Abilitare la configurazione della subnet assistita dal servizio per Istanza gestita di SQL di Azure
Si applica a:
Istanza gestita di SQL di Azure SQL
Questo articolo offre una panoramica della configurazione della subnet con supporto del servizio e di come questa interagisce con le subnet delegate per l’istanza gestita di SQL di Azure. La configurazione della subnet assistita dal servizio automatizza la gestione della rete per la configurazione delle subnet di istanze gestite. Questo meccanismo lascia l'utente completamente in controllo dell'accesso ai dati, mentre l'istanza gestita assume la responsabilità del flusso ininterrotto del traffico di gestione.
Panoramica
Per migliorare la sicurezza, la gestibilità e la disponibilità del servizio, Istanza gestita di SQL automatizza la gestione di determinati percorsi di rete critici all'interno della subnet dell'utente. Il servizio configura la subnet, il gruppo di sicurezza di rete associato e la tabella di route in modo da contenere un set di voci necessarie.
Il meccanismo alla base di questo comportamento è denominato politica d'intento di rete. I criteri di finalità di rete vengono applicati automaticamente alla subnet quando la subnet viene prima delegata al provider di risorse di Istanza gestita di SQL di Azure Microsoft.Sql/managedInstances. A questo punto, la configurazione automatica diventa effettiva. Quando si elimina da una subnet l’ultima istanza gestita, vengono rimossi dalla subnet anche i criteri relativi alle finalità di rete.
Effetto del criterio di intento di rete nella subnet delegata
La politica dell'intento di rete estende la tabella di route e il gruppo di sicurezza di rete associati alla subnet aggiungendo regole e route obbligatorie e regole e route facoltative.
I criteri di finalità di rete non impediscono di aggiornare la maggior parte della configurazione della subnet. Quando si modifica la tabella di route della subnet o si aggiornano le regole del gruppo di sicurezza di rete, i criteri di finalità di rete associati controllano se le route valide e le regole di sicurezza sono conformi ai requisiti per Istanza gestita di SQL di Azure. In caso contrario, i criteri di finalità di rete generano un errore, impedendo la modifica della configurazione.
Questo comportamento si arresta rimuovendo l'ultima istanza gestita dalla subnet e scollegando così il criterio di intento di rete. Non può essere disattivata mentre le istanze gestite sono presenti nella subnet.
Nota
- È consigliabile mantenere una tabella di route e un NSG separati per ogni subnet delegata. Le regole e le route configurate automaticamente fanno riferimento agli intervalli di subnet specifici che possono sovrapporsi a quelli in un'altra subnet. Quando si riutilizzano le tabelle di routing (RT) e i gruppi di sicurezza di rete (NSG) in più subnet delegate a Istanza gestita di SQL di Azure, le regole configurate automaticamente si sovrappongono e possono interferire con le regole che governano il traffico non correlato.
- È consigliabile non creare dipendenze da una delle regole e delle route gestite dal servizio. Come regola, creare sempre route esplicite e regole NSG per scopi specifici. Le regole obbligatorie e facoltative sono soggette a modifiche.
- Analogamente, sconsigliamo di aggiornare le regole gestite dal servizio. Poiché i criteri di intenzione della rete controllano solo regole e instradamenti efficaci, è possibile estendere una delle regole configurate automaticamente, ad esempio per aprire più porte per il traffico in ingresso o per estendere il routing a un prefisso più ampio. Tuttavia, le regole e le route configurate dal servizio possono cambiare. È consigliabile creare route e regole di sicurezza personalizzate per ottenere il risultato desiderato.
Regole di sicurezza e route obbligatorie
Per garantire la connettività di gestione ininterrotta per l’istanza gestita di SQL, sono necessarie alcune regole di sicurezza e route, che non possono essere rimosse o modificate.
I nomi delle regole e delle route obbligatorie iniziano sempre con Microsoft.Sql-managedInstances_UseOnly_mi-. Questo prefisso è riservato per l'uso di Istanza gestita di SQL di Azure. Non usare questo prefisso durante l'aggiornamento della tabella di routing e del tuo gruppo di sicurezza di rete. Gli aggiornamenti del servizio possono eliminare tutte le regole e le route con tale prefisso, dopo di che verranno ricreati solo quelli obbligatori.
La tabella seguente elenca le regole e le route obbligatorie distribuite automaticamente nella subnet dell'utente e applicate:
| Tipologia | Nome | Descrizione |
|---|---|---|
| NSG in ingresso | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Consente ai probe di integrità in ingresso dal servizio di bilanciamento del carico associato di raggiungere i nodi dell'istanza. Questo meccanismo consente al servizio di bilanciamento del carico di tenere traccia delle repliche di database attive dopo un failover. |
| NSG in ingresso | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantisce la connettività interna dei nodi necessaria per le operazioni di gestione. |
| NSG in uscita | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantisce la connettività interna dei nodi necessaria per le operazioni di gestione. |
| Itinerario | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Assicura che sia sempre presente una route che permetta ai nodi interni di raggiungersi a vicenda. |
Nota
Alcune subnet contengono regole e route di sicurezza di rete obbligatorie aggiuntive che non sono elencate in questa pagina, ma usano comunque il prefisso Microsoft.Sql-managedInstances_UseOnly_mi-. Tali regole vengono considerate obsolete e verranno rimosse in un aggiornamento futuro del servizio.
Regole di sicurezzae route facoltative
Alcune regole e route sono facoltative e possono essere modificate o rimosse in modo sicuro senza compromettere la connettività di gestione interna delle istanze gestite.
Importante
Le regole e le rotte facoltative verranno ritirate, in un aggiornamento futuro del servizio. È consigliabile aggiornare le procedure di configurazione di rete e distribuzione in modo che ogni distribuzione di Istanza gestita di SQL di Azure in una nuova subnet venga seguita con una rimozione esplicita e/o sostituzione delle regole e delle route facoltative.
Per consentire di distinguere le regole e le route obbligatorie da quelle facoltative, i nomi delle regole e delle route facoltative e iniziano sempre con Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
Nella tabella seguente sono elencate le regole e le route facoltative che possono essere modificate o rimosse:
| Tipologia | Nome | Descrizione |
|---|---|---|
| NSG in uscita | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regola di sicurezza facoltativa per mantenere la connettività HTTPS in uscita verso Azure. |
| Itinerario | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Route facoltativa verso i servizi AzureCloud nell'area primaria. |
| Itinerario | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Route facoltativa verso i servizi AzureCloud nell'area secondaria. |
Rimozione del criterio di intento di rete
L'effetto del criterio di intento di rete nella subnet si arresta quando non sono più presenti cluster virtuali all'interno e la delega viene rimossa. Per informazioni dettagliate sul ciclo di vita del cluster virtuale, vedere come eliminare una subnet dopo l'eliminazione di Istanza gestita di SQL.