Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a:
Instância Gerenciada de SQL do Azure
Este artigo fornece uma visão geral da configuração de sub-rede auxiliada por serviço e como ela interage com as sub-redes delegadas para a Instância Gerenciada de SQL do Azure. A configuração de sub-rede auxiliada pelo serviço automatiza o gerenciamento de configuração de rede para sub-redes de instância gerenciada de SQL. Esse mecanismo deixa o usuário totalmente no controle do acesso aos dados, enquanto a instância gerenciada de SQL assume a responsabilidade pelo fluxo ininterrupto de tráfego de gerenciamento.
Visão geral
Para melhorar a segurança, a capacidade de gerenciamento e a disponibilidade do serviço, a Instância Gerenciada de SQL automatiza o gerenciamento de determinados caminhos de rede críticos dentro da sub-rede do usuário. O serviço configura a sub-rede, seu grupo de segurança de rede associado e a tabela de rotas para conter um conjunto de entradas necessárias.
O mecanismo por trás desse comportamento é chamado de política de intenção de rede. Uma política de intenção de rede é aplicada automaticamente à sub-rede quando a sub-rede é delegada pela primeira vez ao provedor de recursos da Instância Gerenciada de SQL do Azure Microsoft.Sql/managedInstances. Nesse ponto, a configuração automática entra em vigor. Quando você exclui a última instância gerenciada de SQL de uma sub-rede, a política de intenção de rede também é removida dessa sub-rede.
O efeito da política de intenção de rede na sub-rede delegada
Uma política de intenção de rede estende a tabela de rotas e o grupo de segurança de rede associados à sub-rede, adicionando regras e rotas obrigatórias e opcionais.
Uma política de intenção de rede não impede que você atualize a maior parte da configuração da sub-rede. Quando você altera a tabela de rotas da sub-rede ou atualiza suas regras de grupo de segurança de rede, a política de intenção de rede associada verifica se as rotas efetivas e as regras de segurança estão em conformidade com os requisitos da Instância Gerenciada de SQL do Azure. Se não o fizerem, a política de intenção de rede gerará um erro, impedindo a alteração na configuração.
Esse comportamento é interrompido quando você remove a última instância gerenciada de SQL da sub-rede e a política de intenção de rede é desanexada. Ela não pode ser desativada enquanto as instâncias gerenciadas de SQL estiverem presentes na sub-rede.
Considere os seguintes pontos:
- Recomendamos que você mantenha uma tabela de rotas e um NSG separados para cada sub-rede delegada. Regras e rotas configuradas automaticamente fazem referência aos intervalos de sub-rede específicos que podem se sobrepor aos de outra sub-rede. Quando você reutiliza RTs e NSGs em várias sub-redes delegadas à Instância Gerenciada de SQL do Azure, as regras configuradas automaticamente são empilhadas e podem interferir nas regras que regem o tráfego não relacionado.
- Aconselhamos a não depender de qualquer uma das regras e rotas gerenciadas pelo serviço. Como regra, sempre crie rotas explícitas e regras de NSG para suas finalidades específicas. Tanto as regras obrigatórias quanto as opcionais estão sujeitas a alterações.
- Da mesma forma, aconselhamos a não atualizar as regras gerenciadas pelo serviço. Como a política de intenção de rede verifica apenas as regras e rotas efetivas , é possível estender uma das regras configuradas automaticamente. Por exemplo, para abrir mais portas para o tráfego de entrada ou para estender o roteamento para um prefixo mais amplo. No entanto, as regras e rotas configuradas pelo serviço podem mudar. É melhor criar suas próprias rotas e regras de segurança para alcançar o resultado desejado.
Regras e rotas de segurança obrigatórias
Para garantir a conectividade de gerenciamento ininterrupta para a Instância Gerenciada de SQL, algumas regras e rotas de segurança são obrigatórias e não podem ser removidas ou modificadas.
Os nomes de regras e rotas obrigatórias sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-. Esse prefixo é reservado para uso da Instância Gerenciada de SQL do Azure. Não use esse prefixo ao atualizar a tabela de rotas e o NSG. As atualizações de serviço podem excluir todas as regras e rotas com esse prefixo, após as quais somente as obrigatórias serão recriadas.
A tabela a seguir lista as regras e rotas obrigatórias que são implantadas e impostas automaticamente na sub-rede do usuário:
| Variante | Nome | Descrição |
|---|---|---|
| Entrada NSG | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permite que as investigações sobre a integridade da entrada do balanceador de carga associado alcancem os nós da instância. Esse mecanismo permite que o balanceador de carga acompanhe as réplicas de banco de dados ativas após um failover. |
| Entrada NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garante a conectividade do nó interno necessária para as operações de gerenciamento. |
| Saída NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garante a conectividade do nó interno necessária para as operações de gerenciamento. |
| Rota | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-range-to-vnetlocal<> | Garante uma rota permanente para que os nós internos alcancem uns aos outros. |
Observação
Algumas sub-redes podem conter regras de segurança de rede adicionais e rotas que usam o Microsoft.Sql-managedInstances_UseOnly_mi- prefixo. Essas regras e rotas também são obrigatórias quando presentes, mas podem ser removidas em uma atualização de serviço futura.
Regras e rotas de segurança opcionais
Algumas regras e rotas são opcionais e podem ser removidas com segurança sem prejudicar a conectividade de gerenciamento interno de instâncias SQLmanaged.
Importante
Regras e rotas opcionais serão desativadas em uma atualização de serviço futura. Recomendamos que você atualize seus procedimentos de implantação e configuração de rede de modo que cada implantação da Instância Gerenciada de SQL do Azure em uma nova sub-rede seja seguida com uma remoção explícita e/ou substituição das regras e rotas opcionais.
Para diferenciar regras e rotas opcionais das obrigatórias, os nomes das regras e rotas opcionais sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
A tabela a seguir lista as regras e rotas opcionais que podem ser modificadas ou removidas:
| Variante | Nome | Descrição |
|---|---|---|
| Saída NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regra de segurança opcional para preservar a conectividade HTTPS de saída com o Azure. |
| Rota | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud. <região> | Rota opcional para os serviços AzureCloud na região primária. |
| Rota | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud. <emparelhada geografiamente> | Rota opcional para os serviços do AzureCloud na região secundária. |
Remover a política de intenção de rede
O efeito de uma política de intenção de rede na sub-rede é interrompido quando não há mais clusters virtuais dentro e a delegação é removida. Para obter detalhes do tempo de vida do cluster virtual, confira como excluir uma sub-rede após excluir a Instância Gerenciada de SQL.
Conteúdo relacionado
- arquitetura de conectividade para a Instância Gerenciada de SQL do Azure
- Arquitetura de cluster virtual – Instância Gerenciada de SQL do Azure