Włączanie konfiguracji podsieci wspomaganej przez usługę dla usługi Azure SQL Managed Instance
Dotyczy: Azure SQL Managed Instance
Ten artykuł zawiera omówienie konfiguracji podsieci wspomaganej przez usługę i sposobu interakcji z podsieciami delegowanymi do usługi Azure SQL Managed Instance. Konfiguracja podsieci wspomaganej przez usługę automatyzuje zarządzanie konfiguracją sieci dla podsieci hostujących wystąpienia zarządzane, pozostawiając użytkownikowi pełną kontrolę nad dostępem do danych (przepływy ruchu TDS), podczas gdy wystąpienie zarządzane jest odpowiedzialne za zapewnienie nieprzerwanego przepływu ruchu zarządzania.
Omówienie
Aby zwiększyć bezpieczeństwo usług, możliwości zarządzania i dostępności, usługa SQL Managed Instance automatyzuje zarządzanie niektórymi krytycznymi ścieżkami sieciowymi wewnątrz podsieci użytkownika. Jest to osiągane przez skonfigurowanie podsieci, skojarzonej z nią sieciowej grupy zabezpieczeń i tabeli tras zawierającej zestaw wymaganych wpisów.
Mechanizm, który to robi, jest nazywany zasadami intencji sieci. Zasady intencji sieci są automatycznie stosowane do podsieci, gdy jest ona najpierw delegowana do dostawcy Microsoft.Sql/managedInstances
zasobów usługi Azure SQL Managed Instance. W tym momencie następuje automatyczna konfiguracja. Po usunięciu ostatniego wystąpienia zarządzanego z podsieci zasady intencji sieci zostaną również usunięte z tej podsieci.
Wpływ zasad intencji sieci w delegowanej podsieci
Po zastosowaniu do podsieci zasady intencji sieci rozszerzają tabelę tras i sieciową grupę zabezpieczeń skojarzona z podsiecią przez dodanie obowiązkowych i opcjonalnych reguł i tras.
W przypadku zastosowania do podsieci zasady intencji sieciowej nie uniemożliwiają aktualizacji większości konfiguracji podsieci. Za każdym razem, gdy zmienisz tabelę tras podsieci lub zaktualizujesz reguły sieciowej grupy zabezpieczeń, zasady intencji sieci będą sprawdzać, czy obowiązujące trasy i reguły zabezpieczeń są zgodne z wymaganiami usługi Azure SQL Managed Instance. Jeśli tak nie jest, zasady intencji sieci spowodują błąd i uniemożliwią zaktualizowanie konfiguracji.
To zachowanie zatrzymuje się po usunięciu ostatniego wystąpienia zarządzanego z podsieci i odłączeniu zasad intencji sieci. Nie można go wyłączyć, gdy wystąpienia zarządzane znajdują się w podsieci.
Uwaga
- Zalecamy obsługę oddzielnej tabeli tras i sieciowej grupy zabezpieczeń dla każdej delegowanej podsieci. Reguły i trasy skonfigurowane automatycznie odwołują się do określonych zakresów podsieci, które mogą istnieć w innej podsieci. W przypadku ponownego użycia sieciowych i sieciowych grup zabezpieczeń w wielu podsieciach delegowanych do usługi Azure SQL Managed Instance automatycznie skonfigurowane reguły będą stosowane i mogą zakłócać reguły dotyczące niepowiązanego ruchu.
- Zalecamy zależność od dowolnego z reguł i tras zarządzanych przez usługę. Zgodnie z regułą zawsze twórz jawne trasy i reguły sieciowej grupy zabezpieczeń dla konkretnych celów. Zarówno obowiązkowe, jak i opcjonalne reguły mogą ulec zmianie.
- Podobnie zalecamy aktualizowanie reguł zarządzanych przez usługę. Ponieważ zasady intencji sieci sprawdzają tylko obowiązujące reguły i trasy, można rozszerzyć jedną z reguł skonfigurowanych automatycznie, na przykład otworzyć dodatkowe porty dla ruchu przychodzącego lub rozszerzyć routing na szerszy prefiks. Jednak reguły i trasy skonfigurowane przez usługę mogą ulec zmianie. Najlepszym rozwiązaniem jest utworzenie własnych tras i reguł zabezpieczeń w celu osiągnięcia żądanego wyniku.
Obowiązkowe reguły zabezpieczeń i trasy
Aby zapewnić nieprzerwaną łączność zarządzania dla usługi SQL Managed Instance, niektóre reguły zabezpieczeń i trasy są obowiązkowe i nie można ich usunąć ani zmodyfikować.
Obowiązkowe reguły i trasy zawsze zaczynają się od Microsoft.Sql-managedInstances_UseOnly_mi-
.
W poniższej tabeli wymieniono obowiązkowe reguły i trasy, które są wymuszane i automatycznie wdrażane w podsieci użytkownika:
Rodzaj | Nazwa/nazwisko | opis |
---|---|---|
Ruch przychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Umożliwia przychodzące sondy kondycji ze skojarzonego modułu równoważenia obciążenia w celu uzyskania dostępu do węzłów wystąpienia. Ten mechanizm umożliwia modułowi równoważenia obciążenia śledzenie aktywnych replik bazy danych po przejściu w tryb failover. |
Ruch przychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Zapewnia wewnętrzną łączność węzłów wymaganą dla operacji zarządzania. |
Ruch wychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Zapewnia wewnętrzną łączność węzłów wymaganą dla operacji zarządzania. |
Marszruta | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Gwarantuje, że zawsze istnieje trasa dla węzłów wewnętrznych, aby się ze sobą skontaktować. |
Uwaga
Niektóre podsieci zawierają dodatkowe obowiązkowe reguły zabezpieczeń sieci i trasy, które nie są wymienione w żadnej z powyższych dwóch sekcji. Takie reguły są uznawane za przestarzałe i zostaną usunięte z ich podsieci.
Opcjonalne reguły zabezpieczeń i trasy
Niektóre reguły i trasy są opcjonalne i można je bezpiecznie usunąć bez zakłócania wewnętrznej łączności zarządzania wystąpieniami zarządzanymi. Te opcjonalne reguły służą do zachowania łączności wychodzącej wystąpień zarządzanych wdrożonych przy założeniu, że pełne uzupełnienie obowiązkowych reguł i tras będzie nadal obowiązywać.
Ważne
Opcjonalne reguły i trasy zostaną wycofane w przyszłości. Zdecydowanie zalecamy zaktualizowanie procedur wdrażania i konfiguracji sieci, tak aby każde wdrożenie usługi Azure SQL Managed Instance w nowej podsieci było zgodne z jawnym usunięciem i/lub zastąpieniem opcjonalnych reguł i tras, tak aby tylko minimalny wymagany ruch mógł przepływać.
Aby ułatwić odróżnienie opcjonalnych reguł i tras od obowiązkowych, nazwy opcjonalnych reguł i tras zawsze zaczynają się od Microsoft.Sql-managedInstances_UseOnly_mi-optional-
.
W poniższej tabeli wymieniono opcjonalne reguły i trasy, które można modyfikować lub usuwać:
Rodzaj | Nazwa/nazwisko | opis |
---|---|---|
Ruch wychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Opcjonalna reguła zabezpieczeń w celu zachowania wychodzącej łączności HTTPS z platformą Azure. |
Marszruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Opcjonalna trasa do usług AzureCloud w regionie podstawowym. |
Marszruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<sparowane geograficznie> | Opcjonalna trasa do usług AzureCloud w regionie pomocniczym. |
Usuwanie zasad intencji sieci
Efekt zasad intencji sieci w podsieci zatrzymuje się, gdy nie ma więcej klastrów wirtualnych wewnątrz i delegowanie zostanie usunięte. Aby uzyskać szczegółowe informacje na temat cyklu życia klastra wirtualnego, zobacz, jak usunąć podsieć po usunięciu usługi SQL Managed Instance.