Azure SQL Yönetilen Örneği için bağlantı mimarisi

Şunlar için geçerlidir:Azure SQL Yönetilen Örneği

Bu makalede, Azure SQL Yönetilen Örneği'nin bağlantı mimarisi ve bileşenlerin SQL yönetilen örneği için iletişim trafiğini nasıl yönlendirdiği açıklanmaktadır.

Genel bakış

SQL Yönetilen Örneği'nde bir örnek, Azure sanal ağına ve SQL yönetilen örneklerine ayrılmış alt ağın içine yerleştirilir. Dağıtım aşağıdakileri sağlar:

• Güvenli bir sanal ağ yerel (VNet-yerel) IP adresi.
• Şirket içi ağı SQL Yönetilen Örneği bağlayabilme.
• SQL Yönetilen Örneği bağlı bir sunucuya veya başka bir şirket içi veri deposuna bağlanma özelliği.
• SQL Yönetilen Örneği Azure kaynaklarına bağlanma özelliği.

Üst düzey bağlantı mimarisi

SQL Yönetilen Örneği, benzer yapılandırma özniteliklerine göre gruplandırılmış ve bir sanal kümeye katılmış ayrılmış bir yalıtılmış sanal makine kümesinde barındırılan hizmet bileşenlerinden oluşur. Bazı hizmet bileşenleri müşterinin sanal ağ alt ağına dağıtılırken, diğer hizmetler Microsoft'un yönettiği güvenli bir ağ ortamında çalışır.

Müşteri uygulamaları SQL Yönetilen Örneği bağlanabilir ve sanal ağ, eşlenmiş sanal ağ veya VPN veya Azure ExpressRoute ile bağlanan ağ içindeki veritabanlarını sorgulayabilir ve güncelleştirebilir.

Aşağıdaki diyagramda SQL Yönetilen Örneği bağlanan varlıklar gösterilmektedir. Ayrıca SQL yönetilen örneğiyle iletişim kurması gereken kaynakları da gösterir. Diyagramın altındaki iletişim süreci, veri kaynağı olarak SQL Yönetilen Örneği bağlanan müşteri uygulamalarını ve araçlarını temsil eder.

SQL Yönetilen Örneği, iki düzlemde çalışan tek kiracılı bir hizmet olarak platform teklifidir: veri düzlemi ve kontrol düzlemi.

Veri düzlemi uyumluluk, bağlantı ve ağ yalıtımı için müşterinin alt ağına dağıtılır. Veri düzlemi, kimlik doğrulama için Azure Depolama, Microsoft Entra ID (eski adıyla Azure Active Directory) ve telemetri toplama hizmetleri gibi Azure hizmetlerine bağlıdır. SQL Yönetilen Örneği içeren alt ağlardan kaynaklanan trafiğin bu hizmetlere gittiğini görürsünüz.

Denetim düzlemi dağıtım, yönetim ve temel hizmet bakım işlevlerini otomatik aracılar aracılığıyla taşır. Bu aracılar, hizmeti çalıştıran işlem kaynaklarına özel erişime sahiptir. Bu konaklara erişmek için SSH veya Uzak Masaüstü Protokolü'nü kullanamazsınız. Tüm denetim düzlemi iletişimleri şifrelenir ve sertifikalar kullanılarak imzalar. İletişim eden tarafların güvenilirliğini denetlemek için SQL Yönetilen Örneği sertifika iptal listelerini kullanarak bu sertifikaları sürekli doğrular.

İletişime genel bakış

Uygulamalar üç tür uç nokta aracılığıyla SQL Yönetilen Örneği'ne bağlanabilir: sanal ağ yerel uç noktası, genel uç noktaveözel uç noktaları . Bu uç noktalar farklı senaryolar için uygun benzersiz özellikler ve davranışlar sergiler.

