Dienstgestützte Subnetzkonfiguration für Azure SQL Managed Instance aktivieren
Gilt für:
Azure SQL Managed Instance
Dieser Artikel enthält eine Übersicht über die dienstgestützte Subnetzkonfiguration und über deren Interaktion mit Subnetzen, die an Azure SQL Managed Instance delegiert sind. Die dienstgestützte Subnetzkonfiguration automatisiert die Netzwerkkonfigurationsverwaltung für verwaltete Instanzen-Subnetze. Dieser Mechanismus lässt den Benutzer vollständig in der Kontrolle über den Zugriff auf die Daten, während die verwaltete Instanz die Verantwortung für den unterbrechungsfreien Fluss des Verwaltungsdatenverkehrs übernimmt.
Übersicht
Um die Dienstsicherheit, Verwaltbarkeit und Verfügbarkeit zu verbessern, automatisiert SQL Managed Instance die Verwaltung bestimmter kritischer Netzwerkpfade innerhalb des Subnetzes des Benutzers. Der Dienst konfiguriert das Subnetz, die zugehörige Netzwerksicherheitsgruppe und die Routingtabelle, um eine Reihe von erforderlichen Einträgen zu enthalten.
Der Mechanismus hinter diesem Verhalten wird als Netzwerkabsichtsrichtlinie bezeichnet. Eine Richtlinie für Netzwerkabsichten wird automatisch auf das Subnetz angewendet, wenn das Subnetz erstmals an den Ressourcenanbieter Microsoft.Sql/managedInstances von Azure SQL Managed Instance delegiert wird. Zu diesem Zeitpunkt wird die automatische Konfiguration wirksam. Wenn Sie die letzte verwaltete Instanz aus einem Subnetz löschen, wird auch die Netzwerkabsichtsrichtlinie aus diesem Subnetz entfernt.
Auswirkungen der Netzwerkabsichtsrichtlinie auf das delegierte Subnetz
Eine Richtlinie für Netzwerkabsichten erweitert die Routingtabelle und die Netzwerksicherheitsgruppe, die dem Subnetz zugeordnet sind, indem sie obligatorische und optionale Regeln und Routen hinzufügt.
Eine Netzwerkabsichtsrichtlinie verhindert nicht, dass Sie die meisten Konfigurationen des Subnetzes aktualisieren. Wenn Sie die Routingtabelle des Subnetzes ändern oder die zugehörigen Netzwerksicherheitsgruppenregeln aktualisieren, überprüft die zugeordnete Netzwerkabsichtsrichtlinie, ob die effektiven Routen und Sicherheitsregeln den Anforderungen für die verwaltete Azure SQL-Instanz entsprechen. Wenn sie dies nicht tun, löst die Netzwerkabsichtsrichtlinie einen Fehler aus, der die Änderung der Konfiguration verhindert.
Dieses Verhalten wird beendet, wenn Sie die letzte verwaltete Instanz aus dem Subnetz entfernen und die Netzwerkabsichtsrichtlinie abgetrennt ist. Sie kann nicht deaktiviert werden, während verwaltete Instanzen im Subnetz vorhanden sind.
Hinweis
- Wir empfehlen Ihnen, für jedes delegierte Subnetz eine separate Routingtabelle und NSG zu verwalten. Autokonfigurierte Regeln und Routen verweisen auf die spezifischen Subnetzbereiche, die sich mit denen in einem anderen Subnetz überlappen können. Wenn Sie RTs und NSGs in mehreren Subnetzen wiederverwenden, die an azure SQL Managed Instance delegiert wurden, werden automatisch konfigurierte Regeln gestapelt und können die Regeln für nicht zusammenhängenden Datenverkehr beeinträchtigen.
- Wir raten davon ab, sich von den vom Dienst verwalteten Regeln und Routen abhängig zu machen. Erstellen Sie in der Regel immer explizite Routen und NSG-Regeln für Ihre jeweiligen Zwecke. Sowohl die obligatorischen als auch die optionalen Regeln können geändert werden.
