Condividi tramite


Abilitare la configurazione della subnet assistita dal servizio per Istanza gestita di SQL di Azure

Si applica a: Istanza gestita di SQL di Azure SQL

Questo articolo offre una panoramica della configurazione della subnet con supporto del servizio e di come questa interagisce con le subnet delegate per l’istanza gestita di SQL di Azure. La configurazione di una subnet con supporto del servizio automatizza la gestione della configurazione di rete per le subnet con hosting di istanze gestite, lasciando all'utente il pieno controllo dell'accesso ai dati (flussi di traffico TDS), mentre l'istanza gestita è responsabile di garantire un flusso ininterrotto del traffico di gestione.

Panoramica

Per migliorare la sicurezza, la gestibilità e la disponibilità del servizio, Istanza gestita di SQL automatizza la gestione di determinati percorsi di rete critici all'interno della subnet dell'utente. Per farlo occorre configurare la subnet, il gruppo di sicurezza di rete associato e la tabella di route in modo da contenere l'insieme di voci necessarie.

Il meccanismo che esegue questa operazione è denominato criterio di intento di rete. Il criterio di intento di rete viene applicato automaticamente alla subnet quando viene delegato per la prima volta al provider di risorse Microsoft.Sql/managedInstances di Istanza gestita di SQL di Azure. A questo punto, la configurazione automatica diventa effettiva. Quando si elimina da una subnet l’ultima istanza gestita, vengono rimossi dalla subnet anche i criteri relativi alle finalità di rete.

Effetto del criterio di intento di rete nella subnet delegata

Se applicato a una subnet, il criterio di intento di rete estenderà la tabella di route e il gruppo di sicurezza di rete associati alla subnet aggiungendo regole e route obbligatorie e facoltative.

Se applicato a una subnet, il criterio di intento di rete non impedirà di aggiornare la maggior parte della configurazione della subnet. Ogni volta che si modifica la tabella di route della subnet o si aggiornano le regole del gruppo di sicurezza di rete, il criterio di intento di rete verificherà se le route effettive e le regole di sicurezza sono conformi ai requisiti per Istanza gestita di SQL di Azure. In caso contrario, il criterio di intento di rete genererà un errore e impedirà l'aggiornamento della configurazione.

Questo comportamento si arresta rimuovendo l'ultima istanza gestita dalla subnet e scollegando così il criterio di intento di rete. Non può essere disattivato mentre le istanze gestite sono presenti nella subnet.

Nota

  • È consigliabile mantenere una tabella di route e un NSG separati per ogni subnet delegata. Le regole e le route configurate automaticamente fanno riferimento agli intervalli di subnet specifici che possono esistere in un'altra subnet. Quando si riutilizzano RT e NSG in più subnet delegate a Istanza gestita di SQL di Azure, le regole configurate automaticamente verranno impilate e potrebbero interferire con le regole che regolano il traffico non correlato.
  • È consigliabile non creare dipendenze da una delle regole e delle route gestite dal servizio. Come regola, creare sempre route esplicite e regole NSG per scopi specifici. Le regole obbligatorie e facoltative sono soggette a modifiche.
  • Analogamente, è consigliabile aggiornare le regole gestite dal servizio. Poiché i criteri di intento di rete controllano solo le regole e le route valide, è possibile estendere una delle regole configurate automaticamente, ad esempio per aprire porte aggiuntive per l'ingresso o per estendere il routing a un prefisso più ampio. Tuttavia, le regole e le route configurate dal servizio possono cambiare. È consigliabile creare route e regole di sicurezza personalizzate per ottenere il risultato desiderato.

Regole di sicurezza e route obbligatorie

Per garantire la connettività di gestione ininterrotta per l’istanza gestita di SQL, sono necessarie alcune regole di sicurezza e route, che non possono essere rimosse o modificate.

Le regole e le route obbligatorie iniziano sempre con Microsoft.Sql-managedInstances_UseOnly_mi-.

Nella tabella seguente sono elencate le regole e le route obbligatorie applicate e distribuite automaticamente nella subnet dell'utente:

Tipologia Nome Descrizione
NSG in ingresso Microsoft.Sql-managedInstances_UseOnly_mi-healthprobe-in Consente ai probe di integrità in ingresso dal servizio di bilanciamento del carico associato di raggiungere i nodi dell'istanza. Questo meccanismo consente al servizio di bilanciamento del carico di tenere traccia delle repliche di database attive dopo un failover.
NSG in ingresso Microsoft.Sql-managedInstances_UseOnly_mi-internal-in Garantisce la connettività interna dei nodi necessaria per le operazioni di gestione.
NSG in uscita Microsoft.Sql-managedInstances_UseOnly_mi-internal-out Garantisce la connettività interna dei nodi necessaria per le operazioni di gestione.
Itinerario Microsoft.Sql-managedInstances_UseOnly_mi-subnet-<range>-to-vnetlocal Assicura che sia sempre presente una route che permetta ai nodi interni di raggiungersi a vicenda.

Nota

Alcune subnet contengono regole di sicurezza di rete e route obbligatorie aggiuntive, che non sono elencate in una delle due sezioni precedenti. Tali regole vengono considerate obsolete e verranno rimosse dalle subnet.

Regole di sicurezzae route facoltative

Alcune regole e route sono facoltative e possono essere modificate o rimosse in modo sicuro senza compromettere la connettività di gestione interna delle istanze gestite. Queste regole facoltative vengono usate per mantenere la connettività in uscita delle istanze gestite distribuite, presupponendo che l’intero set di regole e route obbligatorie sia ancora in vigore.

Importante

Le regole e le route facoltative saranno deprecate in futuro. È consigliabile aggiornare le procedure di distribuzione e configurazione di rete in modo che ogni distribuzione di Istanza gestita di SQL di Azure in una nuova subnet venga seguita da una rimozione esplicita e/o sostituzione delle regole e delle route facoltative, in modo che solo il traffico minimo richiesto sia consentito per il flusso.

Per consentire di distinguere le regole e le route obbligatorie da quelle facoltative, i nomi delle regole e delle route facoltative e iniziano sempre con Microsoft.Sql-managedInstances_UseOnly_mi-optional-.

Nella tabella seguente sono elencate le regole e le route facoltative che possono essere modificate o rimosse:

Tipologia Nome Descrizione
NSG in uscita Microsoft.Sql-managedInstances_UseOnly_mi-optional-azure-out Regola di sicurezza facoltativa per mantenere la connettività HTTPS in uscita verso Azure.
Itinerario Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<region> Route facoltativa verso i servizi AzureCloud nell'area primaria.
Itinerario Microsoft.Sql-managedInstances_UseOnly_mi-optional-AzureCloud.<geo-paired> Route facoltativa verso i servizi AzureCloud nell'area secondaria.

Rimozione del criterio di intento di rete

L'effetto del criterio di intento di rete nella subnet si arresta quando non sono più presenti cluster virtuali all'interno e la delega viene rimossa. Per informazioni dettagliate sul ciclo di vita del cluster virtuale, vedere come eliminare una subnet dopo l'eliminazione di Istanza gestita di SQL.