Włączanie konfiguracji podsieci wspomaganej przez usługę dla usługi Azure SQL Managed Instance
Dotyczy:
Azure SQL Managed Instance
Ten artykuł zawiera omówienie konfiguracji podsieci wspomaganej przez usługę i sposobu interakcji z podsieciami delegowanymi do usługi Azure SQL Managed Instance. Konfiguracja podsieci wspomagana przez usługę automatyzuje zarządzanie konfiguracją sieci dla zarządzanych podsieci instancji. Ten mechanizm pozostawia użytkownikowi pełną kontrolę nad dostępem do danych, podczas gdy wystąpienie zarządzane przejmuje odpowiedzialność za nieprzerwany przepływ ruchu zarządzania.
Omówienie
Aby zwiększyć bezpieczeństwo usług, możliwości zarządzania i dostępności, usługa SQL Managed Instance automatyzuje zarządzanie niektórymi krytycznymi ścieżkami sieciowymi wewnątrz podsieci użytkownika. Usługa konfiguruje podsieć, przypisaną do niej sieciową grupę zabezpieczeń oraz tabelę tras tak, aby zawierały zestaw wymaganych wpisów.
Mechanizm tego zachowania jest nazywany zasadami intencji sieci. Zasady intencji sieci są automatycznie stosowane do podsieci, gdy podsieć jest najpierw delegowana do dostawcy zasobów Azure SQL Managed Instance Microsoft.Sql/managedInstances. W tym momencie następuje automatyczna konfiguracja. Po usunięciu ostatniego wystąpienia zarządzanego z podsieci zasady intencji sieci zostaną również usunięte z tej podsieci.
Wpływ zasad intencji sieci w delegowanej podsieci
Zasady intencji sieci rozszerzają tabelę tras i sieciową grupę zabezpieczeń skojarzoną z podsiecią, dodając obowiązkowe reguły i trasy oraz opcjonalne reguły i trasy .
Zasady intencji sieci nie uniemożliwiają aktualizacji większości konfiguracji podsieci. Po zmianie tabeli tras podsieci lub zaktualizowaniu reguł sieciowej grupy zabezpieczeń skojarzone zasady intencji sieci sprawdzają, czy obowiązujące trasy i reguły zabezpieczeń są zgodne z wymaganiami usługi Azure SQL Managed Instance. Jeśli tak nie jest, polityka intencji sieci zgłasza błąd, uniemożliwiając zmianę konfiguracji.
To zachowanie zatrzymuje się po usunięciu ostatniego wystąpienia zarządzanego z podsieci i odłączeniu zasad intencji sieci. Nie można go wyłączyć, gdy wystąpienia zarządzane znajdują się w podsieci.
Uwaga
- Zalecamy obsługę oddzielnej tabeli tras i sieciowej grupy zabezpieczeń dla każdej delegowanej podsieci. Automatycznie skonfigurowane reguły i trasy odwołują się do określonych zakresów podsieci, które mogą nakładać się na te w innej podsieci. W przypadku ponownego użycia tablic tras (RT) i grup zabezpieczeń sieci (NSG) w wielu podsieciach delegowanych do usługi Azure SQL Managed Instance, występuje nakładanie się reguł autokonfigurowanych, co może zakłócać działanie reguł dotyczących niepowiązanego ruchu.
- Zalecamy zależność od dowolnego z reguł i tras zarządzanych przez usługę. Zgodnie z regułą zawsze twórz jawne trasy i reguły sieciowej grupy zabezpieczeń dla konkretnych celów. Zarówno obowiązkowe, jak i opcjonalne reguły mogą ulec zmianie.
- Podobnie zalecamy, aby nie aktualizować reguł zarządzanych przez usługę. Ponieważ polityka intencji sieciowej sprawdza tylko skutecznych reguł i tras, można rozszerzyć jedną z reguł automatycznie skonfigurowanych, na przykład otworzyć więcej portów dla ruchu przychodzącego lub rozszerzyć routing na szerszy prefiks. Jednak reguły i trasy skonfigurowane przez usługę mogą ulec zmianie. Najlepiej utworzyć własne trasy i reguły zabezpieczeń, aby osiągnąć pożądany wynik.
Obowiązkowe reguły zabezpieczeń i trasy
Aby zapewnić nieprzerwaną łączność zarządzania dla usługi SQL Managed Instance, niektóre reguły zabezpieczeń i trasy są obowiązkowe i nie można ich usunąć ani zmodyfikować.
Nazwy obowiązkowych reguł i tras zawsze zaczynają się od Microsoft.Sql-managedInstances_UseOnly_mi-. Ten prefiks jest zarezerwowany do użycia usługi Azure SQL Managed Instance. Nie używaj tego prefiksu podczas aktualizowania tablicy tras i grupy zabezpieczeń sieci. Aktualizacje usługi mogą usuwać wszystkie reguły i trasy z tym prefiksem, po czym tylko te obowiązkowe zostaną utworzone ponownie.
W poniższej tabeli wymieniono obowiązkowe reguły i trasy, które są automatycznie wdrażane i wymuszane w podsieci użytkownika:
| Rodzaj | Nazwa/nazwisko | opis |
|---|---|---|
| Ruch przychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Umożliwia przychodzące sondy kondycji ze skojarzonego modułu równoważenia obciążenia w celu uzyskania dostępu do węzłów wystąpienia. Ten mechanizm umożliwia modułowi równoważenia obciążenia śledzenie aktywnych replik bazy danych po przejściu w tryb failover. |
| Ruch przychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Zapewnia wewnętrzną łączność węzłów wymaganą dla operacji zarządzania. |
| Ruch wychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Zapewnia wewnętrzną łączność węzłów wymaganą dla operacji zarządzania. |
| Marszruta | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Gwarantuje, że zawsze istnieje trasa dla węzłów wewnętrznych, aby się ze sobą skontaktować. |
Uwaga
Niektóre podsieci zawierają dodatkowe obowiązkowe reguły zabezpieczeń sieci i trasy, które nie są wymienione na tej stronie, ale nadal używają prefiksu Microsoft.Sql-managedInstances_UseOnly_mi-. Takie reguły są uznawane za przestarzałe i zostaną usunięte w przyszłej aktualizacji usługi.
Opcjonalne reguły zabezpieczeń i trasy
Niektóre reguły i trasy są opcjonalne i można je bezpiecznie usunąć bez zakłócania wewnętrznej łączności zarządzania wystąpieniami zarządzanymi.
Ważne
Opcjonalne reguły i trasy zostaną wycofane w przyszłej aktualizacji usługi. Zalecamy zaktualizowanie procedur wdrażania i konfiguracji sieci, tak aby każde wdrożenie usługi Azure SQL Managed Instance w nowej podsieci było zgodne z jawnym usunięciem i/lub zastąpieniem opcjonalnych reguł i tras.
Aby ułatwić odróżnienie opcjonalnych reguł i tras od obowiązkowych, nazwy opcjonalnych reguł i tras zawsze zaczynają się od Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
W poniższej tabeli wymieniono opcjonalne reguły i trasy, które można modyfikować lub usuwać:
| Rodzaj | Nazwa/nazwisko | opis |
|---|---|---|
| Ruch wychodzący sieciowej grupy zabezpieczeń | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Opcjonalna reguła zabezpieczeń w celu zachowania wychodzącej łączności HTTPS z platformą Azure. |
| Marszruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Opcjonalna trasa do usług AzureCloud w regionie podstawowym. |
| Marszruta | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<sparowane geograficznie> | Opcjonalna trasa do usług AzureCloud w regionie pomocniczym. |
Usuwanie zasad intencji sieci
Efekt zasad intencji sieci w podsieci zatrzymuje się, gdy nie ma więcej klastrów wirtualnych wewnątrz i delegowanie zostanie usunięte. Aby uzyskać szczegółowe informacje na temat cyklu życia klastra wirtualnego, zobacz, jak usunąć podsieć po usunięciu usługi SQL Managed Instance.