Activer la configuration du sous-réseau assistée par le service pour Azure SQL Managed Instance
S’applique à :
Azure SQL Managed Instance
Cet article fournit une vue d’ensemble de la configuration du sous-réseau assistée par le service et explique comment cela interagit avec les sous-réseaux délégués à Azure SQL Managed Instance. La configuration de sous-réseau assistée par le service automatise la gestion de la configuration réseau pour les sous-réseaux d’instance managée. Ce mécanisme laisse l’utilisateur entièrement contrôler l’accès aux données tandis que l’instance managée assume la responsabilité du flux ininterrompu du trafic de gestion.
Vue d’ensemble
Pour améliorer la sécurité, la facilité de gestion et la disponibilité du service, SQL Managed Instance automatise la gestion de certains parcours réseau critiques à l’intérieur du sous-réseau de l’utilisateur. Le service configure le sous-réseau, son groupe de sécurité réseau associé et la table de routage pour contenir un ensemble d’entrées requises.
Le mécanisme derrière ce comportement est appelé stratégie d’intention réseau. Une stratégie d’intention réseau est automatiquement appliquée au sous-réseau lorsque le sous-réseau est d’abord délégué au fournisseur de ressources d’Azure SQL Managed Instance Microsoft.Sql/managedInstances. À ce stade, la configuration automatique prend effet. Lorsque vous supprimez la dernière instance managée d’un sous-réseau, la stratégie d’intention de réseau est également supprimée de ce sous-réseau.
Effet de la stratégie d’intention réseau sur le sous-réseau délégué
Une stratégie d’intention réseau étend la table de routage et le groupe de sécurité réseau associés au sous-réseau en ajoutant des règles et des itinéraires obligatoires et facultatifs.
Une stratégie d’intention réseau ne vous empêche pas de mettre à jour la plupart de la configuration du sous-réseau. Lorsque vous modifiez la table de routage du sous-réseau ou mettez à jour ses règles de groupe de sécurité réseau, la stratégie d’intention réseau associée vérifie si les itinéraires effectifs et les règles de sécurité sont conformes aux exigences d’Azure SQL Managed Instance. Si ce n’est pas le cas, la stratégie d’intention réseau génère une erreur, ce qui empêche la modification de la configuration.
Ce comportement s’arrête lorsque vous supprimez la dernière instance managée du sous-réseau et que la stratégie d’intention réseau est détachée. Elle ne peut pas être désactivée pendant que les instances managées sont présentes dans le sous-réseau.
Remarque
- Nous vous conseillons de conserver une table de routage et un NSG distincts pour chaque sous-réseau délégué. Les règles et itinéraires configurés automatiquement référencent les plages de sous-réseaux spécifiques qui peuvent chevaucher celles d’un autre sous-réseau. Lorsque vous réutilisez des RTs et des groupes de sécurité réseau sur plusieurs sous-réseaux délégués à Azure SQL Managed Instance, les règles autoconfigurées s'empilent et peuvent interférer avec les règles concernant le trafic non lié.
- Nous vous conseillons de prendre la dépendance sur l’une des règles et itinéraires gérés par le service. En règle générale, créez toujours des itinéraires explicites et des règles de groupe de sécurité réseau à des fins particulières. Les règles obligatoires et facultatives sont sujettes à modification.
- De même, nous déconseillons de mettre à jour les règles gérées par le service. La stratégie d’intention du réseau vérifiant uniquement les règles et itinéraires effectifs, il est possible d’étendre l’une des règles auto-configurées, par exemple pour ouvrir davantage de ports pour le trafic entrant ou pour étendre le routage à un préfixe plus large. Toutefois, les règles et itinéraires configurés par le service peuvent changer. Il est préférable de créer vos propres itinéraires et règles de sécurité pour obtenir le résultat souhaité.
Règles et itinéraires de sécurité obligatoires
Pour garantir une connectivité de gestion ininterrompue pour SQL Managed Instance, certaines règles et certains itinéraires de sécurité sont obligatoires et ne peuvent pas être supprimés ou modifiés.
Les noms des règles et itinéraires obligatoires commencent toujours par Microsoft.Sql-managedInstances_UseOnly_mi-. Ce préfixe est réservé à l’utilisation d’Azure SQL Managed Instance. N’utilisez pas ce préfixe lors de la mise à jour de votre table de routage et de votre NSG. Les mises à jour de service peuvent supprimer toutes les règles et itinéraires avec ce préfixe, après quoi seules les mises à jour obligatoires seront recréées.
Le tableau suivant répertorie les règles et itinéraires obligatoires qui sont automatiquement déployés sur et appliqués sur le sous-réseau de l’utilisateur :
| Type | Nom | Description |
|---|---|---|
| NSG entrant | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permet aux sondes d’intégrité entrantes de l’équilibreur de charge associé d’atteindre les nœuds d’instance. Ce mécanisme permet à l’équilibreur de charge de suivre les réplicas de base de données actifs après un basculement. |
| NSG entrant | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantit la connectivité des nœuds internes requise pour les opérations de gestion. |
| NSG sortant | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantit la connectivité des nœuds internes requise pour les opérations de gestion. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Garantit qu’il existe toujours un itinéraire pour que les nœuds internes s’atteignent les uns les autres. |
Remarque
Certains sous-réseaux contiennent des règles et des itinéraires de sécurité réseau obligatoires supplémentaires qui ne sont pas répertoriés dans cette page, mais utilisent toujours le préfixe Microsoft.Sql-managedInstances_UseOnly_mi-. Ces règles sont considérées comme obsolètes et seront supprimées dans une prochaine mise à jour du service.
Règles et itinéraires de sécurité facultatifs
Certaines règles et itinéraires sont facultatifs et peuvent être supprimés en toute sécurité sans compromettre la connectivité de gestion interne des instances managées.
Important
Les règles et itinéraires facultatifs seront supprimés dans une prochaine mise à jour du service. Nous vous conseillons de mettre à jour vos procédures de déploiement et de configuration réseau afin que chaque déploiement d’Azure SQL Managed Instance dans un nouveau sous-réseau soit suivi d’une suppression explicite et/ou d’un remplacement des règles et itinéraires facultatifs.
Pour vous aider à différencier les règles et itinéraires facultatifs des règles et itinéraires obligatoires, les noms des règles et itinéraires facultatifs commencent toujours par Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
Le tableau suivant répertorie les règles et itinéraires facultatifs qui peuvent être modifiés ou supprimés :
| Type | Nom | Description |
|---|---|---|
| NSG sortant | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Règle de sécurité facultative pour préserver la connectivité HTTPS sortante à Azure. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Itinéraire facultatif vers les services AzureCloud dans la région primaire. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Itinéraire facultatif vers les services AzureCloud dans la région secondaire. |
Suppression de la stratégie d’intention réseau
L’effet de la stratégie d’intention réseau sur le sous-réseau s’arrête lorsqu’il n’y a plus de clusters virtuels à l’intérieur et que la délégation est supprimée. Pour en savoir plus sur le cycle de vie du cluster virtuel, reportez-vous à comment supprimer un sous-réseau après avoir supprimé une SQL Managed Instance.