Activer la configuration du sous-réseau assistée par le service pour Azure SQL Managed Instance
S’applique à : 
Azure SQL Managed Instance
Cet article fournit une vue d’ensemble de la configuration du sous-réseau assistée par le service et explique comment cela interagit avec les sous-réseaux délégués à Azure SQL Managed Instance. La configuration du sous-réseau assistée par le service automatise la gestion de la configuration réseau pour les sous-réseaux qui hébergent des instances managées, laissant à l’utilisateur le contrôle total de l’accès aux données (flux de trafic TDS), tandis que l’instance managée est chargée de garantir un flux ininterrompu du trafic de gestion.
Vue d’ensemble
Pour améliorer la sécurité, la facilité de gestion et la disponibilité du service, SQL Managed Instance automatise la gestion de certains parcours réseau critiques à l’intérieur du sous-réseau de l’utilisateur. Pour ce faire, configurez le sous-réseau, son groupe de sécurité réseau associé et la table de routage pour contenir un ensemble d’entrées requises.
Le mécanisme qui effectue cette opération est appelé stratégie d’intention réseau. Une stratégie d’intention réseau est automatiquement appliquée au sous-réseau lorsqu’elle est d’abord déléguée au fournisseur de ressources d’Azure SQL Managed Instance Microsoft.Sql/managedInstances. À ce stade, la configuration automatique prend effet. Lorsque vous supprimez la dernière instance managée d’un sous-réseau, la stratégie d’intention de réseau est également supprimée de ce sous-réseau.
Effet de la stratégie d’intention réseau sur le sous-réseau délégué
Lorsqu’elle est appliquée à un sous-réseau, la stratégie d’intention réseau étend la table de routage et le groupe de sécurité réseau associés au sous-réseau en ajoutant des règles et des itinéraires obligatoires et facultatifs.
Bien qu’elle soit appliquée à un sous-réseau, une stratégie d’intention réseau ne vous empêche pas de mettre à jour la plupart de la configuration du sous-réseau. Chaque fois que vous modifiez la table de routage du sous-réseau ou que vous mettez à jour ses règles de groupe de sécurité réseau, la stratégie d’intention réseau vérifie si les itinéraires effectifs et les règles de sécurité sont conformes aux exigences d’Azure SQL Managed Instance. Si ce n’est pas le cas, la stratégie d’intention réseau provoque une erreur et vous empêche de mettre à jour la configuration.
Ce comportement s’arrête lorsque vous supprimez la dernière instance managée du sous-réseau et que la stratégie d’intention réseau est détachée. Elle ne peut pas être désactivée pendant que les instances managées sont présentes dans le sous-réseau.
Remarque
- Nous vous conseillons de conserver une table de routage et un NSG distincts pour chaque sous-réseau délégué. Les règles et itinéraires configurés automatiquement référencent les plages de sous-réseaux spécifiques qui peuvent exister dans un autre sous-réseau. Lorsque vous réutilisez des RTs et des groupes de sécurité réseau sur plusieurs sous-réseaux délégués à Azure SQL Managed Instance, les règles configurées automatiquement sont empilées et peuvent interférer avec les règles régissant le trafic non lié.
- Nous vous conseillons de prendre la dépendance sur l’une des règles et itinéraires gérés par le service. En règle générale, créez toujours des itinéraires explicites et des règles de groupe de sécurité réseau à des fins particulières. Les règles obligatoires et facultatives sont sujettes à modification.
- De même, nous vous conseillons de mettre à jour les règles gérées par le service. Étant donné que la stratégie d’intention réseau vérifie uniquement les règles et itinéraires effectifs, il est possible d’étendre l’une des règles configurées automatiquement, par exemple pour ouvrir des ports supplémentaires pour le trafic entrant ou pour étendre le routage vers un préfixe plus large. Toutefois, les règles et itinéraires configurés par le service peuvent changer. Il est préférable de créer vos propres itinéraires et règles de sécurité pour obtenir le résultat souhaité.
Règles et itinéraires de sécurité obligatoires
Pour garantir une connectivité de gestion ininterrompue pour SQL Managed Instance, certaines règles et certains itinéraires de sécurité sont obligatoires et ne peuvent pas être supprimés ou modifiés.
Les règles et itinéraires obligatoires commencent toujours par Microsoft.Sql-managedInstances_UseOnly_mi-.
Le tableau suivant répertorie les règles et itinéraires obligatoires qui sont appliqués et déployés automatiquement sur le sous-réseau de l’utilisateur :
| Genre | Nom | Description |
|---|---|---|
| NSG entrant | Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in | Permet aux sondes d’intégrité entrantes de l’équilibreur de charge associé d’atteindre les nœuds d’instance. Ce mécanisme permet à l’équilibreur de charge de suivre les réplicas de base de données actifs après un basculement. |
| NSG entrant | Microsoft.Sql-managedInstances_UseOnly_mi-internal-in | Garantit la connectivité des nœuds internes requise pour les opérations de gestion. |
| NSG sortant | Microsoft.Sql-managedInstances_UseOnly_mi-internal-out | Garantit la connectivité des nœuds internes requise pour les opérations de gestion. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal | Garantit qu’il existe toujours un itinéraire pour que les nœuds internes s’atteignent les uns les autres. |
Remarque
Certains sous-réseaux contiennent des règles et des itinéraires de sécurité réseau obligatoires supplémentaires qui ne sont pas répertoriés dans l’une des deux sections ci-dessus. Ces règles sont considérées comme obsolètes et seront supprimées de leurs sous-réseaux.
Règles et itinéraires de sécurité facultatifs
Certaines règles et itinéraires sont facultatifs et peuvent être supprimés en toute sécurité sans compromettre la connectivité de gestion interne des instances managées. Ces règles facultatives sont utilisées pour préserver la connectivité sortante des instances managées déployées avec l’hypothèse que le complément complet des règles et itinéraires obligatoires sera toujours en place.
Important
Les règles et itinéraires facultatifs seront déconseillés à l’avenir. Nous vous conseillons vivement de mettre à jour vos procédures de déploiement et de configuration réseau afin que chaque déploiement d’Azure SQL Managed Instance dans un nouveau sous-réseau soit suivi d’une suppression et/ou d’un remplacement explicite des règles et itinéraires facultatifs, afin que seul le trafic minimal requis soit autorisé à circuler.
Pour vous aider à différencier les règles et itinéraires facultatifs des règles et itinéraires obligatoires, les noms des règles et itinéraires facultatifs commencent toujours par Microsoft.Sql-managedInstances_UseOnly_mi-optional-.
Le tableau suivant répertorie les règles et itinéraires facultatifs qui peuvent être modifiés ou supprimés :
| Genre | Nom | Description |
|---|---|---|
| NSG sortant | Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out | Règle de sécurité facultative pour préserver la connectivité HTTPS sortante à Azure. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> | Itinéraire facultatif vers les services AzureCloud dans la région primaire. |
| Route | Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> | Itinéraire facultatif vers les services AzureCloud dans la région secondaire. |
Suppression de la stratégie d’intention réseau
L’effet de la stratégie d’intention réseau sur le sous-réseau s’arrête lorsqu’il n’y a plus de clusters virtuels à l’intérieur et que la délégation est supprimée. Pour en savoir plus sur le cycle de vie du cluster virtuel, reportez-vous à comment supprimer un sous-réseau après avoir supprimé une SQL Managed Instance.