Habilitación de la configuración de subred asistida por servicio para Azure SQL Managed Instance
Se aplica a:
Azure SQL Managed Instance
En este artículo se ofrece una descripción general de la configuración de subredes asistida por servicios y cómo interactúa con las subredes delegadas a Azure SQL Managed Instance. La configuración de subred asistida por servicio automatiza la administración de la configuración de red para las subredes de instancia administrada. Este mecanismo deja al usuario completamente en control del acceso a los datos, mientras que la instancia administrada asume la responsabilidad del flujo ininterrumpido del tráfico de administración.
Información general
Para mejorar la seguridad del servicio, la capacidad de administración y la disponibilidad, SQL Managed Instance automatiza la administración de determinadas rutas de red críticas dentro de la subred del usuario. El servicio configura la subred, su grupo de seguridad de red asociado y la tabla de rutas para contener un conjunto de entradas necesarias.
El mecanismo detrás de este comportamiento se denomina directiva de intención de red. Una directiva de intención de red se aplica automáticamente a la subred cuando la subred se delegaprimero al proveedor de recursos de Azure SQL Managed Instance Microsoft.Sql/managedInstances. En ese momento, la configuración automática surte efecto. Cuando se elimina la última instancia administrada de una subred, también se quita la directiva de intención de red de esa subred.
El efecto de la directiva de intención de red en la subred delegada
Una directiva de intención de red amplía la tabla de rutas y el grupo de seguridad de red asociados a la subred, agregando reglas y rutas obligatorias y opcionales.
Una directiva de intención de red no impide que actualice la mayor parte de la configuración de la subred. Al cambiar la tabla de rutas de la subred o actualizar sus reglas de grupo de seguridad de red, la directiva de intención de red asociada comprueba si las rutas eficaces y las reglas de seguridad cumplen los requisitos de Azure SQL Managed Instance. Si no lo hacen, la directiva de intención de red genera un error, lo que impide el cambio en la configuración.
Este comportamiento se detiene cuando se quita la última instancia administrada de la subred y se desasocia la directiva de intención de red. No se puede desactivar mientras las instancias administradas están presentes en la subred.
Nota:
- Le recomendamos que mantenga una tabla de rutas independiente y un grupo de seguridad de red para cada subred delegada. Las reglas y rutas configuradas automáticamente hacen referencia a los intervalos de subredes específicos que pueden superponerse con los de otra subred. Al reutilizar las RTs y NSGs en varias subredes delegadas a Azure SQL Managed Instance, las reglas autoconfiguradas se apilan y pueden interferir con las reglas que rigen el tráfico no relacionado.
- Se recomienda tomar la dependencia de cualquiera de las reglas y rutas administradas por el servicio. Como regla, cree siempre rutas explícitas y reglas de NSG para sus fines concretos. Las reglas obligatorias y opcionales están sujetas a cambios.
- Del mismo modo, aconsejamos no actualizar las reglas administradas por el servicio. Dado que la directiva de intención de red solo revisa las reglas y rutas vigentes, es posible ampliar una de las reglas autoconfiguradas, por ejemplo, para abrir más puertos para el tráfico entrante o ampliar el enrutamiento a un prefijo más amplio. Sin embargo, las reglas y rutas configuradas por el servicio pueden cambiar. Es mejor crear sus propias rutas y reglas de seguridad para lograr el resultado deseado.
Reglas y rutas de seguridad obligatorias
Para garantizar la conectividad de administración ininterrumpida para SQL Managed Instance, algunas reglas de seguridad y rutas son obligatorias y no se pueden quitar ni modificar.
Los nombres de las reglas y rutas obligatorias siempre comienzan por Microsoft.Sql-managedInstances_UseOnly_mi-. Este prefijo está reservado para el uso de Azure SQL Managed Instance. No use este prefijo cuando actualice la tabla de rutas y el grupo de seguridad de red. Las actualizaciones del servicio pueden eliminar todas las reglas y rutas con ese prefijo, después de lo cual solo se volverán a crear las obligatorias.
En la tabla siguiente se enumeran las reglas y rutas obligatorias que se implementan automáticamente en y se aplican en la subred del usuario:
| Variante | Nombre | Descripción |
|---|---|---|
| NSG entrante | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permite que los sondeos de estado de entrada del equilibrador de carga asociado lleguen a los nodos de instancia. Este mecanismo permite al equilibrador de carga realizar un seguimiento de las réplicas de base de datos activas después de una conmutación por error. |
| NSG entrante | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantiza la conectividad interna del nodo necesaria para las operaciones de administración. |
| NSG saliente | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantiza la conectividad interna del nodo necesaria para las operaciones de administración. |
| Ruta | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Garantiza que siempre haya una ruta para que los nodos internos se alcancen entre sí. |
Nota:
Algunas subredes contienen reglas de seguridad de red y rutas obligatorias adicionales que no aparecen en esta página, pero siguen usando el prefijo Microsoft.Sql-managedInstances_UseOnly_mi-. Estas reglas se consideran obsoletas y se quitarán en una actualización futura del servicio.
Reglas y rutas de seguridad opcionales
Algunas reglas y rutas son opcionales y se pueden quitar de forma segura sin afectar a la conectividad de administración interna de las instancias administradas.
Importante
Las reglas y rutas opcionales se retirarán en una actualización de servicio futura. Le recomendamos que actualice los procedimientos de implementación y configuración de red, de modo que cada implementación de Azure SQL Managed Instance en una nueva subred se siga con una eliminación explícita o sustitución de las reglas y rutas opcionales.
Para ayudar a diferenciar las reglas y rutas obligatorias, los nombres de las reglas y rutas opcionales siempre comienzan por Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
En la tabla siguiente se enumeran las reglas y rutas opcionales que se pueden modificar o quitar:
| Variante | Nombre | Descripción |
|---|---|---|
| NSG saliente | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regla de seguridad opcional para conservar la conectividad HTTPS saliente a Azure. |
| Ruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Ruta opcional a los servicios de AzureCloud en la región primaria. |
| Ruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Ruta opcional a los servicios de AzureCloud en la región secundaria. |
Eliminación de la directiva de intención de red
El efecto de la directiva de intención de red en la subred se detiene cuando no hay más clústeres virtuales dentro y se quita la delegación. Para obtener más información sobre el ciclo de vida del clúster virtual, consulte cómo eliminar una subred después de eliminar SQL Managed Instance.