Konfigurieren eines VNET für eine verwaltete Azure SQL-Datenbank-InstanzConfigure a VNet for Azure SQL Database Managed Instance

In einem virtuellen Azure-Netzwerk (VNET) muss eine verwaltete Azure SQL-Datenbank-Instanz bereitgestellt werden.Azure SQL Database Managed Instance must be deployed within an Azure virtual network (VNet). Diese Bereitstellung ermöglicht die folgenden Szenarien:This deployment enables the following scenarios:

  • Direktes Herstellen einer Verbindung mit einer verwalteten Instanz von einem lokalen NetzwerkConnecting to a Managed Instance directly from an on-premises network
  • Herstellen einer Verbindung zwischen einer verwalteten Instanz und einem Verbindungsserver oder einem anderen lokalen DatenspeicherConnecting a Managed Instance to linked server or another on-premises data store
  • Herstellen einer Verbindung zwischen einer verwalteten Instanz und Azure-RessourcenConnecting a Managed Instance to Azure resources

PlanPlan

Planen Sie die Bereitstellung einer verwalteten Instanz im virtuellen Netzwerk, indem Sie folgende Fragen beantworten:Plan how you deploy a Managed Instance in virtual network using your answers to the following questions:

Requirements (Anforderungen)Requirements

Um eine verwaltete Instanz zu erstellen, erstellen Sie ein dediziertes Subnetz (das Subnetz der verwalteten Instanz) innerhalb des virtuellen Netzwerks, das den folgenden Anforderungen entspricht:To create a Managed Instance, create a dedicated subnet (the Managed Instance subnet) inside the virtual network that conforms to the following requirements:

  • Dediziertes Subnetz: Das Subnetz der verwalteten Instanz darf mit keinem anderen Clouddienst verknüpft und kein Gatewaysubnetz sein.Dedicated subnet: The Managed Instance subnet must not contain any other cloud service associated with it, and it must not be a Gateway subnet. Sie können weder eine verwaltete Instanz in einem Subnetz erstellen, das andere Ressourcen als die verwaltete Instanz enthält, noch zu einem späteren Zeitpunkt Ressourcen im Subnetz hinzufügen.You won’t be able to create a Managed Instance in a subnet that contains resources other than Managed Instance, and you can not later add other resources in the subnet.
  • Kompatible Netzwerksicherheitsgruppe (NSG): Eine NSG, die mit einem Subnetz einer verwalteten Instanz verbunden ist, muss Regeln in den folgenden Tabellen („Obligatorische Eingangssicherheitsregeln“ und „Obligatorische Ausgangssicherheitsregeln“) den Vorrang vor anderen Regeln geben.Compatible Network Security Group (NSG): An NSG associated with a Managed Instance subnet must contain rules shown in the following tables (Mandatory inbound security rules and Mandatory outbound security rules) in front of any other rules. Mit NSGs können Sie den Zugriff auf den Datenendpunkt der verwalteten Instanz vollständig steuern, indem Sie den Datenverkehr über Port 1433 filtern.You can use an NSG to fully control access to the Managed Instance data endpoint by filtering traffic on port 1433.
  • Kompatible benutzerdefinierte Routingtabelle: Das Subnetz der verwalteten Instanz benötigt eine benutzerdefinierte Routingtabelle, der 0.0.0.0.0.0/0 mit dem nächsten Hop zum Internet als obligatorische benutzerdefinierte Route zugewiesen ist.Compatible user-defined route table (UDR): The Managed Instance subnet must have a user route table with 0.0.0.0/0 Next Hop Internet as the mandatory UDR assigned to it. Darüber hinaus können Sie eine benutzerdefinierte Route hinzufügen, die Datenverkehr mit lokalen privaten IP-Bereichen als Ziel über ein virtuelles Netzwerkgateway oder ein virtuelles Netzwerkgerät leitet.In addition, you can add a UDR that routes traffic that has on-premises private IP ranges as a destination through virtual network gateway or virtual network appliance (NVA).
  • Optionales benutzerdefiniertes DNS: Wenn ein benutzerdefiniertes DNS im virtuellen Netzwerk angegeben ist, muss die IP-Adresse des rekursiven Azure-Resolvers (z.B. 168.63.129.16) der Liste hinzugefügt werden.Optional custom DNS: If a custom DNS is specified on the virtual network, Azure's recursive resolver IP address (such as 168.63.129.16) must be added to the list. Weitere Informationen finden Sie unter Konfigurieren des benutzerdefinierten DNS.For more information, see Configuring Custom DNS. Der benutzerdefinierte DNS-Server muss Hostnamen in den folgenden Domänen und deren Subdomänen auflösen können: microsoft.com, windows.net, windows.com, msocsp.com, digicert.com, live.com, microsoftonline.com und microsoftonline-p.com.The custom DNS server must be able to resolve host names in the following domains and their subdomains: microsoft.com, windows.net, windows.com, msocsp.com, digicert.com, live.com, microsoftonline.com, and microsoftonline-p.com.
  • Kein Dienstendpunkte: Dem Subnetz der verwalteten Instanz darf kein Dienstendpunkt zugeordnet sein.No service endpoints: The Managed Instance subnet must not have a service endpoint associated to it. Überprüfen Sie, ob die Option „Dienstendpunkte“ beim Erstellen des virtuellen Netzwerks auf „Deaktiviert“ festgelegt ist.Make sure that service endpoints option is disabled when creating the virtual network.
  • Ausreichende IP-Adressen: Das Subnetz der verwalteten Instanz muss mindestens 16 IP-Adressen aufweisen. Die empfohlene Mindestanzahl sind 32 IP-Adressen.Sufficient IP addresses: The Managed Instance subnet must have the bare minimum of 16 IP addresses (recommended minimum is 32 IP addresses). Weitere Informationen finden Sie unter Ermitteln der Größe des Subnetzes für verwaltete Instanzen.For more information, see Determine the size of subnet for Managed Instances

