Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Область применения:
Управляемый экземпляр SQL Azure
В этой статье представлен обзор конфигурации подсети, помогающей службе, и способ взаимодействия с подсетями, делегированными для Управляемый экземпляр SQL Azure. Конфигурация подсети, помогающая службам, автоматизирует управление конфигурацией сети для подсетей управляемого экземпляра SQL. Этот механизм оставляет пользователя полностью контролировать доступ к данным, в то время как управляемый экземпляр SQL берет на себя ответственность за обеспечение непрерывности потока трафика управления.
Обзор
Для повышения безопасности службы, управляемости и доступности Управляемый экземпляр SQL автоматизирует управление определенными критически важными сетевыми путями в подсети пользователя. Служба настраивает подсеть, связанную с ней группу безопасности сети и таблицу маршрутов для хранения набора обязательных записей.
Механизм, лежащий в основе этого поведения, называется политикой намерения сети. Политика намерения сети автоматически применяется к подсети, когда подсеть сначала делегирована поставщику ресурсов Управляемого экземпляра SQL Azure Microsoft.Sql/managedInstances. На этом этапе автоматическая конфигурация вступает в силу. При удалении последнего управляемого экземпляра SQL из подсети политика намерения сети также удаляется из этой подсети.
Влияние политики намерения сети на делегированную подсеть
Политика намерения сети расширяет таблицу маршрутов и группу безопасности сети, связанную с подсетью, добавляя обязательные правила и маршруты , а также необязательные правила и маршруты .
Политика намерения сети не препятствует обновлению большей части конфигурации подсети. При изменении таблицы маршрутов подсети или обновлении правил группы безопасности сети связанная политика намерения сети проверяет, соответствуют ли действующие маршруты и правила безопасности для Управляемого экземпляра SQL Azure. Если это не так, политика намерений сети создает ошибку, препятствующую изменению конфигурации.
Это поведение останавливается при удалении последнего управляемого экземпляра SQL из подсети, а политика намерения сети отсоединяется. Его нельзя отключить, пока управляемые экземпляры SQL присутствуют в подсети.
Рассмотрим следующие моменты:
- Рекомендуется поддерживать отдельную таблицу маршрутов и группу безопасности сети для каждой делегированной подсети. Автоматически настроенные правила и маршруты ссылаются на определенные диапазоны подсети, которые могут перекрываться с этими диапазонами в другой подсети. При повторном использовании таблиц маршрутов и групп безопасности сети в нескольких подсетях, делегированных управляемому экземпляру SQL Azure, стек автоконфигурированных правил может препятствовать правилам, определяющим несвязанный трафик.
- Мы советуем принимать зависимости от любого из правил и маршрутов, управляемых службой. Как правило, всегда создавайте явные маршруты и правила NSG для конкретных целей. Обязательные и необязательные правила могут быть изменены.
- Аналогичным образом мы советуем не обновлять управляемые службой правила. Так как политика намерения сети проверяет наличие эффективных правил и маршрутов, можно расширить один из автоматически настроенных правил. Например, чтобы открыть больше портов для входящего трафика или расширить маршрутизацию до более широкого префикса. Однако настроенные службой правила и маршруты могут измениться. Лучше всего создать собственные маршруты и правила безопасности, чтобы достичь желаемого результата.
Обязательные правила безопасности и маршруты
Чтобы обеспечить непрерывное подключение к управлению для Управляемый экземпляр SQL, некоторые правила безопасности и маршруты являются обязательными и не могут быть удалены или изменены.
Имена обязательных правил и маршрутов всегда начинаются с Microsoft.Sql-managedInstances_UseOnly_mi-. Этот префикс зарезервирован для использования управляемого экземпляра SQL Azure. Не используйте этот префикс при обновлении таблицы маршрутов и сетевой группы безопасности. Обновления службы могут удалять все правила и маршруты с этим префиксом, после чего будут повторно созданы только обязательные.
В следующей таблице перечислены обязательные правила и маршруты, которые автоматически развертываются в подсети пользователя и применяются к ней:
| Вид | Имя | Описание |
|---|---|---|
| Входящий трафик группы безопасности сети | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Позволяет пробам работоспособности входящего трафика из связанной подсистемы балансировки нагрузки достигать узлов экземпляров. Этот механизм позволяет подсистеме балансировки нагрузки отслеживать активные реплики баз данных после отработки отказа. |
| Входящий трафик группы безопасности сети | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Обеспечивает подключение к внутреннему узлу, необходимое для операций управления. |
| Исходящий трафик NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Обеспечивает подключение к внутреннему узлу, необходимое для операций управления. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Гарантирует, что между внутренними узлами всегда есть маршрут. |
Примечание.
Некоторые подсети могут содержать дополнительные правила безопасности сети и маршруты, использующие Microsoft.Sql-managedInstances_UseOnly_mi- префикс. Эти правила и маршруты также являются обязательными при наличии, но могут быть удалены в будущем обновлении службы.
Необязательные правила безопасности и маршруты
Некоторые правила и маршруты являются необязательными и могут быть безопасно удалены без нарушения внутреннего подключения к управлению экземплярами SQLmanaged.
Внимание
Необязательные правила и маршруты будут выведены из эксплуатации в последующих обновлениях службы. Мы рекомендуем обновить процедуры развертывания и конфигурации сети таким образом, чтобы каждое развертывание Управляемого экземпляра SQL Azure в новой подсети выполнялось с явным удалением и (или) заменой необязательных правил и маршрутов.
Чтобы отличить необязательные правила и маршруты, имена необязательных правил и маршрутов всегда начинаются с Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
В следующей таблице перечислены необязательные правила и маршруты, которые можно изменить или удалить:
| Вид | Имя | Описание |
|---|---|---|
| Исходящий трафик NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Необязательное правило безопасности для сохранения исходящего подключения HTTPS к Azure. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<область> | Необязательный маршрут к службам AzureCloud в основном регионе. |
| Маршрут | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<геопарированные> | Необязательный маршрут к службам AzureCloud в дополнительном регионе. |
Удалите политику намерения сети
Влияние политики намерения сети на подсеть останавливается, если в ней больше нет виртуальных кластеров , и делегирование удаляется. Сведения о жизненном цикле виртуального кластера см. в статье об удалении подсети после удаления Управляемый экземпляр SQL.