içindeki ayrılmış bir alt ağa dağıtın. Alt ağ şu özelliklere sahip olmalıdır:

  • Ayrılmış alt ağ: SQL Yönetilen Örneği alt ağı kendisiyle ilişkilendirilmiş başka bir bulut hizmeti içeremez, ancak diğer yönetilen örneklere izin verilir ve ağ geçidi alt ağı olamaz. Alt ağ yönetilen örneklerden başka kaynak içeremez ve daha sonra alt ağa başka kaynak türleri ekleyemezsiniz.
  • Alt ağ temsilcisi: SQL Yönetilen Örneği alt ağın kaynak sağlayıcısına Microsoft.Sql/managedInstances temsilci olarak atanması gerekir.
  • Ağ güvenlik grubu (NSG): NSG'nin SQL Yönetilen Örneği alt ağıyla ilişkilendirilmesi gerekir. Yeniden yönlendirme bağlantıları için SQL Yönetilen Örneği yapılandırıldığında 1433 numaralı bağlantı noktası ve 11000-11999 numaralı bağlantı noktaları üzerindeki trafiği filtreleyerek SQL Yönetilen Örneği veri uç noktasına erişimi denetlemek için bir NSG kullanabilirsiniz. Hizmet, kesintisiz yönetim trafiği akışına izin vermek için gerekli olan geçerli kuralları otomatik olarak sağlar ve tutar.
  • Kullanıcı tanımlı yol (UDR) tablosu: Bir UDR tablosunun SQL Yönetilen Örneği alt ağıyla ilişkilendirilmesi gerekir. Şirket içi özel IP aralıklarına sahip trafiği, sanal ağ geçidi veya sanal ağ gereci (NVA) aracılığıyla bir hedef olarak yönlendirmek için yol tablosuna giriş ekleyebilirsiniz. Hizmet, kesintisiz yönetim trafiği akışına izin vermek için gerekli olan girişleri otomatik olarak sağlayacak ve güncel tutacaktır.
  • Yeterli IP adresleri: SQL Yönetilen Örneği alt ağdaki en az 32 IP adresi olmalıdır. Daha fazla bilgi için bkz. SQL Yönetilen Örneği için alt ağın boyutunu belirleme. Yönetilen örnekleri, SQL Yönetilen Örneği ağ gereksinimlerini karşılayacak şekilde yapılandırdıktan sonra mevcut ağda dağıtabilirsiniz. Bunu yapamazsanız yeni bir ağ ve alt ağ oluşturabilirsiniz.
  • Azure ilkeleri tarafından izin verilir:SQL Yönetilen Örneği alt ağ/sanal ağ içeren kapsamdaki kaynakların oluşturulmasını veya değiştirilmesini reddetmek için Azure İlkesi kullanırsanız, bu tür ilkeler Yönetilen Örneğin iç kaynaklarını yönetmesini engellememelidir. Normal işlemi etkinleştirmek için aşağıdaki kaynakların reddetme etkilerinin dışında tutulması gerekir:
    • Kaynak adı _e41f87a2_ ile başladığında Microsoft.Network/serviceEndpointPolicies türünde kaynaklar
    • Microsoft.Network/networkIntentPolicies türüne sahip tüm kaynaklar
    • Microsoft.Network/virtualNetworks/subnets/contextualServiceEndpointPolicies türünde tüm kaynaklar
  • Sanal ağda kilitler:Ayrılmış alt ağın sanal ağında, üst kaynak grubundaki veya aboneliğindeki kilitler, zaman zaman SQL Yönetilen Örneği yönetim ve bakım işlemlerini etkileyebilir. Bu tür kilitleri kullanırken özellikle dikkatli olun.

Önemli

Yönetilen örnek oluşturduğunuzda, ağ kurulumunda uyumsuz değişiklikler yapılmasını önlemek için alt ağa bir ağ amacı ilkesi uygulanır. Bu ilke, kaynak grubunun sanal ağında bulunan gizli bir kaynaktır. Son örnek alt ağdan kaldırıldıktan sonra ağ amacı ilkesi de kaldırılır. Aşağıdaki kurallar yalnızca bilgilendirme amaçlıdır ve BUNLARı ARM şablonu / PowerShell / CLI kullanarak dağıtmamalısınız. En son resmi şablonu kullanmak istiyorsanız , her zaman portaldan alabilirsiniz. İki SQL Yönetilen Örneği arasındaki otomatik yük devretme grupları için çoğaltma trafiği bir merkez ağı üzerinden değil doğrudan olmalıdır.

