Architektura připojení pro službu Azure SQL Managed Instance
Platí pro:
Azure SQL Managed Instance
Tento článek popisuje architekturu připojení ve službě Azure SQL Managed Instance a způsob, jakým komponenty směrují přenosy komunikace pro spravovanou instanci.
Přehled
Ve službě SQL Managed Instance se instance umístí do virtuální sítě Azure a do podsítě vyhrazené pro spravované instance. Nasazení poskytuje:
- Zabezpečená IP adresa místní virtuální sítě (VNet-local).
- Možnost připojit místní síť ke službě SQL Managed Instance.
- Možnost připojení služby SQL Managed Instance k propojenému serveru nebo k jinému místnímu úložišti dat.
- Možnost připojit službu SQL Managed Instance k prostředkům Azure.
Poznámka:
Vlna funkcí z listopadu 2022 zavedla změny výchozí struktury připojení služby SQL Managed Instance. Tento článek obsahuje informace o aktuální architektuře a architektuře instancí, které ještě nejsou zaregistrované ve vlně funkcí. Další informace najdete ve vlně funkcí z listopadu 2022.
Vlna funkcí z listopadu 2022
Vlna funkcí z listopadu 2022 zavedla následující změny architektury připojení ke službě SQL Managed Instance:
- Odebrali jsme koncový bod správy.
- Zjednodušená povinná pravidla skupiny zabezpečení sítě (odebrala jedno povinné pravidlo).
- Upravená povinná pravidla skupin zabezpečení sítě, aby už na portu 443 nezahrnovala odchozí provoz do AzureCloudu.
- Zjednodušili jsme směrovací tabulku (snížili jsme povinné trasy z 13 na 5).
Architektura připojení vysoké úrovně
SQL Managed Instance je tvořená komponentami služby hostovanými ve vyhrazené sadě izolovaných virtuálních počítačů, které jsou seskupené podle podobných atributů konfigurace a připojené k virtuálnímu clusteru. Některé komponenty služeb se nasazují uvnitř podsítě virtuální sítě zákazníka, zatímco jiné služby pracují v zabezpečeném síťovém prostředí, které spravuje Microsoft.
Zákaznické aplikace se můžou připojit ke službě SQL Managed Instance a můžou dotazovat a aktualizovat databáze v rámci virtuální sítě, partnerské virtuální sítě nebo sítě připojené pomocí sítě VPN nebo Azure ExpressRoute.
Následující diagram znázorňuje entity, které se připojují ke službě SQL Managed Instance. Zobrazuje také prostředky, které potřebují komunikovat se spravovanou instancí. Proces komunikace v dolní části diagramu představuje zákaznické aplikace a nástroje, které se připojují ke službě SQL Managed Instance jako zdroje dat.
SQL Managed Instance je nabídka platformy jako služby s jedním tenantem, která funguje ve dvou rovinách: v rovině dat a řídicí rovině.
Rovina dat se nasadí uvnitř podsítě zákazníka kvůli kompatibilitě, připojení a izolaci sítě. Rovina dat závisí na službách Azure, jako je Azure Storage, Microsoft Entra ID (dříve Azure Active Directory) pro ověřování a služby shromažďování telemetrie. Uvidíte provoz pocházející z podsítí, které obsahují službu SQL Managed Instance, do těchto služeb.
Řídicí rovina nese funkce údržby nasazení, správy a základní údržby prostřednictvím automatizovaných agentů. Tito agenti mají výhradní přístup k výpočetním prostředkům, které službu provozují. Pro přístup k těmto hostitelům nemůžete použít ssh ani protokol Remote Desktop Protocol. Veškerá komunikace řídicí roviny je šifrovaná a podepsaná pomocí certifikátů. Pokud chcete zkontrolovat důvěryhodnost komunikujících stran, sql Managed Instance tyto certifikáty neustále ověřuje pomocí seznamů odvolaných certifikátů.
Přehled komunikace
Aplikace se můžou připojit ke službě SQL Managed Instance prostřednictvím tří typů koncových bodů. Tyto koncové body slouží různým scénářům a vykazují odlišné vlastnosti a chování sítě.
