Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Aplica-se a:
de Instância Gerenciada SQL do Azure
Este artigo fornece uma visão geral da configuração de sub-rede auxiliada por serviço e como ela interage com as sub-redes delegadas à Instância Gerenciada SQL do Azure. A configuração de sub-rede assistida por serviço automatiza a gestão de configuração de rede para sub-redes de instâncias geridas do SQL. Esse mecanismo deixa o usuário totalmente no controle do acesso aos dados, enquanto a instância gerenciada SQL assume a responsabilidade pelo fluxo ininterrupto de tráfego de gerenciamento.
Visão geral
Para melhorar a segurança, a capacidade de gerenciamento e a disponibilidade do serviço, a Instância Gerenciada SQL automatiza o gerenciamento de determinados caminhos de rede críticos dentro da sub-rede do usuário. O serviço configura a sub-rede, seu grupo de segurança de rede associado e a tabela de rotas para conter um conjunto de entradas necessárias.
O mecanismo por trás desse comportamento é chamado de diretiva de intenção de rede. Uma política de intenção de rede é aplicada automaticamente à sub-rede quando a sub-rede é delegada pela primeira vez ao provedor de recursos da Instância Gerenciada SQL do Azure Microsoft.Sql/managedInstances. Nesse ponto, a configuração automática entra em vigor. Quando você exclui a última instância gerenciada SQL de uma sub-rede, a diretiva de intenção de rede também é removida dessa sub-rede.
O efeito da política de intenção de rede na sub-rede delegada
Uma política de intenção de rede estende a tabela de rotas e o grupo de segurança de rede associados à sub-rede, ao adicionar as regras e rotas obrigatórias e as opcionais .
Uma política de intenção de rede não impede que você atualize a maior parte da configuração da sub-rede. Quando você altera a tabela de rotas da sub-rede ou atualiza suas regras de grupo de segurança de rede, a política de intenção de rede associada verifica se as rotas efetivas e as regras de segurança estão em conformidade com os requisitos da Instância Gerenciada SQL do Azure. Caso contrário, a política de intenção de rede gera um erro, impedindo a alteração na configuração.
Esse comportamento para quando você remove a última instância gerenciada SQL da sub-rede e a diretiva de intenção de rede é desanexada. Ele não pode ser desativado enquanto as instâncias gerenciadas pelo SQL estiverem presentes na sub-rede.
Considere os seguintes pontos:
- Recomendamos que você mantenha uma tabela de rotas separada e NSG para cada sub-rede delegada. As regras e rotas configuradas automaticamente fazem referência aos intervalos de sub-redes específicos que podem se sobrepor aos de outra sub-rede. Quando você reutiliza RTs e NSGs em várias sub-redes delegadas à Instância Gerenciada SQL do Azure, as regras configuradas automaticamente se acumulam e podem interferir nas regras que regem o tráfego não relacionado.
- Aconselhamos a não depender de qualquer uma das regras e rotas gerenciadas pelo serviço. Como regra, sempre crie rotas explícitas e regras NSG para seus fins específicos. Tanto as regras obrigatórias como as facultativas estão sujeitas a alterações.
- Da mesma forma, desaconselhamos a atualização das regras gerenciadas pelo serviço. Como a política de intenção de rede verifica apenas regras e rotas eficazes , é possível estender uma das regras configuradas automaticamente. Por exemplo, para abrir mais portas para o tráfego de entrada ou para estender o roteamento para um prefixo mais amplo. No entanto, as regras e rotas configuradas pelo serviço podem mudar. É melhor criar suas próprias rotas e regras de segurança para alcançar o resultado desejado.
Regras de segurança e itinerários obrigatórios
Para garantir conectividade de gerenciamento ininterrupta para a Instância Gerenciada SQL, algumas regras e rotas de segurança são obrigatórias e não podem ser removidas ou modificadas.
Os nomes das regras e rotas obrigatórias começam sempre com Microsoft.Sql-managedInstances_UseOnly_mi-. Esse prefixo está reservado para o uso da Instância Gerenciada SQL do Azure. Não use esse prefixo ao atualizar sua tabela de rotas e NSG. As atualizações de serviço podem excluir todas as regras e rotas com esse prefixo, após o que apenas as obrigatórias serão recriadas.
A tabela a seguir lista as regras e rotas obrigatórias que são implantadas e aplicadas automaticamente na sub-rede do usuário:
| Variante | Nome | Descrição |
|---|---|---|
| Entrada NSG | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permite que os testes de integridade de entrada do balanceador de carga associado alcancem os nós da instância. Esse mecanismo permite que o balanceador de carga acompanhe as réplicas de banco de dados ativas após um failover. |
| Entrada NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garante a conectividade do nó interno necessária para as operações de gestão. |
| Saída NSG | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garante a conectividade do nó interno necessária para as operações de gestão. |
| Percurso | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<intervalo>-to-vnetlocal | Garante que haja sempre uma rota para os nós internos chegarem uns aos outros. |
Observação
Algumas sub-redes podem conter regras de segurança de rede adicionais e rotas que usam o prefixo Microsoft.Sql-managedInstances_UseOnly_mi- . Essas regras e rotas também são obrigatórias quando presentes, mas podem ser removidas em uma atualização futura do serviço.
Regras de segurança e rotas opcionais
Algumas regras e rotas são opcionais e podem ser removidas com segurança sem prejudicar a conectividade de gerenciamento interno de instâncias gerenciadas por SQL.
Importante
As regras e rotas opcionais serão desativadas em uma futura atualização do serviço. Recomendamos que você atualize seus procedimentos de implantação e configuração de rede para que cada implantação da Instância Gerenciada SQL do Azure em uma nova sub-rede seja seguida com uma remoção explícita e/ou substituição das regras e rotas opcionais.
Para ajudar a diferenciar as regras e rotas opcionais das obrigatórias, os nomes das regras e rotas opcionais sempre começam com Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
A tabela a seguir lista as regras opcionais e rotas que podem ser modificadas ou removidas:
| Variante | Nome | Descrição |
|---|---|---|
| Saída NSG | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Regra de segurança opcional para preservar a conectividade HTTPS de saída com o Azure. |
| Percurso | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<região> | Rota opcional para serviços AzureCloud na região principal. |
| Percurso | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<> emparelhados geograficamente | Rota opcional para serviços AzureCloud na região secundária. |
Remover a política de intenção de rede
O efeito de uma política de intenção em rede sobre a sub-rede cessa quando não há mais clusters virtuais presentes e a delegação é removida. Para obter os detalhes do ciclo de vida do cluster virtual, consulte como excluir uma sub-rede depois de excluir a Instância Gerenciada SQL.