Hizmet destekli alt ağ yapılandırmasıyla zorunlu gelen güvenlik kuralları

Gelen yönetim trafiği akışını sağlamak için bu kurallar gereklidir. Bağlantı mimarisi ve yönetim trafiği hakkında daha fazla bilgi için yukarıdaki paragrafa bakın.

Name Bağlantı noktası Protokol Kaynak Hedef Eylem
yönetim 9000, 9003, 1438, 1440, 1452 TCP SqlManagement MI ALT AĞı İzin Ver
9000, 9003 TCP CorpnetSaw MI ALT AĞı İzin Ver
9000, 9003 TCP CorpnetPublic MI ALT AĞı İzin Ver
mi_subnet Herhangi biri Herhangi biri MI ALT AĞı MI ALT AĞı İzin Ver
health_probe Herhangi biri Herhangi biri AzureLoadBalancer MI ALT AĞı İzin Ver

Hizmet destekli alt ağ yapılandırmasıyla zorunlu giden güvenlik kuralları

Giden yönetim trafiği akışını sağlamak için bu kurallar gereklidir. Bağlantı mimarisi ve yönetim trafiği hakkında daha fazla bilgi için yukarıdaki paragrafa bakın.

Name Bağlantı noktası Protokol Kaynak Hedef Eylem
yönetim 443, 12000 TCP MI ALT AĞı AzureCloud İzin Ver
mi_subnet Herhangi biri Herhangi biri MI ALT AĞı MI ALT AĞı İzin Ver

Hizmet destekli alt ağ yapılandırmasıyla zorunlu kullanıcı tanımlı yollar

Bu yollar, yönetim trafiğinin doğrudan bir hedefe yönlendirildiğinden emin olmak için gereklidir. Bağlantı mimarisi ve yönetim trafiği hakkında daha fazla bilgi için yukarıdaki paragrafa bakın.

Name Adres ön eki Sonraki atlama 2
alt ağdan vnetlocal'a MI SUBNET 1 Sanal ağ
mi-azurecloud-REGION-internet AzureCloud.REGION İnternet
mi-azurecloud-REGION_PAIR-internet AzureCloud.REGION_PAIR İnternet
mi-azuremonitor-internet AzureMonitor İnternet
mi-corpnetpublic-internet CorpNetPublic İnternet
mi-corpnetsaw-internet CorpNetSaw İnternet
mi-eventhub-REGION-internet EventHub.REGION İnternet
mi-eventhub-REGION_PAIR-internet EventHub.REGION_PAIR İnternet
mi-sqlmanagement-internet SqlManagement İnternet
mi-storage-internet Depolama İnternet
mi-storage-REGION-internet Storage.REGION İnternet
mi-storage-REGION_PAIR-internet Storage.REGION_PAIR İnternet
mi-azureactivedirectory-internet AzureActiveDirectory İnternet

1 MI SUBNET, x.x.x.x/y biçimindeki alt ağın IP adresi aralığını ifade eder. Bu bilgileri Azure portal alt ağ özelliklerinde bulabilirsiniz.

2 Hedef adres Azure'ın hizmetlerinden birine aitse, Azure trafiği İnternet'e yönlendirmek yerine doğrudan Azure'ın omurga ağı üzerinden hizmete yönlendirir. Sanal ağın içinde bulunduğu Azure bölgesi veya Azure hizmeti örneğinin dağıtıldığı Azure bölgesi ne olursa olsun, Azure hizmetleri arasındaki trafik İnternet'i dolaşmaz. Daha fazla ayrıntı için UDR belgeleri sayfasına bakın.

Ayrıca, şirket içi özel IP aralıklarına sahip trafiği sanal ağ geçidi veya sanal ağ gereci (NVA) üzerinden hedef olarak yönlendirmek için yönlendirme tablosuna girişler ekleyebilirsiniz.

Sanal ağ özel bir DNS içeriyorsa, özel DNS sunucusunun genel DNS kayıtlarını çözümleyebilmesi gerekir. Azure AD Kimlik Doğrulaması gibi ek özelliklerin kullanılması, ek tam etki alanı adlarının (FQDN) çözülmesini gerektirebilir. Daha fazla bilgi için bkz. Azure SQL Yönetilen Örneği'de özel DNS adlarını çözümleme.

