Aktivera tjänststödd undernätskonfiguration för Azure SQL Managed Instance
gäller för:
Azure SQL Managed Instance
Den här artikeln innehåller en översikt över tjänststödd undernätskonfiguration och hur den interagerar med de undernät som delegerats till Azure SQL Managed Instance. Tjänststödd undernätskonfiguration automatiserar nätverkskonfigurationshantering för undernät för hanterade instanser. Den här mekanismen ger användaren fullständig kontroll över åtkomsten till data medan den hanterade instansen tar på sig ansvaret för det oavbrutna flödet av hanteringstrafik.
Överblick
För att förbättra tjänstens säkerhet, hanterbarhet och tillgänglighet automatiserar SQL Managed Instance hanteringen av vissa kritiska nätverksvägar i användarens undernät. Tjänsten konfigurerar undernätet, dess associerade nätverkssäkerhetsgrupp och routningstabellen så att den innehåller en uppsättning obligatoriska poster.
Mekanismen bakom det här beteendet kallas nätverksintenspolicy. En princip för nätverks avsikt tillämpas automatiskt på undernätet när undernätet först delegeras till Azure SQL Managed Instances resursprovider Microsoft.Sql/managedInstances. Då börjar den automatiska konfigurationen att gälla. När du tar bort den senaste hanterade instansen från ett undernät tas även principen för nätverks avsikt bort från undernätet.
Effekten av en princip för nätverks avsikt på det delegerade undernätet
En policy för nätverksavsikt utökar routingstabellen och nätverkssäkerhetsgruppen som är associerad med undernätet genom att lägga till obligatoriska och valfria regler och rutter.
En princip för nätverks avsikt hindrar dig inte från att uppdatera det mesta av undernätets konfiguration. När du ändrar undernätets routningstabell eller uppdaterar dess regler för nätverkssäkerhetsgrupp kontrollerar den associerade nätverksavsiktspolicyn om de effektiva rutterna och säkerhetsreglerna uppfyller kraven för Azure SQL Managed Instance. Om de inte gör det genererar principen för nätverks avsikt ett fel, vilket förhindrar ändringen i konfigurationen.
Det här beteendet upphör när du tar bort den sista hanterade instansen från undernätet och nätverksintentsprincipen kopplas bort. Det kan inte stängas av medan hanterade instanser finns i undernätet.
Not
- Vi rekommenderar att du underhåller en separat routningstabell och NSG för varje delegerat undernät. Autokonfigurerade regler och rutter refererar till de specifika undernätsintervall som kan överlappa dem i ett annat undernät. När du återanvänder RT och NSG:er i flera undernät som delegerats till Azure SQL Managed Instance, staplar automatiskt konfigurerade regler och kan störa reglerna för orelaterad trafik.
- Vi rekommenderar att du inte är beroende av någon av de tjänsthanterade reglerna och rutterna. Som regel skapar du alltid explicita vägar och NSG-regler för dina specifika syften. Både de obligatoriska och valfria reglerna kan komma att ändras.
- På samma sätt rekommenderar vi att inte uppdatera de tjänsthanterade reglerna. Eftersom principen för nätverks avsikt endast söker efter effektiva regler och vägar är det möjligt att utöka en av de automatiskt konfigurerade reglerna, till exempel för att öppna fler portar för inkommande trafik eller utöka routning till ett bredare prefix. Tjänstkonfigurerade regler och vägar kan dock ändras. Det är bäst att skapa egna vägar och säkerhetsregler för att uppnå önskat resultat.
Obligatoriska säkerhetsregler och vägar
För att säkerställa oavbruten hanteringsanslutning för SQL Managed Instance är vissa säkerhetsregler och vägar obligatoriska och kan inte tas bort eller ändras.
Namnen på obligatoriska regler och vägar börjar alltid med Microsoft.Sql-managedInstances_UseOnly_mi-. Det här prefixet är reserverat för användning av Azure SQL Managed Instance. Använd inte det här prefixet när du uppdaterar routningstabellen och NSG:n. Tjänstuppdateringar kan ta bort alla regler och vägar med det prefixet, varefter endast de obligatoriska kommer att återskapas.
I följande tabell visas de obligatoriska regler och vägar som automatiskt distribueras till och tillämpas på användarens undernät:
| Typ | Namn | Beskrivning |
|---|---|---|
| Inkommande NSG | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Tillåter att den associerade lastbalanserarens inkommande hälsoavsökningar når instansnoderna. Med den här mekanismen kan lastbalanseraren hålla reda på aktiva databasrepliker efter en redundansväxling. |
| Inkommande NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Säkerställer den interna nodanslutning som krävs för hanteringsåtgärder. |
| Utgående NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Säkerställer den interna nodanslutning som krävs för hanteringsåtgärder. |
| Väg | Microsoft.Sql-managedInstances_UseOnly_mi-subnet –<intervall>-to-vnetlocal | Säkerställer att det alltid finns en väg för de interna noderna att nå varandra. |
Not
Vissa undernät innehåller ytterligare obligatoriska nätverkssäkerhetsregler och vägar som inte visas på den här sidan, men som fortfarande använder prefixet Microsoft.Sql-managedInstances_UseOnly_mi-. Sådana regler anses vara föråldrade och tas bort i en framtida tjänstuppdatering.
Valfria säkerhetsregler och vägar
Vissa regler och vägar är valfria och kan tas bort på ett säkert sätt utan att försämra den interna hanteringsanslutningen för hanterade instanser.
Viktig
Valfria regler och rutter dras tillbaka i en framtida tjänsteuppdatering. Vi rekommenderar att du uppdaterar dina distributions- och nätverkskonfigurationsprocedurer så att varje distribution av Azure SQL Managed Instance i ett nytt undernät följs med en explicit borttagning och/eller ersättning av valfria regler och vägar.
För att skilja mellan valfria och obligatoriska regler och vägar börjar namnen på valfria regler och vägar alltid med Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
I följande tabell visas de valfria regler och vägar som kan ändras eller tas bort:
| Typ | Namn | Beskrivning |
|---|---|---|
| Utgående NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Valfri säkerhetsregel för att bevara utgående HTTPS-anslutning till Azure. |
| Väg | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Valfri väg till AzureCloud-tjänster i den primära regionen. |
| Väg | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-parat> | Valfri väg till AzureCloud-tjänster i den sekundära regionen. |
Ta bort policyn för nätverksavsikt
Effekten av en princip för nätverksavsikt på undernätet stoppas när det inte finns fler virtuella kluster inuti och delegeringen tas bort. Mer information om livscykeln för det virtuella klustret finns i hur du ta bort ett undernät när du har tagit bort SQL Managed Instance.