Místní koncový bod virtuální sítě
Místní koncový bod virtuální sítě je výchozím způsobem připojení ke službě SQL Managed Instance. Místní koncový bod virtuální sítě je název domény ve formě <mi_name>.<dns_zone>.database.windows.net , která se překládá na IP adresu z fondu adres podsítě, proto VNet-local nebo koncový bod, který je místní pro virtuální síť. Místní koncový bod virtuální sítě se dá použít k připojení ke službě SQL Managed Instance ve všech standardních scénářích připojení.
Místní koncové body virtuální sítě podporují typ připojení přesměrování.
Při připojování k místnímu koncovému bodu virtuální sítě vždy používejte jeho název domény, protože podkladová IP adresa se může občas změnit.
Veřejný koncový bod
Veřejný koncový bod je volitelný název domény ve formě překladu <mi_name>.public.<dns_zone>.database.windows.net na veřejnou IP adresu, která je dostupná z internetu. Veřejný koncový bod umožňuje provoz TDS pouze pro přístup ke službě SQL Managed Instance na portu 3342 a nedá se použít pro scénáře integrace, jako jsou skupiny převzetí služeb při selhání, propojení spravované instance a podobné technologie.
Při připojování k veřejnému koncovému bodu vždy používejte jeho název domény, protože podkladová IP adresa se může občas změnit.
Veřejný koncový bod vždy funguje v typu připojení proxy.
Zjistěte, jak nastavit veřejný koncový bod v části Konfigurace veřejného koncového bodu pro službu Azure SQL Managed Instance.
Privátní koncové body
Privátní koncový bod je volitelná pevná IP adresa v jiné virtuální síti, která provádí provoz do vaší spravované instance SQL. Jedna spravovaná instance Azure SQL může mít ve více virtuálních sítích několik privátních koncových bodů. Privátní koncové body umožňují provoz TDS pouze pro přístup ke službě SQL Managed Instance na portu 1433 a nedají se použít pro scénáře integrace, jako jsou skupiny převzetí služeb při selhání, propojení spravované instance a další podobné technologie.
Při připojování k privátnímu koncovému bodu vždy použijte název domény, protože připojení ke službě Azure SQL Managed Instance přes jeho IP adresu se zatím nepodporuje.
Privátní koncové body vždy pracují s typem připojení proxy.
Přečtěte si další informace o privátních koncových bodech a o tom, jak je nakonfigurovat ve službě Azure Private Link pro službu Azure SQL Managed Instance.
Architektura připojení virtuálního clusteru
V této části se podrobněji podíváme na architekturu připojení virtuálního clusteru spravované instance SQL. Následující diagram znázorňuje koncepční rozložení virtuálního clusteru:
Název domény místního koncového bodu virtuální sítě se přeloží na privátní IP adresu interního nástroje pro vyrovnávání zatížení. I když je tento název domény zaregistrovaný ve veřejné zóně DNS (Domain Name System) a je veřejně přeložitelný, jeho IP adresa patří do rozsahu adres podsítě a je ve výchozím nastavení přístupná pouze z její virtuální sítě.
Nástroj pro vyrovnávání zatížení směruje provoz do brány služby SQL Managed Instance. Vzhledem k tomu, že v rámci stejného clusteru může běžet více spravovaných instancí, používá brána název hostitele služby SQL Managed Instance, jak je vidět v připojovací řetězec, aby přesměrovává provoz do správné služby modulu SQL.
Hodnota pro dns-zone se automaticky vygeneruje při vytváření clusteru. Pokud nově vytvořený cluster hostuje sekundární spravovanou instanci, sdílí ID zóny s primárním clusterem.
Konfigurace podsítě s podporou služeb
Aby se zlepšilo zabezpečení služeb, možnosti správy a dostupnost, použije služba SQL Managed Instance na některé prvky infrastruktury virtuální sítě Azure zásady záměru sítě. Zásada nakonfiguruje podsíť, přidruženou skupinu zabezpečení sítě a směrovací tabulku, aby se zajistilo splnění minimálních požadavků pro službu SQL Managed Instance. Tento mechanismus platformy transparentně komunikuje se síťovými požadavky uživatelům. Hlavním cílem zásad je zabránit chybné konfiguraci sítě a zajistit normální provoz služby SQL Managed Instance a závazek smlouvy o úrovni služeb. Když odstraníte spravovanou instanci, zásady záměru sítě se odeberou také.
Konfigurace podsítě s podporou služeb vychází z funkce delegování podsítě virtuální sítě, která poskytuje automatickou správu konfigurace sítě a umožňuje koncové body služby.
Koncové body služby můžete použít ke konfiguraci pravidel brány firewall virtuální sítě pro účty úložiště, které udržují zálohy a protokoly auditu. I s povolenými koncovými body služby se zákazníkům doporučuje používat Azure Private Link pro přístup ke svým účtům úložiště. Private Link poskytuje větší izolaci než koncové body služby.
Důležité
Kvůli specifikám konfigurace řídicí roviny neumožňuje konfigurace podsítě s podporou služeb v národních cloudech koncové body služby.
Síťové požadavky
Podsíť, ve které je nasazená spravovaná instance SQL, musí mít následující vlastnosti:
- Vyhrazená podsíť: Spravovaná instance SQL podsítě se dá delegovat jenom do služby SQL Managed Instance. Podsíť nemůže být podsíť brány a v podsíti můžete nasadit jenom prostředky služby SQL Managed Instance.
- Delegování podsítě: Podsíť služby SQL Managed Instance musí být delegována poskytovateli
Microsoft.Sql/managedInstancesprostředků. - Skupina zabezpečení sítě: Skupina zabezpečení sítě musí být přidružená k podsíti služby SQL Managed Instance. Skupinu zabezpečení sítě můžete použít k řízení přístupu ke koncovému bodu dat služby SQL Managed Instance filtrováním provozu na portu 1433 a portech 11000–11999, když je spravovaná instance SQL nakonfigurovaná pro přesměrování připojení. Služba automaticky zřizuje pravidla a udržuje je aktuální podle potřeby, aby umožňovala nepřerušovaný tok provozu správy.
- Směrovací tabulka: Směrovací tabulka musí být přidružená k podsíti služby SQL Managed Instance. Do této směrovací tabulky můžete přidat položky, například směrování provozu do místního prostředí přes bránu virtuální sítě nebo přidání výchozí trasy 0.0.0.0/0 směrující veškerý provoz přes zařízení virtuální sítě, jako je brána firewall. Spravovaná instance Azure SQL automaticky zřizuje a spravuje požadované položky v směrovací tabulce.
- Dostatečná IP adresa: Podsíť služby SQL Managed Instance musí mít aspoň 32 IP adres. Další informace najdete v tématu Určení velikosti podsítě pro službu SQL Managed Instance. Spravované instance můžete nasadit v existující síti , jakmile ji nakonfigurujete tak, aby splňovaly požadavky na síť pro službu SQL Managed Instance. Jinak vytvořte novou síť a podsíť.
- Povolené zásadami Azure: Pokud pomocí služby Azure Policy zabráníte vytváření nebo úpravám prostředků v oboru, který zahrnuje podsíť nebo virtuální síť služby SQL Managed Instance, nesmí vaše zásady bránit správě interních prostředků ve službě SQL Managed Instance. Z účinků zamítnutí zásad pro normální provoz je potřeba vyloučit následující prostředky:
- Zdroje typu
Microsoft.Network/serviceEndpointPolicies, kdy název zdroje začíná na\_e41f87a2\_ - Všechny prostředky typu
Microsoft.Network/networkIntentPolicies - Všechny prostředky typu
Microsoft.Network/virtualNetworks/subnets/contextualServiceEndpointPolicies
- Zdroje typu
- Zámky ve virtuální síti: Zámky ve virtuální síti vyhrazené podsítě, nadřazené skupině prostředků nebo předplatném můžou občas kolidovat s operacemi správy a údržby služby SQL Managed Instance. Při používání zámků prostředků je potřeba věnovat zvláštní pozornost.
- Provoz replikace: Provoz replikace pro skupiny převzetí služeb při selhání mezi dvěma spravovanými instancemi by měl být přímý a neměl by být směrován přes síť rozbočovače.
- Vlastní server DNS: Pokud je virtuální síť nakonfigurovaná tak, aby používala vlastní server DNS, musí být server DNS schopný přeložit veřejné záznamy DNS. Použití funkcí, jako je ověřování Microsoft Entra, může vyžadovat překlad plně kvalifikovaných názvů domén (FQDN). Další informace najdete v tématu Překlad privátních názvů DNS ve službě Azure SQL Managed Instance.
Povinná pravidla zabezpečení s konfigurací podsítě s podporou služeb
K zajištění toku provozu příchozí správy se vyžadují pravidla popsaná v následující tabulce. Pravidla se vynucují zásadami záměru sítě a zákazník je nemusí nasazovat. Další informace o architektuře připojení a provozu správy najdete v tématu Architektura připojení vysoké úrovně.
| Název | Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|
| healthprobe-in | Všechny | Všechny | AzureLoadBalancer | Podsítě | Povolit |
| internal-in | Všechny | Všechny | Podsítě | Podsítě | Povolit |
K zajištění toku provozu odchozí správy se vyžadují pravidla popsaná v následující tabulce. Další informace o architektuře připojení a provozu správy najdete v tématu Architektura připojení vysoké úrovně.
| Název | Port | Protokol | Zdroj | Cíl | Akce |
|---|---|---|---|---|---|
| AAD-out | 443 | TCP | Podsítě | AzureActiveDirectory | Povolit |
| OneDsCollector -out | 443 | TCP | Podsítě | OneDsCollector | Povolit |
| internal-out | Všechny | Všechny | Podsítě | Podsítě | Povolit |
| StorageP-out | 443 | Všechny | Podsítě | Úložiště.primaryRegion | Povolit |
| Úložiště – out | 443 | Všechny | Podsítě | Úložiště.sekundární oblast | Povolit |
Povinné trasy s konfigurací podsítě s podporou služeb
Trasy popsané v následující tabulce jsou nezbytné k zajištění směrování provozu správy přímo do cíle. Trasy se vynucují zásadami záměru sítě a zákazník je nemusí nasazovat. Další informace o architektuře připojení a provozu správy najdete v tématu Architektura připojení vysoké úrovně.
| Název | Předpona adresy | Další směrování |
|---|---|---|
| AzureActiveDirectory | AzureActiveDirectory | Internetu* |
| OneDsCollector | OneDsCollector | Internetu* |
| Úložiště.primaryRegion | Úložiště.primaryRegion | Internetu* |
| Úložiště.sekundární oblast | Úložiště.sekundární oblast | Internetu* |
| subnet-to-vnetlocal | Podsítě | Virtuální síť |
Poznámka:
* Hodnota Internetu ve sloupci Další segment směrování dává bráně pokyn, aby směroval provoz mimo virtuální síť. Pokud je ale cílová adresa pro službu Azure, Azure směruje provoz přímo do služby přes síť Azure místo mimo cloud Azure. Provoz mezi službami Azure neprochází internetem bez ohledu na to, do které oblasti Azure virtuální síť existuje nebo do které oblasti Azure se nasadí instance služby Azure. Další informace najdete v tématu Směrování provozu virtuální sítě Azure.
Do směrovací tabulky můžete také přidat položky pro směrování provozu, který má místní rozsahy privátních IP adres jako cíl prostřednictvím brány virtuální sítě nebo zařízení virtuální sítě.
Omezení sítě
Protokol TLS 1.2 se vynucuje u odchozích připojení: Od ledna 2020 Microsoft vynucuje protokol TLS 1.2 pro provoz uvnitř služby ve všech službách Azure. U služby SQL Managed Instance to vedlo k vynucení protokolu TLS 1.2 u odchozích připojení, která se používají k replikaci a připojení k sql Serveru odkazovaného serveru. Pokud používáte verzi SQL Serveru starší než 2016 se službou SQL Managed Instance, ujistěte se, že používáte aktualizace specifické pro protokol TLS 1.2.
Sql Managed Instance v současné době nepodporuje následující funkce virtuální sítě:
- Databázová pošta do externích přenosů SMTP na portu 25: Odesílání databázové pošty přes port 25 do externích e-mailových služeb je dostupné jenom pro určité typy odběrů v Microsoft Azure. Instance jiných typů předplatného by měly používat jiný port (například 587) pro kontaktování externích přenosů SMTP. V opačném případě se instance nemusí podařit doručovat databázová pošta. Další informace najdete v tématu Řešení potíží s odchozím připojením SMTP v Azure.
- Partnerský vztah Microsoftu: Povolení partnerského vztahu Microsoftu v okruhech ExpressRoute, které jsou přímo nebo tranzitivně s virtuální sítí, ve které se nachází spravovaná instance SQL, ovlivňuje tok provozu mezi komponentami služby SQL Managed Instance uvnitř virtuální sítě a službami, na kterých závisí. Výsledek problémů s dostupností Očekává se, že nasazení služby SQL Managed Instance do virtuální sítě, která už má povolený partnerský vztah Microsoftu, selžou.