Sanal ağ yerel uç noktası

Sanal ağ yerel uç noktası, SQL Yönetilen Örneği'ne bağlanmak için varsayılan araçtır. Sanal ağ-yerel uç nokta etki alanı adı biçimindedir<mi_name>.<dns_zone>.database.windows.net. Bu etki alanı adı, alt ağın adres aralığındaki bir IP adresine dönüştürülür. Tüm standart bağlantı senaryolarında bir SQL Yönetilen Örneğe bağlanmak için VNet-local uç noktasını kullanın. Sanal ağ yerel uç noktası 1433 numaralı bağlantı noktasındaki bağlantıları kabul eder.

Sanal ağ yerel uç noktası Ara sunucu ve yeniden yönlendirme bağlantı türlerini destekler.

Sanal ağ yerel uç noktasına bağlanırken, her zaman etki alanı adını kullanın ve temel ip adresi zaman zaman değişeebileceği için alt ağ aralığının tamamında gerekli bağlantı noktalarında gelen trafiğe izin verin.

Örneğin sanal ağ yerel uç nokta etki alanı adını bulmak için:

• Azure portalı: Genel Bakış bölmesindeki Temel Bileşenler bölümünde Konak değeri sanal ağ yerel uç nokta etki alanı adını gösterir.
• PowerShell: Get-AzSqlInstance -ResourceGroupName <resource-group> -Name <mi-name> özelliği olarak fullyQualifiedDomainName gösterir.
• Azure CLI: az sql mi show -g <resource-group> -n <mi-name> özelliği olarak fullyQualifiedDomainName gösterir.

Gelişmiş güvenlik için şifreli bir bağlantı belirtin ve sertifikaya güvenmeyin. Daha fazla bilgi edinmek için bkz. Güvenliğe genel bakış.

Genel uç nokta

Genel uç nokta, <mi_name>.public.<dns_zone>.database.windows.netşeklinde bir alan adıdır. Bu etki alanı adı, İnternet'ten erişilebilen bir genel IP adresine çözümlenebilir. Genel uç nokta, SQL yönetilen örneğinin genel İnternet üzerinden erişilebilir olması gereken senaryolar için uygundur. Örneğin, eşleme veya özel uç noktalar kullanılabilir olmadığında farklı bir sanal ağdan bu ağa bağlanırken. Açık uç noktalar yalnızca istemci trafiğini taşır ve yük devretme grupları veya Yönetilen Örnek bağlantısı gibi iki örnek arasında veri çoğaltması için kullanılamaz. Genel uç nokta, 3342 numaralı bağlantı noktasındaki bağlantıları kabul eder.

Genel uç nokta, bağlantı türü ayarından bağımsız olarak her zaman Ara sunucu bağlantı türünü kullanır.

Bir örneğin genel uç noktasının etki alanı adı, VNet-yerel uç nokta adına, ana bilgisayar adı ile etki alanının geri kalanı arasına etiket olarak public eklenerek eşittir: <mi-name>.public.<dns-zone>.database.windows.net.

Genel uç noktaya bağlanırken, her zaman etki alanı adını kullanın ve temel ip adresi zaman zaman değişeebildiğinden, alt ağ aralığının tamamında 3342 numaralı bağlantı noktasında gelen trafiğe izin verin.

Azure SQL Yönetilen Örneği için genel uç noktayı yapılandırma bölümünde genel uç nokta ayarlamayı öğrenin.

Özel uç noktalar

Özel uç nokta, SQL yönetilen örneğinize trafik yöneten başka bir sanal ağda bulunan isteğe bağlı bir sabit IP adresidir. Bir Azure SQL Yönetilen Örneği birden çok sanal ağda birden çok özel uç nokta olabilir. Özel uç noktalar yalnızca istemci trafiğini taşır ve yük devretme grupları veya Yönetilen Örnek bağlantısı gibi iki örnek arasında veri çoğaltması için kullanılamaz. Özel uç nokta 1433 numaralı bağlantı noktasındaki bağlantıları kabul eder.

Özel uç noktalar, bağlantı türü ayarından bağımsız olarak her zaman Ara sunucu bağlantı türünü kullanır.

