Автоматические внутренние тесты подключения для Управляемый экземпляр SQL Azure

Применимо к:Управляемый экземпляр SQL Azure

В этой статье описываются автоматические внутренние тесты подключения, выполняемые на Управляемый экземпляр SQL Azure для мониторинга надежности службы и ускорения обнаружения проблем.

Эти тесты полностью автоматизированы и не требуют от вас никаких действий. Упреждающий мониторинг внутренних сетевых подключений позволяет Microsoft быстро выявлять потенциальные проблемы и поддерживать стабильное сквозное подключение.

Тесты подключения выполняются из пары внутренних IP-адресов из диапазона подсети, на котором размещен управляемый экземпляр SQL. Тесты не требуют внешнего входящего или исходящего подключения. Дополнительные IP-адреса зарезервированы для тестов подключения, а трассировки могут отображаться в журналах наблюдаемости.

Начиная с мая 2026 года тесты подключения выполняются через регулярные интервалы во всех управляемых экземплярах SQL.

Benefits

Автоматические внутренние тесты подключения предоставляют следующие преимущества:

  • Диагностика проблем с внутренней службой и доступностью сети.
  • Ускорьте обнаружение проблем и уменьшите время устранения рисков.
  • Улучшение видимости внутреннего сетевого состояния Управляемый экземпляр SQL.

Результаты тестирования используются только внутри системы и не отображаются в Состояние службы или Состояние ресурса.

Операционные последствия

Внутренние тесты подключения оказывают следующее влияние на работу:

  • Для каждой группы виртуальных машин подготавливаются два дополнительных IP-адреса, увеличивая требование IP-адреса от шести до восьми. Дополнительные сведения см. в разделе "Определение размера и диапазона подсети".
  • Тесты выполняются каждые 10 секунд и оказывают незначительное влияние на производительность сети и производительности служб.
  • Новые подсети, созданные для управляемых экземпляров SQL, автоматически резервируют дополнительные IP-адреса, необходимые для проверок подключения.
  • В существующих подсетях с управляемыми экземплярами SQL тесты резервируют дополнительные IP-адреса, только если в подсети достаточно свободных IP-адресов для выделения дополнительных IP-адресов, необходимых для выполнения тестов. Если у существующей подсети недостаточно бесплатных IP-адресов, тесты не выполняются.

Вопросы безопасности

Следующие принципы безопасности помогут разработать внутренние тесты подключения:

  • Тесты относятся к одному управляемому экземпляру SQL и выполняются внутри делегированной виртуальной сети и подсети.
  • Тесты подключения не могут получить доступ к содержимому любой базы данных.
  • Результаты теста не содержат данных клиента за пределами имени экземпляра.
  • Только Microsoft инженеры могут получить доступ к результатам.
  • Системы аудита могут регистрировать неудачные попытки входа, вызванные тестами. Дополнительные сведения о том, как определить эти записи, см. в разделе Отслеживание неудачных попыток входа, вызванных сквозными тестами.

Выполненные тесты

Следующие тесты подключения выполняются автоматически:

Test Description
Подключение подсистемы балансировки нагрузки Проверяет подключение к внутренней подсистеме балансировки нагрузки.
Разрешение внутренних DNS-имен Проверяет правильное разрешение внутренних DNS-имен.
доступность зависимостей инфраструктуры Azure Проверяет доступность зависимостей инфраструктуры Azure.
Сквозное подключение к экземпляру в пределах подсети Проверяет полный путь подключения к Управляемый экземпляр SQL Azure, выполняя попытку входа с помощью заведомо недействительных учетных данных (AzureSQLConnectivityChecker).

Отслеживайте неудачные попытки входа, вызванные end-to-end-тестами

Сквозной тест подключения намеренно выполняет неудачную попытку входа, чтобы проверить весь путь подключения. Тест использует учетные данные для входа AzureSQLConnectivityChecker, которых не существует, и ожидает, что Управляемый экземпляр SQL Azure вернет ошибку 18456. Эта ошибка проверяет, работает ли весь сетевой путь к Управляемый экземпляр SQL.

Инструменты наблюдаемости SQL могут обнаружить эти неуспешные попытки входа. Используйте следующие подписи, чтобы определить записи теста подключения и отличить их от подлинных неудачных попыток входа.

Следующие инструменты наблюдаемости обнаруживают неудачные попытки входа:

Журналы аудита

При включении FAILED_LOGIN_GROUPсобытия аудита отображаются примерно каждые 10 секунд в AzureDiagnostics:

Столбец Value
Category SQLSecurityAuditEvents
ResourceType MANAGEDINSTANCES
action_id_s LGIF
server_principal_name_s AzureSQLConnectivityChecker
client_ip_s IP-адрес в диапазоне подсети

Расширенные события

Расширенные сеансы событий, которые фиксируют sqlserver.error_reportederror_number = 18456 и severity = 14 отображают следующие атрибуты:

Атрибут Value
category LOGON
error_number 18456
severity 14
state Переменная (зависит от конфигурации проверки подлинности)
message Переменная (зависит от конфигурации проверки подлинности)
sqlazure.is_azure_connection True

Например, если проверка подлинности SQL отключена в управляемом экземпляре SQL, состояние равно 170 и сообщение указывает, что включена проверка подлинности только Microsoft Entra.

Журналы ошибок SQL

В sp_readerrorlog неудачные попытки входа во время теста подключения отображаются в виде пар строк:

Столбец Value
ProcessInfo Logon
Text Error: 18456, Severity: 14, State: (переменная) .

и

Столбец Value
ProcessInfo Logon
Text Сообщение зависит от конфигурации проверки подлинности

Например, если проверка подлинности SQL отключена, сообщение указывает, что проверка подлинности только Microsoft Entra включена и включает IP-адрес подсети.