Wichtig

Wenn das Zielsubnetz nicht alle genannten Anforderungen erfüllt, können Sie keine neue verwaltete Instanz bereitstellen.You won’t be able to deploy a new Managed Instance if the destination subnet is not compatible with all of these requirements. Wenn eine verwaltete Instanz erstellt wird, wird eine Netzwerkabsichtsrichtlinie auf das Subnetz angewendet, um nicht konforme Änderungen an der Netzwerkkonfiguration zu verhindern.When a Managed Instance is created, a Network Intent Policy is applied on the subnet to prevent non-compliant changes to networking configuration. Nachdem die letzte Instanz aus dem Subnetz entfernt wurde, wird auch die Netzwerkabsichtsrichtlinie entfernt.After the last instance is removed from the subnet, the Network Intent Policy is removed as well

Obligatorische EingangssicherheitsregelnMandatory inbound security rules

NAMENAME PORTPORT PROTOKOLLPROTOCOL QUELLESOURCE ZIELDESTINATION AKTIONACTION
managementmanagement 9000, 9003, 1438, 1440, 14529000, 9003, 1438, 1440, 1452 TCPTCP BeliebigAny BeliebigAny ZULASSENAllow
mi_subnetmi_subnet BeliebigAny BeliebigAny MI-SUBNETZMI SUBNET BeliebigAny ZULASSENAllow
health_probehealth_probe BeliebigAny BeliebigAny AzureLoadBalancerAzureLoadBalancer BeliebigAny ZULASSENAllow

Obligatorische AusgangssicherheitsregelnMandatory outbound security rules

NAMENAME PORTPORT PROTOKOLLPROTOCOL QUELLESOURCE ZIELDESTINATION AKTIONACTION
managementmanagement 80, 443, 1200080, 443, 12000 TCPTCP BeliebigAny BeliebigAny ZULASSENAllow
mi_subnetmi_subnet BeliebigAny BeliebigAny BeliebigAny MI-SUBNETZMI SUBNET ZULASSENAllow

Ermitteln der Größe des Subnetzes für verwaltete InstanzenDetermine the size of subnet for Managed Instances

Bei der Erstellung einer verwalteten Instanz ordnet Azure abhängig vom Tarif, den Sie bei der Bereitstellung ausgewählt haben, eine Reihe von virtuellen Computern zu.When you create a Managed Instance, Azure allocates a number of virtual machines depending on the tier you selected during provisioning. Da diese virtuellen Computer Ihrem Subnetz zugeordnet sind, benötigen sie IP-Adressen.Because these virtual machines are associated with your subnet, they require IP addresses. Um bei regulären Vorgängen und bei der Wartung von Diensten Hochverfügbarkeit sicherzustellen, kann Azure zusätzliche virtuelle Computer zuordnen.To ensure high availability during regular operations and service maintenance, Azure may allocate additional virtual machines. Daher ist die Anzahl der erforderlichen IP-Adressen in einem Subnetz größer als die Anzahl der verwalteten Instanzen in diesem Subnetz.As a result, the number of required IP addresses in a subnet is larger than the number of Managed Instances in that subnet.

