Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como a Instância Gerenciada de SQL do Azure gerencia a diferença no tráfego entre o tráfego gerenciado pelo usuário e o tráfego gerenciado pelo serviço.
Visão geral
Como uma PaaS (Plataforma como Serviço), a Instância Gerenciada de SQL gerencia seu tráfego de rede. Em um ambiente tradicional do SQL Server local, as atualizações regulares de tráfego, a manutenção e o monitoramento geralmente operam na mesma rede que os dados do cliente. Na Instância Gerenciada de SQL, esses fluxos passam pela rede interna do Azure para assegurar um gerenciamento de serviço automatizado, integrado, seguro e monitorado.
O tráfego interno, chamado de tráfego gerenciado pelo serviço, é diferenciado do tráfego do usuário (conhecido como tráfego gerenciado pelo usuário) para garantir que as operações de serviço não interfiram nas cargas de trabalho do usuário e vice-versa. O tráfego se separa nessas duas categorias, como ilustra o diagrama a seguir:
Tráfego gerenciado pelo usuário
O tráfego gerenciado pelo usuário é estabelecido sob demanda entre clientes ou aplicativos SQL e a Instância Gerenciada de SQL do Azure. Ele compreende:
- Todo o tráfego de entrada direcionado para pontos de extremidade da instância gerenciada de SQL em sua rede virtual
- Todo o tráfego de saída originário de instâncias gerenciadas de SQL em sua rede virtual
O tráfego gerenciado pelo usuário é proveniente e termina em redes virtuais pertencentes ao usuário da Instância Gerenciada de SQL, o que o torna sujeito à configuração de rede dessa rede virtual. Isso significa que os mecanismos de configuração e controle de rede padrão também se aplicam ao tráfego da instância gerenciada de SQL, incluindo firewalls, regras de grupo de segurança de rede, tabelas de rotas, resolução de nomes de domínio e muito mais. Portanto, é responsabilidade dos usuários da Instância Gerenciada de SQL garantir que o tráfego gerenciado pelo usuário possa realmente chegar ao destino pretendido. Essa responsabilidade é especialmente importante para o tráfego ao endpoint local da VNet. O tráfego de saída originário de instâncias gerenciadas de SQL é controlado da mesma forma.
Como o tráfego gerenciado pelo usuário é protegido?
Como o tráfego gerenciado pelo usuário flui pela rede virtual que você possui e gerencia, ele está sujeito à matriz de ferramentas de segurança, auditoria, monitoramento e observabilidade disponíveis no Azure. Para obter mais informações sobre as melhores práticas e controles disponíveis, consulte:
- Proteger sua Instância Gerenciada de SQL do Azure
- Uma visão geral dos recursos de segurança da Instância Gerenciada de SQL do Azure
Tráfego gerenciado pelo serviço
A Instância Gerenciada de SQL usa o tráfego gerenciado pelo serviço para executar atividades de limpeza, como fazer backups regulares, emitir telemetria de serviço e receber atualizações de software.
O tráfego gerenciado pelo serviço inclui dois aviões:
- Painel de controle
- Plano de dados interno
Painel de controle
O plano de controle consiste em componentes que regem a configuração e o comportamento do serviço paaS, como recuperar e armazenar informações de integridade do serviço, monitoramento, dimensionamento e implantação. Por exemplo, quando você implanta uma nova instância, os componentes no plano de controle orquestram o provisionamento de recursos e sua configuração. O tráfego do painel de controle é responsável pelo componente de dados desses comportamentos.
Plano de dados interno
Componentes internos do plano de dados orquestram as operações nos dados do usuário para garantir a durabilidade, a alta disponibilidade e a continuidade dos negócios de seus ativos de dados. Ao contrário do plano de controle, que não transporta dados do usuário, o plano de dados interno transfere dados armazenados em seus bancos de dados.
O plano de dados interno facilita backups regulares, tráfego de replicação entre réplicas de disponibilidade, semeadura de dados, replicação geográfica em grupos de failover e outros fluxos de dados que envolvem dados reais do usuário.
Como o tráfego gerenciado pelo serviço é protegido?
O tráfego gerenciado pelo serviço é essencial para a operação contínua do PaaS e para alcançar objetivos de nível de serviço (SLO). Por esse motivo, a Microsoft garante que esse tráfego seja ininterrupto, continuamente disponível, monitorado e protegido.
O tráfego de rede entre componentes no plano de controle e no plano de dados interno é criptografado. Todas as conexões são autenticadas e as operações são autorizadas seguindo o princípio do privilégio mínimo.
Os firewalls L3/L4 protegem ambientes de rede internos em que os componentes de dados internos e de controle residem. Esses firewalls permitem tráfego de entrada e saída somente de fontes e destinos conhecidos.
Quando outros serviços do Azure participam do tráfego gerenciado pelo serviço (como o Armazenamento do Azure ou o Azure Key Vault), a instância gerenciada de SQL os acessa por meio de mecanismos de acesso local de rede, como o Link Privado do Azure e pontos de extremidade de serviço, para minimizar o escopo da exposição à rede. A autenticação e a autorização são realizadas por meio de agentes de segurança de propriedade da Microsoft, os quais são exclusivos para cada cliente. Esses principais recebem conjuntos de permissões estritamente delimitados de acordo com o princípio do menor privilégio.
Para saber mais sobre os recursos de segurança da Instância Gerenciada de SQL do Azure, confira:
- Visão geral de segurança
- Uma visão geral dos recursos de segurança da Instância Gerenciada de SQL do Azure
Conteúdo relacionado
- Para obter uma visão geral, confira o que é a Instância Gerenciada de SQL do Azure?
- Para saber mais, confira:
- Saiba como criar uma instância gerenciada de SQL: