Povolení konfigurace podsítě s podporou služeb pro spravovanou instanci Azure SQL
Platí pro: 
Azure SQL Managed Instance
Tento článek obsahuje přehled konfigurace podsítě s podporou služeb a způsobu interakce s podsítěmi delegovanými do spravované instance Azure SQL. Konfigurace podsítě s podporou služeb automatizuje správu konfigurace sítě pro podsítě, které hostují spravované instance, takže uživatel má plnou kontrolu nad přístupem k datům (toky provozu TDS), zatímco spravovaná instance zodpovídá za zajištění nepřerušovaného toku provozu správy.
Přehled
Kvůli zlepšení zabezpečení služeb, spravovatelnosti a dostupnosti služba SQL Managed Instance automatizuje správu určitých kritických síťových cest uvnitř podsítě uživatele. Toho dosáhnete konfigurací podsítě, přidružené skupiny zabezpečení sítě a směrovací tabulky tak, aby obsahovala sadu požadovaných položek.
Mechanismus, který toho dosahuje, se nazývá zásada záměru sítě. Zásady záměru sítě se automaticky použijí na podsíť, když se poprvé deleguje na poskytovatele Microsoft.Sql/managedInstancesprostředků služby Azure SQL Managed Instance. V tomto okamžiku se automatická konfigurace projeví. Když odstraníte poslední spravovanou instanci z podsítě, zásada záměru sítě se z této podsítě odebere.
Účinek zásad záměru sítě na delegovanou podsíť
Při použití na podsíť zásada záměru sítě rozšíří směrovací tabulku a skupinu zabezpečení sítě přidruženou k podsíti přidáním povinných a volitelných pravidel a tras.
Při použití na podsíť vám zásady záměru sítě nezabrání v aktualizaci většiny konfigurace podsítě. Pokaždé, když změníte směrovací tabulku podsítě nebo aktualizujete pravidla skupiny zabezpečení sítě, zásada záměru sítě zkontroluje, jestli efektivní trasy a pravidla zabezpečení vyhovují požadavkům pro spravovanou instanci Azure SQL. Pokud ne, zásady záměru sítě způsobí chybu a zabrání vám v aktualizaci konfigurace.
Toto chování se zastaví, když odeberete poslední spravovanou instanci z podsítě a zásady záměru sítě se odpojily. Nejde ho vypnout, když jsou spravované instance v podsíti.
Poznámka:
- Doporučujeme udržovat samostatnou směrovací tabulku a skupinu zabezpečení sítě pro každou delegovanou podsíť. Automaticky nakonfigurovaná pravidla a trasy odkazují na konkrétní rozsahy podsítí, které mohou existovat v jiné podsíti. Když opakovaně používáte RT a skupiny zabezpečení sítě napříč několika podsítěmi delegovanými do služby Azure SQL Managed Instance, automaticky nakonfigurovaná pravidla se nashromáždí a můžou kolidovat s pravidly, která řídí nesouvisející provoz.
- Doporučujeme, abyste se závislostili na žádném z pravidel a tras spravovaných službou. Pravidla platí, že pro konkrétní účely vždy vytvářejte explicitní trasy a pravidla NSG. Povinná i volitelná pravidla se můžou změnit.
- Podobně doporučujeme, abyste aktualizovali pravidla spravovaná službou. Vzhledem k tomu, že zásady záměru sítě kontrolují platná pravidla a trasy, je možné rozšířit jedno z automaticky nakonfigurovaných pravidel, například otevřít další porty pro příchozí nebo rozšířit směrování na širší předponu. Pravidla a trasy nakonfigurované službou se ale můžou změnit. Nejlepší je vytvořit vlastní trasy a pravidla zabezpečení, abyste dosáhli požadovaného výsledku.
Povinná pravidla zabezpečení a trasy
Aby se zajistilo nepřerušované připojení ke správě pro službu SQL Managed Instance, jsou některá pravidla zabezpečení a trasy povinné a není možné je odebrat ani upravit.
Povinná pravidla a trasy vždy začínají Microsoft.Sql-managedInstances_UseOnly_mi-.
Následující tabulka uvádí povinná pravidla a trasy, které se vynucují a automaticky nasazují do podsítě uživatele:
| Kind | Název | Popis |
|---|---|---|
| Příchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Povolí příchozí sondy stavu z přidruženého nástroje pro vyrovnávání zatížení, aby se dostaly k uzlům instance. Tento mechanismus umožňuje nástroji pro vyrovnávání zatížení sledovat aktivní repliky databáze po převzetí služeb při selhání. |
| Příchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Zajišťuje připojení k internímu uzlu vyžadované pro operace správy. |
| Odchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Zajišťuje připojení k internímu uzlu vyžadované pro operace správy. |
| Postup | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Zajišťuje, aby se interní uzly vždy dostaly do sebe. |
Poznámka:
Některé podsítě obsahují další povinná pravidla zabezpečení sítě a trasy, které nejsou uvedené v některé z výše uvedených dvou částí. Tato pravidla jsou považována za za zastaralá a budou odebrána z jejich podsítí.
Volitelná pravidla zabezpečení a trasy
Některá pravidla a trasy jsou volitelná a je možné je bezpečně odstranit, aniž by to mělo negativní vliv na připojení interní správy spravovaných instancí. Tato volitelná pravidla se používají k zachování odchozího připojení spravovaných instancí, které jsou nasazené s předpokladem, že bude stále zaveden úplný doplněk povinných pravidel a tras.
Důležité
Volitelná pravidla a trasy budou v budoucnu zastaralá. Důrazně doporučujeme aktualizovat postupy nasazení a konfigurace sítě tak, aby každé nasazení služby Azure SQL Managed Instance v nové podsíti bylo dodrženo explicitním odebráním a/nebo nahrazením volitelných pravidel a tras, aby tok umožňoval pouze minimální požadovaný provoz.
Aby bylo možné odlišit volitelné od povinných pravidel a tras, názvy volitelných pravidel a tras vždy začínají .Microsoft.Sql-managedInstances_UseOnly_mi-optional-
Následující tabulka uvádí volitelná pravidla a trasy, které je možné upravit nebo odebrat:
| Kind | Název | Popis |
|---|---|---|
| Odchozí skupina zabezpečení sítě | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Volitelné pravidlo zabezpečení pro zachování odchozího připojení HTTPS k Azure |
| Postup | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<oblast> | Volitelná trasa ke službám AzureCloud v primární oblasti |
| Postup | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Volitelná trasa ke službám AzureCloud v sekundární oblasti. |
Odebrání zásad záměru sítě
Účinek zásad záměru sítě v podsíti se zastaví, když v ní nejsou žádné další virtuální clustery a delegování se odebere. Podrobnosti o životním cyklu virtuálního clusteru najdete v tématu odstranění podsítě po odstranění služby SQL Managed Instance.