Prinzipiell benötigt eine verwaltete Instanz zwischen 16 und 256 IP-Adressen in einem Subnetz.By design, a Managed Instance needs a minimum of 16 IP addresses in a subnet and may use up to 256 IP addresses. Daher können Sie bei der Definition Ihrer Subnetz-IP-Adressbereiche die Subnetzmasken /28 bis /24 verwenden.As a result, you can use subnet masks /28 to /24 when defining your subnet IP ranges.

Wichtig

Als Größe für das Subnetz stellen 16 IP-Adressen das absolute Minimum dar, das nur beschränkte Möglichkeiten für eine weitere horizontale Hochskalierung der verwalteten Instanz bietet. Die Auswahl eines Subnetzes mit dem Präfix /27 oder darunter wird dringend empfohlen.Subnet size with 16 IP addresses is the bare minimum with limited potential for the further Managed Instance scale out. Choosing subnet with the prefix /27 or below is highly recommended.

Wenn Sie mehrere verwaltete Instanzen innerhalb des Subnetzes bereitstellen möchten und die Subnetzgröße optimieren müssen, führen Sie mithilfe der folgenden Parameter eine Berechnung durch:If you plan to deploy multiple Managed Instances inside the subnet and need to optimize on subnet size, use these parameters to form a calculation:

  • Azure verwendet fünf IP-Adressen im Subnetz für den eigenen Bedarf.Azure uses five IP addresses in the subnet for its own needs
  • Jede allgemeine Instanz benötigt zwei Adressen.Each General Purpose instance needs two addresses
  • Jede unternehmenskritisch Instanz benötigt vier Adressen.Each Business Critical instance needs four addresses

Beispiel: Sie planen, mit drei universelle und zwei unternehmenskritischen verwalteten Instanzen zu arbeiten.Example: You plan to have three General Purpose and two Business Critical Managed Instances. Dies bedeutet, dass Sie 5 + 3 * 2 + 2 * 4 = 19 IP-Adressen benötigen.That means you need 5 + 3 * 2 + 2 * 4 = 19 IP addresses. Da IP-Adressbereiche in Zweierpotenzen definiert sind, benötigen Sie den IP-Adressbereich von 32 (2^5) IP-Adressen.As IP ranges are defined in power of 2, you need the IP range of 32 (2^5) IP addresses. Aus diesem Grund müssen Sie das Subnetz mit der Subnetzmaske /27 reservieren.Therefore, you need to reserve the subnet with subnet mask of /27.

Wichtig

Die oben gezeigte Berechnung wird mit weiteren Verbesserungen demnächst veralten.Calculation displayed above will become obsolete with further improvements.

Erstellen eines neuen virtuellen Netzwerks für eine verwaltete InstanzCreate a new virtual network for a Managed Instance

Die einfachste Möglichkeit zum Erstellen und Konfigurieren eines virtuellen Netzwerks ist die Verwendung der Azure Resource Manager-Bereitstellungsvorlage.The easiest way to create and configure virtual network is to use Azure Resource Manager deployment template.

  1. Melden Sie sich beim Azure-Portal an.Sign in to the Azure portal.

  2. Verwenden Sie die Schaltfläche In Azure bereitstellen, um das virtuelle Netzwerk in Azure-Cloud bereitzustellen:Use Deploy to Azure button to deploy virtual network in Azure cloud:

    Diese Schaltfläche öffnet ein Formular zum Konfigurieren der Netzwerkumgebung, in der Sie die verwaltete Instanz bereitstellen können.This button will open a form that you can use to configure network environment where you can deploy Managed Instance.

    Hinweis

    Diese Azure Resource Manager-Vorlage stellt das virtuelle Netzwerk mit zwei Subnetzen bereit.This Azure Resource Manager template will deploy virtual network with two subnets. Ein Subnetz namens ManagedInstances ist für verwaltete Instanzen reserviert und verfügt über eine vorkonfigurierte Routingtabelle, während das andere Subnetz namens Standard für andere Ressourcen verwendet wird, die auf die verwaltete Instanz zugreifen sollen (z. B. Azure Virtual Machines).One subnet called ManagedInstances is reserved for Managed Instances and has pre-configured route table, while the other subnet called Default is used for other resources that should access Managed Instance (for example, Azure Virtual Machines). Sie können das Subnetz Standard entfernen, wenn Sie es nicht benötigen.You can remove Default subnet if you don't need it.