Ağ kısıtlamaları

Giden bağlantılarda TLS 1.2 zorunlu kılındı: Microsoft, Ocak 2020'de tüm Azure hizmetlerindeki hizmet içi trafik için TLS 1.2'i zorunlu kıldı. Azure SQL Yönetilen Örneği için bu, çoğaltma için kullanılan giden bağlantılarda TLS 1.2'nin ve SQL Server'a bağlı sunucu bağlantılarının zorunlu kılınmasıyla sonuçlandı. SQL Yönetilen Örneği ile 2016'dan eski SQL Server sürümlerini kullanıyorsanız lütfen TLS 1.2'ye özgü güncelleştirmelerin uygulandığından emin olun.

Aşağıdaki sanal ağ özellikleri şu anda SQL Yönetilen Örneği ile desteklenmemaktadır:

  • Microsoft eşlemesi: SQL Yönetilen Örneği bulunduğu bir sanal ağ ile doğrudan veya geçişli olarak eşlenen ExpressRoute bağlantı hatlarında Microsoft eşlemesinin etkinleştirilmesi, bağlı olduğu sanal ağ ve hizmetler içindeki SQL Yönetilen Örneği bileşenler arasındaki trafik akışını etkiler ve kullanılabilirlik sorunlarına neden olur. Microsoft eşlemesi zaten etkin olan SQL Yönetilen Örneği sanal ağa yapılan dağıtımların başarısız olması beklenir.
  • Genel sanal ağ eşlemesi: Azure bölgeleri arasında sanal ağ eşleme bağlantısı, 22.09.2020'ye kadar oluşturulan alt ağlara yerleştirilen SQL Yönetilen Örnekleri için çalışmaz.
  • AzurePlatformDNS: Platform DNS çözümlemesini engellemek için AzurePlatformDNS hizmet etiketinin kullanılması SQL Yönetilen Örneği kullanılamaz duruma gelir. SQL Yönetilen Örneği, altyapı içinde DNS çözümlemesi için müşteri tanımlı DNS'yi desteklese de, platform işlemleri için platform DNS'sine bağımlılık vardır.
  • NAT ağ geçidi: Belirli bir genel IP adresiyle giden bağlantıyı denetlemek için Azure Sanal Ağ NAT kullanılması, SQL Yönetilen Örneği kullanılamaz duruma gelir. SQL Yönetilen Örneği hizmeti şu anda Sanal Ağ NAT ile gelen ve giden akışların birlikte kullanılmasını sağlamayan temel yük dengeleyici kullanımıyla sınırlıdır.
  • Azure Sanal Ağ için IPv6: İkili yığın IPv4/IPv6 sanal ağlarına SQL Yönetilen Örneği dağıtımının başarısız olması beklenir. IPv6 adres ön eklerini içeren ağ güvenlik grubunu (NSG) veya yönlendirme tablosunu (UDR) SQL Yönetilen Örneği alt ağa ilişkilendirmek veya zaten Yönetilen örnek alt ağıyla ilişkili olan NSG veya UDR'ye IPv6 adres ön ekleri eklemek, SQL Yönetilen Örneği kullanılamaz duruma getirir. NSG ve UDR içeren ve IPv6 ön eklerine sahip bir alt ağa yönelik SQL Yönetilen Örneği dağıtımlarının başarısız olması beklenir.
  • Microsoft hizmetleri için ayrılmış bir ada sahip Azure DNS özel bölgeleri şunlardır: windows.net, database.windows.net, core.windows.net, blob.core.windows.net, table.core.windows.net, management.core.windows.net, monitoring.core.windows.net, queue.core.windows.net, graph.windows.net, login.microsoftonline.com, login.windows.net, servicebus.windows.net, vault.azure.net. SQL Yönetilen Örneği, Microsoft hizmetleri için ayrılmış bir adla ilişkili Azure DNS özel bölgesine sahip bir sanal ağa dağıtılamaz. Ayrılmış adla Azure DNS özel bölgesinin Yönetilen Örnek içeren bir sanal ağ ile ilişkilendirilmesi, SQL Yönetilen Örneği kullanılamaz duruma getirir. Uygun Özel Bağlantı yapılandırması için lütfen Azure Özel Uç Nokta DNS yapılandırmasını izleyin.

Sonraki adımlar