Включение конфигурации подсети с поддержкой служб для Управляемый экземпляр SQL Azure
Область применения:
Управляемый экземпляр SQL Azure
В этой статье представлен обзор конфигурации подсети, помогающей службе, и способ взаимодействия с подсетями, делегированными для Управляемый экземпляр SQL Azure. Конфигурация подсети, помогающая службам, автоматизирует управление конфигурацией сети для подсетей, на которых размещаются управляемые экземпляры, что позволяет пользователю полностью контролировать доступ к данным (потоки трафика TDS), а управляемый экземпляр отвечает за обеспечение непрерывного потока трафика управления.
Обзор
Для повышения безопасности службы, управляемости и доступности Управляемый экземпляр SQL автоматизирует управление определенными критически важными сетевыми путями в подсети пользователя. Это достигается путем настройки подсети, связанной с ней группы безопасности сети и таблицы маршрутов для хранения набора обязательных записей.
Механизм, который выполняет эту политику, называется политикой намерения сети. Политика намерения сети автоматически применяется к подсети при первом делегировании поставщику Microsoft.Sql/managedInstancesресурсов Управляемый экземпляр SQL Azure. На этом этапе автоматическая конфигурация вступает в силу. При удалении последнего управляемого экземпляра из подсети политика намерения сети также удаляется из этой подсети.
Влияние политики намерения сети на делегированную подсеть
При применении к подсети политика сетевого намерения расширит таблицу маршрутов и группу безопасности сети, связанную с подсетью, добавив обязательные и необязательные правила и маршруты.
При применении к подсети политика намерения сети не будет препятствовать обновлению большей части конфигурации подсети. При изменении таблицы маршрутов подсети или обновлении правил группы безопасности сети политика намерения сети будет проверять, соответствуют ли действующие маршруты и правила безопасности для Управляемый экземпляр SQL Azure. Если это не так, политика сетевого намерения приведет к ошибке и предотвратит обновление конфигурации.
Это поведение останавливается при удалении последнего управляемого экземпляра из подсети, а политика сетевого намерения отсоединяется. Его нельзя отключить, пока управляемые экземпляры присутствуют в подсети.
Примечание.
- Рекомендуется поддерживать отдельную таблицу маршрутов и группу безопасности сети для каждой делегированной подсети. Автоматически настроенные правила и маршруты ссылаются на определенные диапазоны подсети, которые могут существовать в другой подсети. При повторном использовании RTs и групп безопасности сети в нескольких подсетях, делегированных Управляемый экземпляр SQL Azure, автоматически настроенные правила будут стекаться и могут препятствовать правилам, определяющим несвязанный трафик.
- Мы советуем принимать зависимости от любого из правил и маршрутов, управляемых службой. Как правило, всегда создавайте явные маршруты и правила NSG для конкретных целей. Обязательные и необязательные правила могут быть изменены.
- Аналогичным образом мы советуем обновлять управляемые службой правила. Так как политика намерения сети проверяет только действующие правила и маршруты, можно расширить один из автоматически настроенных правил, например открыть дополнительные порты для входящего трафика или расширить маршрутизацию до более широкого префикса. Однако настроенные службой правила и маршруты могут измениться. Лучше всего создать собственные маршруты и правила безопасности для достижения желаемого результата.
Обязательные правила безопасности и маршруты
Чтобы обеспечить непрерывное подключение к управлению для Управляемый экземпляр SQL, некоторые правила безопасности и маршруты являются обязательными и не могут быть удалены или изменены.
Обязательные правила и маршруты всегда начинаются с Microsoft.Sql-managedInstances_UseOnly_mi-.
В следующей таблице перечислены обязательные правила и маршруты, которые применяются и автоматически развертываются в подсети пользователя:
| Вид | Имя | Описание |
|---|---|---|
| Входящий трафик группы безопасности сети | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Позволяет пробам работоспособности входящего трафика из связанной подсистемы балансировки нагрузки достигать узлов экземпляров. Этот механизм позволяет подсистеме балансировки нагрузки отслеживать активные реплики баз данных после отработки отказа. |
| Входящий трафик группы безопасности сети | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Обеспечивает подключение к внутреннему узлу, необходимое для операций управления. |
| Исходящий трафик NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Обеспечивает подключение к внутреннему узлу, необходимое для операций управления. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Гарантирует, что между внутренними узлами всегда есть маршрут. |
Примечание.
Некоторые подсети содержат дополнительные обязательные правила безопасности сети и маршруты, которые не перечислены в обоих разделах выше. Такие правила считаются устаревшими и будут удалены из своих подсетей.
Необязательные правила безопасности и маршруты
Некоторые правила и маршруты являются необязательными и могут быть безопасно удалены без нарушения внутреннего подключения к управлению управляемыми экземплярами. Эти необязательные правила используются для сохранения исходящего подключения управляемых экземпляров, развернутых с предположением, что полное дополнение обязательных правил и маршрутов по-прежнему будет выполняться.
Внимание
Необязательные правила и маршруты будут устарели в будущем. Настоятельно рекомендуется обновить процедуры развертывания и конфигурации сети, чтобы каждое развертывание Управляемый экземпляр SQL Azure в новой подсети выполнялось с явным удалением и (или) заменой необязательных правил и маршрутов, таким образом, чтобы только минимальный необходимый трафик был разрешен для потока.
Чтобы отличить необязательные правила и маршруты, имена необязательных правил и маршрутов всегда начинаются с Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
В следующей таблице перечислены необязательные правила и маршруты, которые можно изменить или удалить:
| Вид | Имя | Описание |
|---|---|---|
| Исходящий трафик NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Необязательное правило безопасности для сохранения исходящего подключения HTTPS к Azure. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<область> | Необязательный маршрут к службам AzureCloud в основном регионе. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<геопарированные> | Необязательный маршрут к службам AzureCloud в дополнительном регионе. |
Удаление политики намерения сети
Влияние политики намерения сети на подсеть останавливается, когда в ней больше виртуальных кластеров и делегирование удаляется. Сведения о жизненном цикле виртуального кластера см. в статье об удалении подсети после удаления Управляемый экземпляр SQL.