  3. Konfigurieren Sie die Netzwerkumgebung.Configure network environment. Im folgenden Formular können Sie Parameter für Ihre Netzwerkumgebung konfigurieren:On the following form you can configure parameters of your network environment:

Azure-Netzwerk konfigurieren

Sie können die Namen des VNETs und der Subnetze ändern und die Ihren Netzwerkressourcen zugeordneten IP-Adressbereiche anpassen.You might change the names of VNet and subnets and adjust IP ranges associated to your networking resources. Sobald Sie auf die Schaltfläche „Kaufen“ klicken, erstellt und konfiguriert dieses Formular Ihre Umgebung.Once you press "Purchase" button, this form will create and configure your environment. Wenn Sie keine zwei Subnetze benötigen, können Sie das Subnetz „Standard“ löschen.If you don't need two subnets you can delete the default one.

Ändern eines bestehenden virtuellen Netzwerks für verwaltete InstanzenModify an existing virtual network for Managed Instances

In den Fragen und Antworten in diesem Abschnitt wird erläutert, wie eine verwaltete Instanz zu einem vorhandenen virtuellen Netzwerk hinzugefügt wird.The questions and answers in this section show you how to add a Managed Instance to existing virtual network.

Verwenden Sie das klassische oder das Resource Manager-Bereitstellungsmodell für das bestehende virtuelle Netzwerk?Are you using Classic or Resource Manager deployment model for the existing virtual network?

Sie können nur eine verwaltete Instanz in virtuellen Resource Manager-Netzwerken erstellen.You can only create a Managed Instance in Resource Manager virtual networks.

Möchten Sie ein neues Subnetz für verwaltete SQL-Instanzen erstellen oder ein vorhandenes verwenden?Would you like to create new subnet for SQL Managed instance or use existing one?

Wenn Sie ein neues Subnetz erstellen möchten, gehen Sie wie folgt vor:If you would like to create new one:

Wenn Sie eine verwaltete Instanz in einem vorhandenen Subnetz erstellen möchten, empfehlen wir das folgende PowerShell-Skript zum Vorbereiten des Subnetzes.If you want to create a Managed Instance inside an existing subnet, we recommend the following PowerShell script to prepare the subnet.

$scriptUrlBase = 'https://raw.githubusercontent.com/Microsoft/sql-server-samples/master/samples/manage/azure-sql-db-managed-instance/prepare-subnet'

$parameters = @{
    subscriptionId = '<subscriptionId>'
    resourceGroupName = '<resourceGroupName>'
    virtualNetworkName = '<virtualNetworkName>'
    subnetName = '<subnetName>'
    }

Invoke-Command -ScriptBlock ([Scriptblock]::Create((iwr ($scriptUrlBase+'/prepareSubnet.ps1?t='+ [DateTime]::Now.Ticks)).Content)) -ArgumentList $parameters

Die Subnetzvorbereitung erfolgt in drei einfachen Schritten:Subnet preparation is done in three simple steps:

  • Überprüfen: Das ausgewählte virtuelle Netzwerk und das Subnetz werden im Hinblick auf die Netzwerkanforderungen der verwalteten Instanz überprüft.Validate - Selected virtual netwok and subnet are validated for Managed Instance networking requirements
  • Bestätigen: Dem Benutzer wird eine Reihe von Änderungen angezeigt, mit denen das Subnetz für die Bereitstellung der verwalteten Instanz vorbereitet werden soll und die er bestätigen muss.Confirm - User is shown a set of changes that need to be made to prepare subnet for Managed Instance deployment and asked for consent
  • Vorbereiten: Das virtuelle Netzwerk und das Subnetz werden ordnungsgemäß konfiguriert.Prepare - Virtual network and subnet are configured properly

Haben Sie einen benutzerdefinierten DNS-Server konfiguriert?Do you have custom DNS server configured?

Falls ja, lesen Sie den Artikel Konfigurieren eines benutzerdefinierten DNS.If yes, see Configuring a Custom DNS.

Nächste SchritteNext steps