針對 Azure SQL 受控執行個體啟用服務輔助的子網路設定
適用於:
Azure SQL 受控執行個體
本文提供服務輔助子網路設定的概觀,以及如何與委派到 Azure SQL 受控執行個體的子網路互動。 服務輔助子網路設定會將託管受控執行個體之子網路的網路組態管理自動化,讓使用者完全控制資料的存取權 (TDS 流量),而受控執行個體則負責確保管理流量的不間斷。
概觀
為了提高服務安全性、可管理性和可用性,SQL 受控執行個體將使用者子網路內特定重要網路路徑的管理自動化。 這是藉由設定子網路、其相關聯的網路安全性群組和路由表來包含一組必要項目來實現的。
完成該作業的機制稱為網路意圖原則。 當網路意圖原則第一次委派給 Azure SQL 受控執行個體的資源提供者 Microsoft.Sql/managedInstances 時,系統會自動將其套用至子網路。 此時,自動設定即會生效。 當您從子網路刪除最後一個受控執行個體時,也會從該子網路一併移除網路意圖原則。
網路意圖原則對委派之子網路的影響
套用至子網路時,網路意圖原則會藉由新增強制和選用的規則及路由,擴充與子網路相關聯的路由表和網路安全性群組。
套用至子網路時,網路意圖原則不會阻止您更新大部分子網路的組態。 每當您變更子網路的路由表或更新其網路安全性群組規則時,網路意圖原則會檢查有效路由和安全性規則是否符合 Azure SQL 受控執行個體的需求。 如果不符合,網路意圖原則會產生錯誤,並阻止您更新組態。
當您從子網路移除最後一個受控執行個體,且網路意圖原則中斷連結時,此行為將停止。 當受控執行個體存在於子網路中時,無法關閉它。
注意
- 建議您針對每個委派的子網路維護單獨的路由表和 NSG。 自動設定的規則和路由會參考可能存在於另一個子網路的特定子網路範圍。 當您跨委派給 Azure SQL 受控執行個體的多個子網路重複使用 RT 和 NSG 時,自動設定的規則將堆疊,並可能干擾管治不相關流量的規則。
- 我們建議不要依賴任何服務管理的規則及路由。 依規則,請一律建立適用於特定用途的明確路由和 NSG 規則。 強制和選用規則都有可能變更。
- 同樣地,我們建議不要更新服務管理的規則。因為網路意圖原則只會檢查有效的規則及路由,所以可以擴充其中一個自動設定的規則,例如開啟其他連接埠進行輸入或將路由延伸至更寬泛的前置詞。 不過,服務設定的規則及路由有可能變更。 最好建立您自己的路由和安全性規則,以取得所需的成果。
強制性安全性規則和路由
為了確保 SQL 受控執行個體的不間斷管理連線,某些安全性規則和路由是強制性的,無法移除或修改。
強制性規則和路由一律以 Microsoft.Sql-managedInstances_UseOnly_mi- 開頭。
下表列出強制性規則和路由,這些規則和路由會強制執行並自動部署到使用者的子網路:
| 種類 | 名稱 | 描述 |
|---|---|---|
| NSG 輸入 | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | 允許來自相關聯負載平衡器的輸入健全狀態探查到達執行個體節點。 此機制可讓負載平衡器追蹤容錯移轉後的作用中資料庫複本。 |
| NSG 輸入 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | 確保管理作業所需的內部節點連線。 |
| NSG 輸出 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | 確保管理作業所需的內部節點連線。 |
| 路由 | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | 確保內部節點一律有一個路由可相互連線。 |
注意
某些子網路包含上述兩個區段中未列出的其他強制性網路安全性規則和路由。 此類規則會被視為已過時,會從其子網路中移除。
可選的安全性規則和路由
有些規則及路由為選用性質,可以安全地移除,而不會影響受控執行個體的內部管理連線。 這些可選規則用於保留受控執行個體的輸出連線能力,部署時假設仍然存在強制性規則和路由的完整補充。
重要
未來將會取代可選規則和路由。 我們強烈建議您更新部署和網路設定程序,以便在新子網路中每次部署 Azure SQL 受控執行個體時,都明確移除和/或取代可選規則和路由,從而僅允許傳輸所需的最低流量。
為了協助區分可選與強制性規則和路由,可選規則和路由的名稱一律以 Microsoft.Sql-managedInstances_UseOnly_mi-optional- 開頭。
下表列出可修改或移除的可選規則和路由:
| 種類 | 名稱 | 描述 |
|---|---|---|
| NSG 輸出 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | 可選的安全性規則,用於保留對 Azure 的輸出 HTTPS 連線。 |
| 路由 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | 可選路由至主要區域中的 AzureCloud 服務。 |
| 路由 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | 可選路由至次要區域中的 AzureCloud 服務。 |
移除網路意圖原則
當子網路內沒有虛擬叢集且委派被移除時,網路意圖原則對子網路的影響會停止。 如需虛擬叢集的生命週期詳細資料,請參閱如何在刪除 SQL 受控執行個體之後刪除子網路。