Bir örneğin özel uç nokta etki alanı adı, uç nokta farklı şekilde yapılandırılmadıkça sanal ağ yerel etki alanı adına eşittir. Hem özel uç nokta hem de sanal ağ yerel uç noktası aynı sanal ağda olduğunda bu durum söz konusudur. Daha fazla bilgi için bkz. Özel uç nokta için etki alanı adı çözümlemesini ayarlama.

Özel bir uç noktaya bağlanırken, ip adresi üzerinden Azure SQL Yönetilen Örneği bağlanma henüz desteklenmediğinden her zaman etki alanı adını kullanın. Ancak özel uç noktanın IP adresi değişmez.

Azure SQL Yönetilen Örneği için Azure Özel Bağlantı'de özel uç noktalar ve bunları yapılandırma hakkında daha fazla bilgi edinin.

Sanal küme bağlantı mimarisi

Aşağıdaki diyagramda Sanal küme mimarisinin kavramsal düzeni gösterilmektedir:

Sanal ağ-yerel uç noktanın etki alanı adı, bir iç yük dengeleyicinin özel IP adresine çözümler. Bu etki alanı adı bir genel Etki Alanı Adı Sistemi (DNS) bölgesinde kayıtlı olsa ve genel olarak çözümlenebilir olsa da, IP adresi alt ağın adres aralığına aittir ve varsayılan olarak yalnızca sanal ağın içinden erişilebilir.

Yük dengeleyici trafiği bir SQL Yönetilen Örneği ağ geçidine yönlendirir. Aynı kümede birden çok SQL yönetilen örneği çalışabildiğinden ağ geçidi, trafiği doğru SQL altyapısı hizmetine yönlendirmek için bağlantı dizesinde görüldüğü gibi SQL Yönetilen Örneği ana bilgisayar adını kullanır.

değeri dns-zone , kümeyi oluşturduğunuzda otomatik olarak oluşturulur. Yeni oluşturulan bir küme ikincil bir SQL yönetilen örneğini barındırıyorsa, bölge kimliğini birincil kümeyle paylaşır.

Ağ gereksinimleri

Azure SQL Yönetilen Örneği, hizmet destekli alt ağ yapılandırmasını kullanarak başarabileceğiniz, temsilci alt ağın belirli şekillerde yapılandırılmasını gerektirir. Hizmetin gerektirdiğinin ötesinde, kullanıcılar aşağıdakiler gibi alt ağ yapılandırmaları üzerinde tam denetime sahiptir:

• Bağlantı noktalarının bazılarında veya tümlerinde trafiğe izin verme veya trafiği engelleme.
• Trafiği sanal ağ gereçleri veya ağ geçidi üzerinden yönlendirmek için yönlendirme tablosuna girişler ekleme.
• Özel DNS çözümlemesini yapılandırma.
• Eşlemeyi veya VPN'i ayarlama.

Microsoft Online Services Hizmet Düzeyi Sözleşmesi'ndeki Uyumlu Ağ Yapılandırma ölçütlerini karşılamak için, SQL Yönetilen Örneği'nin dağıtıldığı sanal ağ ve alt ağ aşağıdaki gereksinimleri karşılamalıdır:

• Ayrılmış alt ağ: SQL Yönetilen Örneği kullandığı alt ağ yalnızca SQL Yönetilen Örneği hizmetine devredilebilir. Alt ağ bir ağ geçidi alt ağı olamaz ve alt ağda yalnızca SQL Yönetilen Örneği kaynakları dağıtabilirsiniz.
• Alt ağ temsilcisi: SQL Yönetilen Örneği alt ağın kaynak sağlayıcısına Microsoft.Sql/managedInstances temsilci olarak atanması gerekir.
• Ağ güvenlik grubu: Ağ güvenlik grubunun SQL Yönetilen Örneği alt ağıyla ilişkilendirilmesi gerekir. 1433 numaralı bağlantı noktasında gelen trafiği filtreleyerek SQL Yönetilen Örneği veri uç noktasına erişimi denetlemek için bir ağ güvenlik grubu kullanabilirsiniz. Hizmet, kuralları otomatik olarak sağlar ve kesintisiz yönetim trafiği akışına izin vermek için gerektiğinde güncel tutar.
• Yol tablosu: Bir yol tablosu SQL Yönetilen Örneği alt ağıyla ilişkilendirilmelidir. Bu yol tablosuna, örneğin trafiği bir sanal ağ geçidi üzerinden şirket içine yönlendirmek veya tüm trafiği güvenlik duvarı gibi bir sanal ağ gereci üzerinden yönlendiren varsayılan 0.0.0.0/0 yolunu eklemek için bu yönlendirme tablosuna girişler ekleyebilirsiniz. Azure SQL Yönetilen Örneği, yol tablosunda gerekli girdilerini otomatik olarak sağlar ve yönetir.
• Yeterli IP adresleri: SQL Yönetilen Örneği alt ağdaki en az 32 IP adresi olmalıdır. Daha fazla bilgi için bkz. SQL Yönetilen Örneği için alt ağın boyutunu belirleme. Mevcut bir ağ içinde, SQL Yönetilen Örnek için ağ gereksinimlerini karşılayacak şekilde yapılandırdıktan sonra, SQL yönetilen örneklerini dağıtabilirsiniz. Bunu yapamazsanız yeni bir ağ ve alt ağ oluşturabilirsiniz.
• Azure ilkeleri tarafından izin verilir: SQL Yönetilen Örneği bir alt ağ veya sanal ağ içeren bir kapsamda kaynak oluşturulmasını veya değiştirilmesini önlemek için Azure İlkesi kullanırsanız ilkelerinizin SQL Yönetilen Örneği iç kaynaklarını yönetmesini engellememesi gerekir. Aşağıdaki kaynakların normal işlem için ilke reddetme etkilerinin dışında tutulması gerekir:
  • Kaynak adı ile başladığında türünde Microsoft.Network/serviceEndpointPolicieskaynaklar \_e41f87a2\_
  • Türe sahip tüm kaynaklar Microsoft.Network/networkIntentPolicies
  • Türe sahip tüm kaynaklar Microsoft.Network/virtualNetworks/subnets/contextualServiceEndpointPolicies
• Sanal ağda kilitler: Ayrılmış alt ağa ait sanal ağa, üst kaynak grubuna veya aboneliğine kilitler, SQL Yönetilen Örneği yönetimi ve bakım işlemlerini zaman zaman engelleyebilir, zorluklara neden olabilir. Kaynak kilitlerini kullanırken özellikle dikkatli olun.
• Genel DNS kayıtlarını çözümleme: Sanal ağ özel bir DNS sunucusu kullanacak şekilde yapılandırılmışsa, DNS sunucusunun genel DNS kayıtlarını çözümleyebilmesi gerekir. Microsoft Entra kimlik doğrulaması gibi özelliklerin kullanılması, daha tam etki alanı adlarının (FQDN) çözülmesini gerektirebilir. Daha fazla bilgi için bkz. Azure SQL Yönetilen Örneği özel DNS adlarını çözümleme.
• Gerekli DNS kayıtları: SQL yönetilen örneklerinin belirli etki alanı adlarının doğru çözümlenmesine bağlıdır. Bu etki alanı adları, Azure DNS özel bölgeleri veya özel bir DNS sunucusu tarafından sanal ağlarında geçersiz kılınmamalıdır. Aksi takdirde, SQL yönetilen örnekleri dağıtılamaz veya kullanılamaz duruma gelebilir. Aşağıdaki etki alanları değiştirilmemelidir: windows.net, database.windows.net, core.windows.net, blob.core.windows.net, table.core.windows.net, management.core.windows.net, monitoring.core.windows.net, queue.core.windows.net, graph.windows.net, login.microsoftonline.com, login.windows.net, servicebus.windows.netve vault.azure.net. Yukarıda belirtilen etki alanlarındaki kaynaklar için bile SQL yönetilen örneğinin sanal ağı içinde özel uç noktalar oluşturabilirsiniz. Özel uç noktalar, yerel dns sunucusunun tüm bölge için yetkili olmasını gerektirmeyen bir DNS mekanizması kullanır.
• AzurePlatformDNS etiketi: Platform DNS çözümlemesini engellemek için AzurePlatformDNS hizmet etiketinin kullanılması SQL Yönetilen Örneği kullanılamaz duruma gelebilir. SQL Yönetilen Örneği, altyapı içinde DNS çözümlemesi için müşteri tanımlı DNS'yi desteklese de, platform işlemleri için Azure DNS'ye bağımlılık vardır.

Hizmet destekli alt ağ yapılandırması

hizmet güvenliğini, yönetilebilirliği ve kullanılabilirliği geliştirmek için SQL Yönetilen Örneği, SQL Yönetilen Örneği için en düşük gereksinimlerin karşılandığından emin olmak üzere ağı, ilişkili bileşenleri ve yönlendirme tablosunu yapılandırmak üzere Azure sanal ağ altyapısında hizmet destekli alt ağ yapılandırması ve ağ amacı ilkesini kullanır.

Otomatik olarak yapılandırılan ağ güvenliği ve yönlendirme tablosu kuralları müşteri tarafından görülebilir ve şu ön eklerden biriyle açıklama eklenir:

• Microsoft.Sql-managedInstances_UseOnly_mi- zorunlu kurallar ve yollar için
• Microsoft.Sql-managedInstances_UseOnly_mi-optional- isteğe bağlı kurallar ve yollar için

Ek ayrıntılar için Bkz. Hizmet destekli alt ağ yapılandırması.

Bağlantı mimarisi ve yönetim trafiği hakkında daha fazla bilgi için bkz . Üst düzey bağlantı mimarisi.

Ağ kısıtlamaları

Sanal ağ özellikleri ve trafiğiyle ilgili aşağıdaki kısıtlamalar yürürlüktedir:

