Habilitar a configuração de sub-rede auxiliada por serviço para a Instância Gerenciada de SQL do Azure
Aplica-se a: Instância Gerenciada de SQL do Azure
Este artigo fornece uma visão geral da configuração de sub-rede auxiliada por serviço e como ela interage com as sub-redes delegadas para a Instância Gerenciada de SQL do Azure. Uma configuração de sub-rede auxiliada por serviço automatiza o gerenciamento de configuração de rede para sub-redes que hospedam instâncias gerenciadas, deixando o usuário totalmente no controle do acesso aos dados (fluxos de tráfego TDS), enquanto a instância gerenciada é responsável por garantir o fluxo ininterrupto do tráfego de gerenciamento.
Visão geral
Para melhorar a segurança, a capacidade de gerenciamento e a disponibilidade do serviço, a Instância Gerenciada de SQL automatiza o gerenciamento de determinados caminhos de rede críticos dentro da sub-rede do usuário. Isso é feito configurando a sub-rede, seu grupo de segurança de rede associado e a tabela de rotas para conter um conjunto de entradas necessárias.
O mecanismo que faz isso é chamado de política de intenção de rede. Uma política de intenção de rede é aplicada automaticamente à sub-rede quando ela é delegada pela primeira vez ao provedor Microsoft.Sql/managedInstances
de recursos da Instância Gerenciada de SQL do Azure. Nesse ponto, a configuração automática entra em vigor. Quando você exclui uma instância gerenciada de uma sub-rede, a política de intenção de rede também é removida dessa sub-rede.
O efeito da política de intenção de rede na sub-rede delegada
Quando aplicada a uma sub-rede, a política de intenção de rede estenderá a tabela de rotas e o grupo de segurança de rede associados à sub-rede adicionando regras e rotas obrigatórias e opcionais.
Quando aplicada a uma sub-rede, uma política de intenção de rede não impedirá que você atualize a maior parte da configuração da sub-rede. Sempre que você alterar a tabela de rotas da sub-rede ou atualizar suas regras de grupo de segurança de rede, a política de intenção de rede verificará se as rotas efetivas e as regras de segurança estão em conformidade com os requisitos da Instância Gerenciada de SQL do Azure. Caso contrário, a política de intenção de rede causará um erro e impedirá que você atualize a configuração.
Esse comportamento é interrompido quando você remove a última instância gerenciada da sub-rede e a política de intenção de rede é desanexada. Ele não pode ser desativado enquanto as instâncias gerenciadas estiverem presentes na sub-rede.
Observação
- Recomendamos que você mantenha uma tabela de rotas e um NSG separados para cada sub-rede delegada. As regras e rotas configuradas automaticamente fazem referência aos intervalos de sub-rede específicos que podem existir em outra sub-rede. Quando você reutiliza RTs e NSGs em várias sub-redes delegadas à Instância Gerenciada de SQL do Azure, as regras configuradas automaticamente são empilhadas e podem interferir nas regras que regem o tráfego não relacionado.
- Aconselhamos a não depender de qualquer uma das regras e rotas gerenciadas pelo serviço. Como regra, sempre crie rotas explícitas e regras de NSG para suas finalidades específicas. Tanto as regras obrigatórias quanto as opcionais estão sujeitas a alterações.
- Da mesma forma, desaconselhamos a atualização das regras gerenciadas pelo serviço. Como a política de intenção de rede verifica apenas regras e rotas efetivas , é possível estender uma das regras configuradas automaticamente, por exemplo, para abrir portas adicionais para entrada ou estender o roteamento para um prefixo mais amplo. No entanto, as regras e rotas configuradas pelo serviço podem ser alteradas. É melhor criar suas próprias rotas e regras de segurança para alcançar o resultado desejado.
Regras e rotas de segurança obrigatórias
Para garantir a conectividade de gerenciamento ininterrupta para a Instância Gerenciada de SQL, algumas regras e rotas de segurança são obrigatórias e não podem ser removidas ou modificadas.
As regras e rotas obrigatórias sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-
.
A tabela a seguir lista as regras e rotas obrigatórias que são impostas e implantadas automaticamente na sub-rede do usuário:
Tipo | Nome | Descrição |
---|---|---|
Entrada NSG | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permite que as investigações sobre a integridade da entrada do balanceador de carga associado alcancem os nós da instância. Esse mecanismo permite que o balanceador de carga acompanhe as réplicas de banco de dados ativas após um failover. |
Entrada NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garante a conectividade do nó interno necessária para as operações de gerenciamento. |
Saída NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garante a conectividade do nó interno necessária para as operações de gerenciamento. |
Rota | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Garante uma rota permanente para que os nós internos alcancem uns aos outros. |
Observação
Algumas sub-redes contêm outras regras e rotas de segurança de rede obrigatórias que não estão listadas em nenhuma das duas seções acima. Essas regras são consideradas obsoletas e serão removidas de suas sub-redes.
Regras e rotas de segurança opcionais
Algumas regras e rotas são opcionais e podem ser removidas com segurança sem prejudicar a conectividade do gerenciamento interno das instâncias gerenciadas. Essas regras opcionais são usadas para preservar a conectividade de saída das instâncias gerenciadas implantadas, presumindo que o complemento total das regras e rotas obrigatórias ainda estará em vigor.
Importante
Regras e rotas opcionais serão preteridas no futuro. É altamente recomendável que você atualize seus procedimentos de implantação e configuração de rede para que cada implantação da Instância Gerenciada de SQL do Azure em uma nova sub-rede seja seguida por uma remoção e/ou substituição explícita das regras e rotas opcionais, de modo que apenas o tráfego mínimo necessário tenha permissão para fluir.
Para diferenciar regras e rotas opcionais das obrigatórias, os nomes das regras e rotas opcionais sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-optional-
.
A tabela a seguir lista as regras e rotas opcionais que podem ser modificadas ou removidas:
Tipo | Nome | Descrição |
---|---|---|
Saída NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regra de segurança opcional para preservar a conectividade HTTPS de saída com o Azure. |
Rota | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Rota opcional para os serviços AzureCloud na região primária. |
Rota | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Rota opcional para os serviços do AzureCloud na região secundária. |
Remover a política de intenção de rede
O efeito da política de intenção de rede na sub-rede é interrompido quando não há mais clusters virtuais dentro e a delegação é removida. Para obter detalhes do tempo de vida do cluster virtual, confira como excluir uma sub-rede após excluir a Instância Gerenciada de SQL.