適用対象:
Azure SQL Managed Instance
この記事では、サービス支援サブネット構成の概要と、それが Azure SQL Managed Instance に委任されたサブネットとどのように相互作用するかについて説明します。 サービス支援サブネット構成により、マネージド インスタンス サブネットのネットワーク構成管理が自動化されます。 このメカニズムにより、ユーザーはデータへのアクセスを完全に制御できます。マネージド インスタンスは、管理トラフィックの中断のないフローに対する責任を負います。
概要
SQL Managed Instance は、ユーザーのサブネット内の特定の重要なネットワーク経路の管理を、サービスのセキュリティ、管理容易性、可用性を向上させるために自動化します。 サービスは、サブネット、関連付けられているネットワーク セキュリティ グループ、およびルート テーブルを構成して、必要なエントリのセットを含めます。
この動作の背後にあるメカニズムは、ネットワーク 意図ポリシーと呼ばれます。 ネットワーク インテント ポリシーは、サブネットが Azure SQL Managed Instance のリソース プロバイダー Microsoft.Sql/managedInstances に最初に委任されるときに、サブネットに自動的に適用されます。 自動設定は、その時点で有効になります。 最後のマネージド インスタンスをサブネットから削除すると、ネットワーク インテント ポリシーもサブネットから削除されます。
委任サブネットに対するネットワーク インテント ポリシーの影響
ネットワークインテントポリシーは、サブネットに関連付けられたルートテーブルとネットワークセキュリティグループを、必須のとオプションのルールとルートを追加して拡張します。
ネットワークインテントポリシーでは、サブネットの構成の大部分を更新できません。 サブネットのルート テーブルを変更したり、ネットワーク セキュリティ グループの規則を更新したりすると、関連するネットワーク意図ポリシーによって、有効なルートとセキュリティ規則が Azure SQL Managed Instance の要件に準拠しているかどうかを確認します。 そうでない場合、ネットワークインテントポリシーはエラーを発生させ、構成の変更を妨げます。
この動作は、サブネットから最後の Managed Instance を削除し、ネットワーク インテント ポリシーがデタッチされると停止します。 マネージド インスタンスがサブネットに存在している間はオフにできません。
Note
- 委任されたサブネットごとに個別のルート テーブルと NSG を維持することをお勧めします。 自動構成されたルールとルートは、別のサブネットのサブネットと重複する可能性がある特定のサブネット範囲を参照します。 Azure SQL Managed Instance に委任された複数のサブネット間で RP と NSG を再利用すると、自動構成されたルール スタックが作成され、関連のないトラフィックを制御するルールに干渉する可能性があります。
- サービスで管理されるルールとルートのいずれかに依存しないようにすることをお勧めします。 原則として、特定の目的に合わせて明示的なルートと NSG ルールを常に作成します。 必須およびオプションのルールの両方が変更される可能性があります。
- 同様に、サービスで管理される規則を更新することをお勧めします。 ネットワークインテントポリシーは 有効な ルールとルートのみをチェックするため、自動構成済みルールの 1 つを拡張できます。たとえば、受信トラフィック用にさらに多くのポートを開いたり、より広範なプレフィックスにルーティングを拡張したりできます。 ただし、サービスで構成されたルールとルートは変更される可能性があります。 目的の結果を得るには、独自のルートとセキュリティ規則を作成することをお勧めします。
必須のセキュリティ規則とルート
SQL Managed Instance の管理接続を中断しないようにするために、一部のセキュリティ規則とルートは必須であり、削除または変更することはできません。
必須の規則とルートの名前は、常に Microsoft.Sql-managedInstances_UseOnly_mi-で始まります。 このプレフィックスは、Azure SQL Managed Instance で使用するために予約されています。 ルート テーブルと NSG を更新するときは、このプレフィックスを使用しないでください。 サービスの更新では、そのプレフィックスを持つすべてのルールとルートが削除され、その後、必須のルールのみが再作成されます。
次の表に、ユーザーのサブネットに自動的にデプロイされ、適用される必須の規則とルートを示します。
| 種類 | 名前 | 説明 |
|---|---|---|
| NSG 受信 | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | 関連付けられているロード バランサーから受信する正常性プローブがインスタンス ノードに到達できるようにします。 このメカニズムにより、フェールオーバー後にロード バランサーでアクティブなデータベース レプリカを追跡できます。 |
| NSG 受信 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | 管理操作に必要な内部ノード接続を確保します。 |
| NSG 送信 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | 管理操作に必要な内部ノード接続を確保します。 |
| ルート | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | 内部ノードが相互に到達するためのルートが常に存在することを確実にします。 |
Note
一部のサブネットには、このページに記載されていないが、Microsoft.Sql-managedInstances_UseOnly_mi- プレフィックスを引き続き使用する、追加の必須のネットワーク セキュリティ規則とルートが含まれています。 このようなルールは古いと見なされ、今後のサービス更新プログラムで削除される予定です。
オプションのセキュリティ規則とルート
一部のルールとルートはオプションであり、マネージド インスタンスの内部管理接続を損なうことなく、安全に削除できます。
重要
オプションのルールとルートは、今後のサービス更新プログラムで廃止される予定です。 新しいサブネット内の Azure SQL Managed Instance の各デプロイの後に、オプションの規則とルートの明示的な削除や置換が行われるよう、デプロイとネットワーク構成の手順を更新することをお勧めします。
オプションのルールとルートを、必須のルールとルートと区別するために、オプションのルールとルートの名前は常に Microsoft.Sql-managedInstances_UseOnly_mi-optional- で始まります。
次の表に、変更または削除できるオプションのルールとルートを示します。
| 種類 | 名前 | 説明 |
|---|---|---|
| NSG 送信 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Azure への送信 HTTPS 接続を保持するためのオプションのセキュリティ規則。 |
| ルート | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | プライマリ リージョンの AzureCloud サービスへのオプションのルート。 |
| ルート | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | セカンダリ リージョンの AzureCloud サービスへのオプションのルート。 |
ネットワーク インテント ポリシーの削除
サブネットに対するネットワーク インテント ポリシーの効果は、内部に仮想クラスターがなくなり、委任が削除されると停止します。 仮想クラスターのライフサイクルの詳細については、「SQL Managed Instance を削除した後にサブネットを削除する方法」を参照してください。