Habilitación de la configuración de subred asistida por servicio para Azure SQL Managed Instance

Se aplica a: Azure SQL Managed Instance

En este artículo se ofrece una descripción general de la configuración de subredes asistida por servicios y cómo interactúa con las subredes delegadas a Azure SQL Managed Instance. Una configuración de subred asistida por servicio automatiza la administración de la configuración de red para las subredes que hospedan instancias administradas, lo que concede al usuario el control total sobre el acceso a los datos (flujos de tráfico de TDS), mientras que la instancia administrada es responsable de garantizar un flujo ininterrumpido del tráfico de administración para cumplir los acuerdos de nivel de servicio.

Información general

Para mejorar la seguridad del servicio, la capacidad de administración y la disponibilidad, SQL Managed Instance automatiza la administración de determinadas rutas de red críticas dentro de la subred del usuario. Esto se logra configurando la subred, su grupo de seguridad de red asociado y la tabla de rutas para contener un conjunto de entradas necesarias.

El mecanismo que logra esto se denomina directiva de intención de red. Una directiva de intención de red se aplica automáticamente a la subred cuando se delega por primera vez al proveedor Microsoft.Sql/managedInstances de recursos de Azure SQL Managed Instance. En ese momento, la configuración automática surte efecto. Cuando se elimina la última instancia administrada de una subred, también se quita la directiva de intención de red de esa subred.

El efecto de la directiva de intención de red en la subred delegada

Cuando se aplica a una subred, la directiva de intención de red extenderá la tabla de rutas y el grupo de seguridad de red asociados a la subred agregando reglas y rutas obligatorias y opcionales.

Mientras se aplica a una subred, una directiva de intención de red no le impedirá actualizar la mayoría de la configuración de la subred. Cada vez que cambie la tabla de rutas de la subred o actualice sus reglas de grupo de seguridad de red, la directiva de intención de red comprobará si las rutas eficaces y las reglas de seguridad cumplen los requisitos de Azure SQL Managed Instance. Si no lo hacen, la directiva de intención de red provocará un error y le impedirá actualizar la configuración.

Este comportamiento se detiene cuando se quita la última instancia administrada de la subred y se desasocia la directiva de intención de red. No se puede desactivar mientras las instancias administradas están presentes en la subred.

Nota:

  • Le recomendamos que mantenga una tabla de rutas independiente y un grupo de seguridad de red para cada subred delegada. Las reglas y rutas configuradas automáticamente hacen referencia a los intervalos de subredes específicos que pueden existir en otra subred. Al reutilizar RT y NSG en varias subredes delegadas a Azure SQL Managed Instance, las reglas configuradas automáticamente se apilan y pueden interferir con las reglas que rigen el tráfico no relacionado.
  • Se recomienda tomar la dependencia de cualquiera de las reglas y rutas administradas por el servicio. Como regla, cree siempre rutas explícitas y reglas de NSG para sus fines concretos. Las reglas obligatorias y opcionales están sujetas a cambios.
  • Del mismo modo, se recomienda actualizar las reglas administradas por el servicio. Dado que la directiva de intención de red solo comprueba las reglas y rutas eficaces, es posible ampliar una de las reglas configuradas automáticamente, por ejemplo, para abrir puertos adicionales para entrantes o para ampliar el enrutamiento a un prefijo más amplio. Sin embargo, las reglas y rutas configuradas por el servicio pueden cambiar. Es mejor crear sus propias rutas y reglas de seguridad para lograr el resultado deseado.

Reglas y rutas de seguridad obligatorias

Para garantizar la conectividad de administración ininterrumpida para SQL Managed Instance, algunas reglas de seguridad y rutas son obligatorias y no se pueden quitar ni modificar.

Las reglas y rutas obligatorias siempre comienzan por Microsoft.Sql-managedInstances_UseOnly_mi-.

En la tabla siguiente se enumeran las reglas y rutas obligatorias que se aplican y se implementan automáticamente en la subred del usuario:

Clase Nombre Descripción
NSG entrante Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in Permite que los sondeos de estado de entrada del equilibrador de carga asociado lleguen a los nodos de instancia. Este mecanismo permite al equilibrador de carga realizar un seguimiento de las réplicas de base de datos activas después de una conmutación por error.
NSG entrante Microsoft.Sql-managedInstances_UseOnly_mi-internal-in Garantiza la conectividad interna del nodo necesaria para las operaciones de administración.
NSG saliente Microsoft.Sql-managedInstances_UseOnly_mi-internal-out Garantiza la conectividad interna del nodo necesaria para las operaciones de administración.
Ruta Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal Garantiza que siempre haya una ruta para que los nodos internos se alcancen entre sí.

Nota:

Algunas subredes pueden contener reglas de seguridad de red y rutas obligatorias adicionales que no aparecen en ninguna de las dos secciones anteriores. Estas reglas se consideran obsoletas y se quitarán de sus subredes.

Reglas y rutas de seguridad opcionales

Algunas reglas y rutas son opcionales y se pueden quitar de forma segura sin afectar a la conectividad de administración interna de las instancias administradas. Estas reglas opcionales se usan para conservar la conectividad saliente de las instancias administradas que se implementan con la suposición de que el complemento completo de las reglas y rutas obligatorias seguirá estando en vigor.

Importante

Las reglas y rutas opcionales quedarán en desuso en el futuro. Te recomendamos encarecidamente que actualices los procedimientos de implementación y configuración de red, de modo que a cada implementación de Azure SQL Managed Instance en una nueva subred le siga con la eliminación explícita o sustitución de las reglas y rutas opcionales, de forma que solo se permita que fluya el tráfico mínimo necesario.

Para ayudar a diferenciar las reglas y rutas obligatorias, los nombres de las reglas y rutas opcionales siempre comienzan por Microsoft.Sql-managedInstances_UseOnly_mi-optional-.

En la tabla siguiente se enumeran las reglas y rutas opcionales que se pueden modificar o quitar:

Clase Nombre Descripción
NSG saliente Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out Regla de seguridad opcional para conservar la conectividad HTTPS saliente a Azure.
Ruta Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> Ruta opcional a los servicios de AzureCloud en la región primaria.
Ruta Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> Ruta opcional a los servicios de AzureCloud en la región secundaria.

Eliminación de la directiva de intención de red

El efecto de la directiva de intención de red en la subred se detiene cuando no hay más clústeres virtuales dentro y se quita la delegación. Para obtener más información sobre el ciclo de vida del clúster virtual, consulte cómo eliminar una subred después de eliminar SQL Managed Instance.