Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
Управляемый экземпляр SQL Azure
В этой статье представлен обзор конфигурации подсети, помогающей службе, и способ взаимодействия с подсетями, делегированными для Управляемый экземпляр SQL Azure. Конфигурация подсетей с помощью службы автоматизирует управление сетевой конфигурацией для подсетей управляемых экземпляров. Этот механизм оставляет пользователя в полном контроле над доступом к данным, в то время как управляемый экземпляр принимает на себя ответственность за непрерывный поток управляющего трафика.
Обзор
Для повышения безопасности службы, управляемости и доступности Управляемый экземпляр SQL автоматизирует управление определенными критически важными сетевыми путями в подсети пользователя. Служба настраивает подсеть, связанную с ней группу безопасности сети и таблицу маршрутов для хранения набора обязательных записей.
Механизм, лежащий в основе этого поведения, называется политикой намерения сети. Политика намерения сети автоматически применяется к подсети, когда подсеть сначала делегирована поставщику ресурсов Управляемого экземпляра SQL Azure Microsoft.Sql/managedInstances. На этом этапе автоматическая конфигурация вступает в силу. При удалении последнего управляемого экземпляра из подсети политика намерения сети также удаляется из этой подсети.
Влияние политики намерения сети на делегированную подсеть
Политика намерения сети расширяет таблицу маршрутов и группу безопасности сети, связанную с подсетью, добавляя обязательные правила и маршруты , а также необязательные правила и маршруты .
Политика намерения сети не препятствует обновлению большей части конфигурации подсети. При изменении таблицы маршрутов подсети или обновлении правил группы безопасности сети связанная политика намерения сети проверяет, соответствуют ли действующие маршруты и правила безопасности для Управляемого экземпляра SQL Azure. Если это не так, политика намерений сети создает ошибку, препятствующую изменению конфигурации.
Это поведение останавливается при удалении последнего управляемого экземпляра из подсети, а политика сетевого намерения отсоединяется. Его нельзя отключить, пока управляемые экземпляры присутствуют в подсети.
Примечание.
- Рекомендуется поддерживать отдельную таблицу маршрутов и группу безопасности сети для каждой делегированной подсети. Автоматически настроенные правила и маршруты ссылаются на определенные диапазоны подсети, которые могут перекрываться с этими диапазонами в другой подсети. При повторном использовании таблиц маршрутизации (RT) и групп безопасности сети (NSG) в нескольких подсетях, делегированных управляемому экземпляру SQL Azure, автоматически настроенные правила накапливаются и могут вмешиваться в правила, управляющие несвязанным трафиком.
- Мы советуем принимать зависимости от любого из правил и маршрутов, управляемых службой. Как правило, всегда создавайте явные маршруты и правила NSG для конкретных целей. Обязательные и необязательные правила могут быть изменены.
- Аналогичным образом, мы советуем не обновлять управляемые службой правила. Поскольку политика намерения сети проверяет наличие только эффективных правил и маршрутов, можно расширить одно из автонастроенных правил, например, открыть больше портов для входящего трафика или расширить маршрутизацию до более широкого префикса. Однако настроенные службой правила и маршруты могут измениться. Лучше всего создать собственные маршруты и правила безопасности, чтобы достичь желаемого результата.
Обязательные правила безопасности и маршруты
Чтобы обеспечить непрерывное подключение к управлению для Управляемый экземпляр SQL, некоторые правила безопасности и маршруты являются обязательными и не могут быть удалены или изменены.
Имена обязательных правил и маршрутов всегда начинаются с Microsoft.Sql-managedInstances_UseOnly_mi-. Этот префикс зарезервирован для использования управляемого экземпляра SQL Azure. Не используйте этот префикс при обновлении таблицы маршрутов и сетевой группы безопасности. Обновления службы могут удалять все правила и маршруты с этим префиксом, после чего будут повторно созданы только обязательные.
В следующей таблице перечислены обязательные правила и маршруты, которые автоматически развертываются в подсети пользователя и применяются к ней:
| Вид | Имя | Описание |
|---|---|---|
| Входящий трафик группы безопасности сети | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Позволяет пробам работоспособности входящего трафика из связанной подсистемы балансировки нагрузки достигать узлов экземпляров. Этот механизм позволяет подсистеме балансировки нагрузки отслеживать активные реплики баз данных после отработки отказа. |
| Входящий трафик группы безопасности сети | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Обеспечивает подключение к внутреннему узлу, необходимое для операций управления. |
| Исходящий трафик NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Обеспечивает подключение к внутреннему узлу, необходимое для операций управления. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Гарантирует, что между внутренними узлами всегда есть маршрут. |
Примечание.
Некоторые подсети содержат дополнительные обязательные правила безопасности сети и маршруты, которые не указаны на этой странице, но по-прежнему используют префикс Microsoft.Sql-managedInstances_UseOnly_mi-. Такие правила считаются устаревшими и будут удалены в будущем обновлении службы.
Необязательные правила безопасности и маршруты
Некоторые правила и маршруты являются необязательными и могут быть безопасно удалены без нарушения внутреннего подключения к управлению управляемыми экземплярами.
Внимание
Необязательные правила и маршруты будут выведены из эксплуатации в последующих обновлениях службы. Мы рекомендуем обновить процедуры развертывания и конфигурации сети таким образом, чтобы каждое развертывание Управляемого экземпляра SQL Azure в новой подсети выполнялось с явным удалением и (или) заменой необязательных правил и маршрутов.
Чтобы отличить необязательные правила и маршруты, имена необязательных правил и маршрутов всегда начинаются с Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
В следующей таблице перечислены необязательные правила и маршруты, которые можно изменить или удалить:
| Вид | Имя | Описание |
|---|---|---|
| Исходящий трафик NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Необязательное правило безопасности для сохранения исходящего подключения HTTPS к Azure. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<область> | Необязательный маршрут к службам AzureCloud в основном регионе. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<геопарированные> | Необязательный маршрут к службам AzureCloud в дополнительном регионе. |
Удаление политики намерения сети
Влияние политики намерения сети на подсеть останавливается, когда в ней больше виртуальных кластеров и делегирование удаляется. Сведения о жизненном цикле виртуального кластера см. в статье об удалении подсети после удаления Управляемый экземпляр SQL.