- Ebenso raten wir davon ab, die vom Dienst verwalteten Regeln zu aktualisieren. Da die Richtlinie für Netzwerkabsichten nur auf effektive Regeln und Routen überprüft, ist es möglich, eine der automatisch konfigurierten Regeln zu erweitern, z. B. um mehr Ports für eingehenden Datenverkehr zu öffnen oder das Routing auf ein breiteres Präfix zu erweitern. Vom Dienst konfigurierte Regeln und Routen können sich jedoch ändern. Es empfiehlt sich, eigene Routen und Sicherheitsregeln zu erstellen, um das gewünschte Ergebnis zu erzielen.
Obligatorische Sicherheitsregeln und Routen
Um eine unterbrechungsfreie Verwaltungskonnektivität für SQL Managed Instance zu gewährleisten, sind einige Sicherheitsregeln und Routen obligatorisch und können nicht entfernt oder geändert werden.
Die Namen obligatorischer Regeln und Routen beginnen immer mit Microsoft.Sql-managedInstances_UseOnly_mi-. Dieses Präfix ist für die Verwendung der verwalteten Azure SQL-Instanz reserviert. Verwenden Sie dieses Präfix nicht, wenn Sie die Routentabelle und NSG aktualisieren. Dienstupdates können alle Regeln und Routen mit diesem Präfix löschen, nach denen nur die obligatorischen neu erstellt werden.
In der folgenden Tabelle sind die obligatorischen Regeln und Routen aufgeführt, die automatisch für das Subnetz des Benutzers bereitgestellt und erzwungen werden:
| Variante | Name | Beschreibung |
|---|---|---|
| NSG eingehend | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Ermöglicht, dass eingehende Integritätstests vom zugehörigen Load Balancer die Instanzknoten erreichen können. Dieser Mechanismus ermöglicht es dem Lastenausgleich, aktive Datenbankreplikate nach einem Failover nachzuverfolgen. |
| NSG eingehend | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Stellt die interne Knotenkonnektivität sicher, die für Verwaltungsvorgänge erforderlich ist. |
| NSG ausgehend | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Stellt die interne Knotenkonnektivität sicher, die für Verwaltungsvorgänge erforderlich ist. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Stellt sicher, dass es immer eine Route für die internen Knoten gibt, um einander zu erreichen. |
Hinweis
Einige Subnetze enthalten zusätzliche obligatorische Netzwerksicherheitsregeln und Routen, die auf dieser Seite nicht aufgeführt sind, verwenden aber weiterhin das Präfix Microsoft.Sql-managedInstances_UseOnly_mi-. Solche Regeln gelten als veraltet und werden in einem zukünftigen Dienstupdate entfernt.
Optionale Sicherheitsregeln und Routen
Einige Regeln und Routen sind optional und können ohne Beeinträchtigung der internen Verwaltungskonnektivität verwalteter Instanzen sicher entfernt werden.
Wichtig
Optionale Regeln und Routen werden in einem zukünftigen Dienstupdate eingestellt. Wir empfehlen Ihnen, Ihre Bereitstellungs- und Netzwerkkonfigurationsverfahren so zu aktualisieren, dass jede Bereitstellung von azure SQL Managed Instance in einem neuen Subnetz mit einer expliziten Entfernung und/oder Ersetzung der optionalen Regeln und Routen befolgt wird.
Um optionale von obligatorischen Regeln und Routen zu unterscheiden, beginnen die Namen optionaler Regeln und Routen immer mit Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
In der folgenden Tabelle sind die optionalen Regeln und Routen aufgeführt, die geändert oder entfernt werden können:
| Variante | Name | Beschreibung |
|---|---|---|
| NSG ausgehend | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Optionale Sicherheitsregel zur Aufrechterhaltung der ausgehenden HTTPS-Konnektivität zu Azure. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<Region> | Optionale Route zu AzureCloud-Diensten in der primären Region. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geografisch gekoppelt> | Optionale Route zu AzureCloud-Diensten in der sekundären Region. |
Entfernen der Netzwerkabsichtsrichtlinie
Die Auswirkung der Netzwerkabsichtsrichtlinie auf das Subnetz wird beendet, wenn keine virtuellen Cluster mehr vorhanden sind und die Delegierung entfernt wird. Ausführliche Informationen zum Lebenszyklus des virtuellen Clusters finden Sie im Löschen eines Subnetzes nach dem Löschen von SQL Managed Instance.