Compartir a través de

为 Azure SQL 托管实例启用服务辅助子网配置

适用于:Azure SQL 托管实例

本文概述了服务辅助子网配置以及它如何与委派给 Azure SQL 托管实例的子网交互。 服务辅助子网配置可为承载托管实例的子网自动完成网络配置管理,使用户完全控制对数据(TDS 流量流)的访问,而托管实例负责确保管理流量的不间断流动。

概述

为提高服务安全性、可管理性和可用性,SQL 托管实例自动管理用户子网内的某些关键网络路径。 这可以通过配置子网、其关联的网络安全组和路由表来包含一组必需的条目来实现。

实现这一目标的机制称为网络意图策略。 当子网首次委派给 Azure SQL 托管实例的资源提供程序 Microsoft.Sql/managedInstances 时,网络意图策略会自动应用于该子网。 此时,自动配置生效。 删除子网的最后一个托管实例时,系统会一并删除该子网的网络意向策略。

网络意图策略对委派子网的影响

应用于子网时,网络意图策略将通过添加强制和可选的规则和路由来扩展与该子网关联的路由表和网络安全组。

应用于子网时,网络意图策略不会阻止你更新大部分子网配置。 每当更改子网的路由表或更新其网络安全组规则时,网络意图策略将检查有效路由和安全规则是否符合 Azure SQL 托管实例的要求。 如果不符合,网络意图策略将导致错误,并阻止你更新配置。

从子网中删除最后一个托管实例并分离网络意图策略后,此行为将停止。 子网中存在托管实例时,无法将其关闭。

注意

  • 建议为每个委派的子网维护单独的路由表和 NSG。 自动配置的规则和路由会引用可能位于其他子网中的特定子网范围。 在委派给 Azure SQL 托管实例的多个子网中重复使用 RT 和 NSG 时,自动配置的规则将堆叠,并可能会干扰管理不相关的流量的规则。
  • 建议不要依赖任何服务托管的规则和路由。 通常,始终为特定目的创建显式路由和 NSG 规则。 强制和可选规则都可能会发生变化。
  • 同样,我们建议不要更新服务托管规则。由于网络意图策略仅检查有效的规则和路由,因此可以扩展其中一个自动配置的规则,例如打开其他端口进行入站或将路由扩展到更广泛的前缀。 但是,服务配置的规则和路由可能会发生变化。 最好创建自己的路由和安全规则以实现所需的结果。

强制性安全规则和路由

为了确保为 SQL 托管实例提供不间断的管理连接,某些安全规则和路由是强制要求实施的,无法移除或修改。

强制性规则和路由始终以 Microsoft.Sql-managedInstances_UseOnly_mi- 开头。

下表列出了强制要求实施并自动部署到用户子网的强制性规则和路由:

Kind 名称 描述
NSG 入站 Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in 允许来自关联负载均衡器的入站运行状况探测访问实例节点。 此机制允许负载均衡器在故障转移后跟踪活动数据库副本。
NSG 入站 Microsoft.Sql-managedInstances_UseOnly_mi-internal-in 确保管理操作所需的内部节点的连接。
NSG 出站 Microsoft.Sql-managedInstances_UseOnly_mi-internal-out 确保管理操作所需的内部节点的连接。
路由 Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal 确保内部节点始终存在能够相互访问的路由。

注意

某些子网包含上述两个部分中未列出的其他强制性网络安全规则和路由。 此类规则被视为已过时,并且将从其子网中移除。

可选安全规则和路由

某些规则和路由是可选的,可以安全地删除,而不会影响托管实例的内部管理连接。 这些可选规则用于保持所部署托管实例的出站连接,并假设与仍保留的强制性规则和路由完全互补。

重要

可选规则和路由可能会在未来弃用。 我们强烈建议更新部署和网络配置过程,以便每次在新子网中部署 Azure SQL 托管实例时都遵循显式移除和/或替换可选规则和路由的要求,从而确保仅允许极少的必需流量流动。

为了帮助区分可选规则和路由与强制性规则和路由,可选规则和路由的名称始终以 Microsoft.Sql-managedInstances_UseOnly_mi-optional- 开头。

下表列出了可修改或移除的可选规则和路由:

Kind 名称 描述
NSG 出站 Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out 可选安全规则,用于保持到 Azure 的出站 HTTPS 连接。
路由 Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> 主要区域中指向 AzureCloud 服务的可选路由。
路由 Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> 次要区域中指向 AzureCloud 服务的可选路由。

删除网络意图策略

当子网内没有更多虚拟群集且委派已删除后,网络意图策略对子网的影响将停止。 有关虚拟群集生命周期的详细信息,请参阅删除 SQL 托管实例后如何删除子网