- Partnerský vztah virtuálních sítí – globální: Připojení peeringu virtuálních sítí napříč oblastmi Azure nefunguje pro instance služby SQL Managed Instance umístěné v podsítích vytvořených před 9. zářím 2020.
- Partnerský vztah virtuálních sítí – konfigurace: Při vytváření partnerského vztahu virtuálních sítí mezi virtuálními sítěmi, které obsahují podsítě se spravovanými instancemi SQL, musí takové podsítě používat různé směrovací tabulky a skupiny zabezpečení sítě (NSG). Opětovné použití směrovací tabulky a skupiny zabezpečení sítě ve dvou nebo více podsítích, které se účastní partnerského vztahu virtuálních sítí, způsobí problémy s připojením ve všech podsítích pomocí těchto směrovacích tabulek nebo skupin zabezpečení sítě a způsobí selhání operací správy spravované instance SQL.
- AzurePlatformDNS: Použití značky služby AzurePlatformDNS k blokování překladu DNS platformy by vykreslovalo nedostupnou spravovanou instanci SQL. Přestože sql Managed Instance podporuje DNS definované zákazníkem pro překlad DNS uvnitř modulu, existuje závislost na platformě DNS pro operace platformy.
- NAT Gateway: Použití překladu adres (NAT ) služby Azure Virtual Network k řízení odchozího připojení s konkrétní veřejnou IP adresou vykreslí službu SQL Managed Instance nedostupnou. Služba SQL Managed Instance je v současné době omezená na použití nástroje pro vyrovnávání zatížení úrovně Basic, který neposkytuje koexistence příchozích a odchozích toků s překladem adres (NAT) služby Azure Virtual Network.
- IPv6 pro virtuální síť Azure: Předpokládá se, že nasazení služby SQL Managed Instance do dvou virtuálních sítí IPv4/IPv6 selže. Přidružení skupiny zabezpečení sítě nebo směrovací tabulky k trasám definovaným uživatelem definovaným trasám (UDR), které obsahují předpony adres IPv6 k podsíti služby SQL Managed Instance, vykreslí službu SQL Managed Instance nedostupnou. Přidáním předpon adres IPv6 do skupiny zabezpečení sítě nebo trasy definované uživatelem, která už je přidružená k podsíti spravované instance, dojde k nedostupnosti spravované instance SQL. U nasazení služby SQL Managed Instance do podsítě se skupinou zabezpečení sítě a trasou definovanou uživatelem, u kterých se předpokládá selhání předpon IPv6.
- Privátní zóny Azure DNS s názvem vyhrazeným pro služby Microsoft: Následující názvy domén jsou vyhrazené názvy:
windows.net,database.windows.net,core.windows.net, ,management.core.windows.netmonitoring.core.windows.netqueue.core.windows.nettable.core.windows.netblob.core.windows.netlogin.microsoftonline.comlogin.windows.netgraph.windows.netservicebus.windows.neta .vault.azure.netNasazení služby SQL Managed Instance do virtuální sítě, která má přidruženou privátní zónu Azure DNS, která používá název vyhrazený pro služby Microsoft selže. Přidružení privátní zóny Azure DNS, která používá rezervovaný název k virtuální síti, která obsahuje spravovanou instanci, vykreslí službu SQL Managed Instance nedostupnou. Informace o konfiguraci služby Private Link najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Další kroky
- Přehled najdete v tématu Co je Spravovaná instance Azure SQL?
- Další informace najdete v tématu Architektura virtuálního clusteru.
- Zjistěte, jak nastavit novou virtuální síť Azure nebo existující virtuální síť Azure, kde můžete nasadit službu SQL Managed Instance.
- Vypočítat velikost podsítě , do které chcete nasadit službu SQL Managed Instance.
- Zjistěte, jak vytvořit spravovanou instanci:
- Na webu Azure Portal.
- Pomocí PowerShellu.
- Pomocí šablony Azure Resource Manageru.
- Pomocí šablony Azure Resource Manageru s jumpboxem a sadou SQL Server Management Studio.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro