你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
为 Azure SQL 托管实例启用服务辅助子网配置
适用于:
Azure SQL 托管实例
本文概述了服务辅助子网配置以及它如何与委派给 Azure SQL 托管实例的子网交互。 服务辅助子网配置可为托管实例子网自动执行网络配置管理。 此机制使用户能够完全控制对数据的访问,而托管实例承担管理流量不间断流的责任。
概述
为提高服务安全性、可管理性和可用性,SQL 托管实例自动管理用户子网内的某些关键网络路径。 该服务配置子网、其关联的网络安全组和路由表以包含一组必需的条目。
此行为背后的机制称为网络意向策略。 首次将子网委派给 Azure SQL 托管实例的资源提供程序 Microsoft.Sql/managedInstances 时,网络意向策略会自动应用于该子网。 此时,自动配置生效。 删除子网的最后一个托管实例时,系统会一并删除该子网的网络意向策略。
网络意图策略对委派子网的影响
网络意向策略通过添加强制性的 以及可选的 规则和路由,来扩展与子网关联的路由表和网络安全组。
网络意向策略不会阻止更新子网的大部分配置。 更改子网的路由表或更新其网络安全组规则时,关联的网络意向策略会检查有效路由和安全规则是否符合 Azure SQL 托管实例的要求。 否则,网络意向策略将引发错误,从而阻止配置更改。
从子网中删除最后一个托管实例并分离网络意图策略后,此行为将停止。 托管实例存在于子网中时,无法将其关闭。
注意
- 建议为每个委派的子网维护单独的路由表和 NSG。 自动配置的规则和路由引用可能与另一子网中的子网范围重叠的特定子网范围。 在委托给 Azure SQL 托管实例的多个子网中重复使用 RT 和 NSG 时,自动配置的规则堆栈可能会干扰管理不相关的流量的规则。
- 建议不要依赖任何服务托管的规则和路由。 通常,始终为特定目的创建显式路由和 NSG 规则。 强制和可选规则都可能会发生变化。
- 同样,我们建议不要更新服务托管的规则。 由于网络意向策略仅检查 有效的 规则和路由,因此可以扩展其中一个自动配置规则,例如,为入站流量打开更多端口或将路由扩展到更广泛的前缀。 但是,服务配置的规则和路由可能会发生变化。 最好创建自己的路由和安全规则来实现所需的结果。
强制性安全规则和路由
为了确保为 SQL 托管实例提供不间断的管理连接,某些安全规则和路由是强制要求实施的,无法移除或修改。
强制规则和路由的名称始终以 Microsoft.Sql-managedInstances_UseOnly_mi-开头。 此前缀保留供 Azure SQL 托管实例专用。 更新路由表和 NSG 时不要使用此前缀。 服务更新可能会删除具有该前缀的所有规则和路由,之后只会重新创建必需的规则和路由。
下表列出了自动部署到用户子网并强制执行的必需规则和路由:
| Kind | 名称 | 描述 |
|---|---|---|
| NSG 入站 | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | 允许来自关联负载均衡器的入站运行状况探测访问实例节点。 此机制允许负载均衡器在故障转移后跟踪活动数据库副本。 |
| NSG 入站 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | 确保管理操作所需的内部节点的连接。 |
| NSG 出站 | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | 确保管理操作所需的内部节点的连接。 |
| 路由 | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | 确保内部节点始终存在能够相互访问的路由。 |
注意
某些子网包含其他必需的网络安全规则和路由,这些规则和路由未在此页中列出,但仍使用 Microsoft.Sql-managedInstances_UseOnly_mi- 前缀。 此类规则被视为已过时,将在将来的服务更新中删除。
可选安全规则和路由
某些规则和路由是可选的,可以安全地删除,而不会影响托管实例的内部管理连接。
重要
将来的服务更新中将停用可选规则和路由。 建议更新部署和网络配置过程,以便新子网中的每个 Azure SQL 托管实例部署都遵循显式删除和/或替换可选规则和路由。
为了帮助区分可选规则和路由与强制性规则和路由,可选规则和路由的名称始终以 Microsoft.Sql-managedInstances_UseOnly_mi-optional- 开头。
下表列出了可修改或移除的可选规则和路由:
| Kind | 名称 | 描述 |
|---|---|---|
| NSG 出站 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | 可选安全规则,用于保持到 Azure 的出站 HTTPS 连接。 |
| 路由 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | 主要区域中指向 AzureCloud 服务的可选路由。 |
| 路由 | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | 次要区域中指向 AzureCloud 服务的可选路由。 |
删除网络意图策略
当子网内没有更多虚拟群集且委派已删除后,网络意图策略对子网的影响将停止。 有关虚拟群集生命周期的详细信息,请参阅删除 SQL 托管实例后如何删除子网。