• Özel alt ağlar: SQL yönetilen örneklerinin özel alt ağlara dağıtılması ( varsayılan giden erişimin devre dışı bırakıldığı) şu anda desteklenmemektedir.
• Sanal ağ şifrelemesi: Azure Sanal Ağ şifrelemenin etkinleştirildiği sanal ağlarda SQL yönetilen örneklerinin dağıtılması ve çalıştırılması şu anda desteklenmemektedir.
• 25 numaralı bağlantı noktasındaki dış SMTP geçişlerine veritabanı postası: 25 numaralı bağlantı noktası üzerinden dış e-posta hizmetlerine veritabanı postası gönderme işlemi yalnızca Microsoft Azure'daki belirli abonelik türlerinde kullanılabilir. Diğer abonelik türlerindeki örnekler, dış SMTP geçişleriyle iletişim kurmak için farklı bir bağlantı noktası (örneğin, 587) kullanmalıdır. Aksi takdirde, örnekler veritabanı postasını teslim edemeyebilir. Daha fazla bilgi için bkz . Azure'da giden SMTP bağlantı sorunlarını giderme.
• Microsoft eşlemesi: SQL Yönetilen Örneği bulunduğu bir sanal ağ ile doğrudan veya geçişli olarak eşlenen ExpressRoute bağlantı hatlarında Microsoft eşlemesinin etkinleştirilmesi, bağlı olduğu sanal ağ ve hizmetler içindeki SQL Yönetilen Örneği bileşenler arasındaki trafik akışını etkiler. Kullanılabilirlik sorunları sonucu. Microsoft eşlemesi etkinleştirilmiş bir sanal ağa SQL Yönetilen Örneği dağıtımlarının başarısız olması beklenir.
• Genel sanal ağ eşlemesi: Azure bölgeleri arasında sanal ağ eşleme bağlantısı, 9 Eylül 2020'ye kadar oluşturulmuş alt ağlara yerleştirilen SQL yönetilen örnekleri için çalışmaz.
• Sanal ağ eşleme – yapılandırma: SQL yönetilen örneklerine sahip alt ağlar içeren sanal ağlar arasında sanal ağ eşlemesi oluştururken, bu alt ağların farklı yol tabloları ve ağ güvenlik grupları (NSG) kullanması gerekir. Yönlendirme tablosunun ve NSG'nin sanal ağ eşlemesine katılan iki veya daha fazla alt ağda yeniden kullanılması, bu yol tablolarını veya NSG'yi kullanan tüm alt ağlarda bağlantı sorunlarına neden olur ve SQL Yönetilen Örneği yönetim işlemlerinin başarısız olmasına neden olur.
• NAT ağ geçidi: Belirli bir genel IP adresiyle giden bağlantıyı denetlemek için Azure Sanal Ağ NAT'sini kullanmak şu anda desteklenmiyor.
• Azure Sanal Ağ için IPv6: İkili yığın IPv4/IPv6 sanal ağlarına SQL Yönetilen Örneği dağıtma işleminin başarısız olması beklenir. Bir ağ güvenlik grubunu veya yol tablosunu, SQL Yönetilen Örneği bir alt ağa IPv6 adres ön ekleri içeren kullanıcı tanımlı yollar (UDR) ile ilişkilendirmek SQL Yönetilen Örneği kullanılamaz duruma gelir. Ayrıca, zaten SQL Yönetilen Örnek alt ağıyla ilişkilendirilmiş bir ağ güvenlik grubuna veya UDR'ye IPv6 adres ön ekleri eklemek, SQL Yönetilen Örnek'i kullanılamaz duruma getirir. IPv6 ön eklerine sahip ağ güvenlik grubu ve UDR içeren bir alt ağa SQL Yönetilen Örneği dağıtımlarının başarısız olması beklenir.
• TlS 1.2 giden bağlantılarda zorunlu kılındı: Microsoft, Ocak 2020'de tüm Azure hizmetlerindeki hizmet içi trafik için TLS 1.2'yi zorunlu kıldı. SQL Yönetilen Örneği için bu, ÇOĞALTMA için kullanılan giden bağlantılarda ve SQL Server'a bağlı sunucu bağlantılarında TLS 1.2'nin zorunlu kılınmasıyla sonuçlandı. SQL Server'ın 2016'dan önceki bir sürümünü SQL Yönetilen Örneği kullanıyorsanız TLS 1.2'ye özgü güncelleştirmeleri uyguladığınıza emin olun.
• Azure DNS'ye iç geri dönüş: SQL yönetilen örnekleri, sanal ağlarında çalışan DNS çözümlemesine bağlıdır. SQL yönetilen örneğinin sanal ağı özel DNS sunucularını kullanacak şekilde yapılandırılırsa ve özel DNS sunucularına gönderilen bir DNS isteği belirli bir aralıkta (1-2 saniye) tamamlanamadığında, SQL yönetilen örneği bu sanal ağda Azure DNS'ye karşı isteği yineler.

İlgili içerik

• Genel bakış için bkz. Azure SQL Yönetilen Örneği nedir?.
• Daha fazla bilgi edinmek için bkz:
  • Sanal küme mimarisi.
  • Hizmet destekli alt ağ yapılandırması.
  • SQL Yönetilen Örneği dağıtabileceğiniz yeni bir Azure sanal ağı veya mevcut bir Azure sanal ağı ayarlayın.
  • SQL Yönetilen Örneği dağıtmak istediğiniz alt ağın boyutunu hesaplayın.
• SQL yönetilen örneği oluşturmayı öğrenin:
  • Azure portalından.
  • PowerShell kullanarak.
  • Azure Resource Manager şablonu kullanarak.
  • Sıçrama kutusu ve SQL Server Management Studio ile bir Azure Resource Manager şablonu kullanarak.