Usługa Azure SQL Database Managed architektura łączności wystąpieniaAzure SQL Database Managed Instance Connectivity Architecture

Ten artykuł zawiera omówienie komunikacji wystąpienia zarządzanego Azure SQL Database i architektura łączności także wyjaśnia, jak różnych składników funkcji do kierowania ruchu do wystąpienia zarządzanego.This article provides the Azure SQL Database Managed Instance communication overview and explains connectivity architecture as well as how the different components function to direct traffic to the Managed Instance.

Azure SQL Database Managed Instance umieszcza się wewnątrz sieci wirtualnej platformy Azure i podsieć dedykowanego wystąpienia zarządzane przez usługę.The Azure SQL Database Managed Instance is placed inside Azure VNet and the subnet dedicated to Managed Instances. To wdrożenie umożliwia następujące scenariusze:This deployment enables the following scenarios:

  • Zabezpiecz prywatny adres IP.Secure private IP address.
  • Połączenie do wystąpienia zarządzanego, bezpośrednio z siecią lokalną.Connecting to a Managed Instance directly from an on-premises network.
  • Nawiązywanie połączenia z wystąpienia zarządzanego połączonego serwera lub innego lokalnego magazynu danych.Connecting a Managed Instance to linked server or another on-premises data store.
  • Wystąpienie zarządzane nawiązywania połączenia z zasobami platformy Azure.Connecting a Managed Instance to Azure resources.

Omówienie komunikacjiCommunication overview

Na poniższym diagramie przedstawiono jednostki, łączących się z wystąpieniem zarządzanym, a także zasoby, które ma Dotrzyj do prawidłowego wystąpienia zarządzanego.The following diagram shows entities that connect to Managed Instance as well as resources that Managed Instance has to reach out in order to function properly.

jednostki architektura łączności

Komunikat, który jest przedstawiony w dolnej części diagramu reprezentuje aplikacji klientów i narzędzia do nawiązywania połączenia z wystąpienia zarządzanego jako źródło danych.Communication that is depicted on the bottom of the diagram represents customer applications and tools connecting to Managed Instance as data source.

Jak wystąpienie zarządzane to platformy jako a usługi (PaaS) z oferty firmy Microsoft zarządza tę usługę przy użyciu zautomatyzowanych agentów (zarządzania, wdrażania i konserwacji) oparte na strumieniach danych telemetrycznych.As Managed Instance is platform-as-a-services (PaaS) offering, Microsoft manages this service using automated agents (management, deployment, and maintenance) based on telemetry data streams. Wystąpienie zarządzane usługi zarządzania jest wyłączną odpowiedzialność firmy Microsoft, klienci nie będą mogli dostęp do maszyn wirtualnych klastra wystąpienie zarządzane za pośrednictwem protokołu RDP.As Managed Instance management is solely Microsoft responsibility, customers are not able to access Managed Instance virtual cluster machines through RDP.

Niektóre operacje programu SQL Server, inicjowane przez użytkowników końcowych lub aplikacje mogą wymagać wystąpienia zarządzanego do interakcji z platformą.Some SQL Server operations initiated by the end users or applications may require Managed Instance to interact with the platform. Jeden przypadek to wystąpienie zarządzane bazy danych — z zasobem, który jest dostępna za pośrednictwem portalu, programu PowerShell i wiersza polecenia platformy Azure.One case is the creation of a Managed Instance database - a resource that is exposed through the portal, PowerShell, and Azure CLI.

Wystąpienie zarządzane jest zależny od innych usług platformy Azure do ich prawidłowego funkcjonowania (np. usługi Azure Storage do przechowywania kopii zapasowych dla telemetrii usługi Azure Service Bus, usługa Azure AD do uwierzytelniania, usługi Azure Key Vault dla funkcji TDE i tak dalej) i inicjuje połączenia z tymi odpowiednio.Managed Instance depends on other Azure Services for its proper functioning (such as Azure Storage for backups, Azure Service Bus for telemetry, Azure AD for authentication, Azure Key Vault for TDE, and so forth) and initiates connections to them accordingly.

Cała komunikacja z wymienionych powyżej, są szyfrowane i podpisany przy użyciu certyfikatów.All communications, stated above, are encrypted and signed using certificates. Aby upewnić się, że komunikujące się strony są zaufane, wystąpienia zarządzanego stale sprawdza te certyfikaty, kontaktując się z urzędu certyfikacji.To make sure that communicating parties are trusted, Managed Instance constantly verifies these certificates by contacting Certificate Authority. Jeśli certyfikaty zostaną odwołane lub wystąpienia zarządzanego nie można zweryfikować je, zamyka połączenia, aby chronić dane.If the certificates are revoked or Managed Instance could not verify them, it closes the connections to protect the data.

Architektura wysokiego poziomu łącznościHigh-level connectivity architecture

Na wysokim poziomie wystąpienie zarządzane to zestaw składników usługi w serwisie to dedykowany zestaw izolowane maszyny wirtualne uruchamiane w podsieci sieci wirtualnej klienta, które tworzą klaster wirtualny.At a high level, Managed Instance is a set of service components, hosted on a dedicated set of isolated virtual machines that run inside the customer virtual network subnet and form a virtual cluster.

Wiele wystąpień zarządzanych może być realizowany w jednym klastrem wirtualnym.Multiple Managed Instances could be hosted in single virtual cluster. Klaster jest automatycznie rozszerzony lub nabytej w razie potrzeby zmianie liczby wystąpień aprowizowane w podsieci klienta.The cluster is automatically expanded or contracted if needed when the customer changes the number of provisioned instances in the subnet.

Aplikacje klienta można połączyć się z wystąpieniem zarządzanym, zapytań i aktualizacji bazy danych tylko wtedy, gdy są uruchamiane wewnątrz sieci wirtualnej lub równorzędnej sieci wirtualnej lub sieci VPN / Expressroute połączone sieci przy użyciu punktu końcowego za pomocą prywatnego adresu IP.Customer applications could connect to Managed Instance, query and update databases only if they run inside the virtual network or peered virtual network or VPN / Express Route connected network using endpoint with private IP address.

diagram architektury łączności

Zarządzanie i wdrażanie usług firmy Microsoft jest wykonywany poza siecią wirtualną, dzięki połączenia między wystąpieniem zarządzanym i usług firmy Microsoft przechodzi przez punkty końcowe z publicznych adresów IP.Microsoft management and deployment services run outside of the virtual network so connection between Managed Instance and Microsoft services goes over the endpoints with public IP addresses. Gdy wystąpienie zarządzane tworzy połączenie wychodzące, po stronie odbierającej wygląda ona pochodzi ten publiczny adres IP z powodu translacji adresów sieciowych (NAT).When Managed Instance creates outbound connection, on receiving end it looks like it’s coming from this public IP due to Network Address Translation (NAT).

Ruch zarządzania odbywa się za pośrednictwem sieci wirtualnej klienta.Management traffic flows through the customer virtual network. Oznacza to, że wpływają na elementy infrastruktury sieci wirtualnej i może potencjalnie szkód ruch związany z zarządzaniem powodują, że wystąpienia wejść w stan uszkodzony i staną się niedostępne.That means that elements of virtual network infrastructure affect and could potentially harm management traffic causing instance to enter faulty state and become unavailable.

Ważne

Do poprawy jakości obsługi klienta i dostępności usług, Microsoft stosuje zasady intencji sieci elementy infrastruktury sieci wirtualnej platformy Azure, które mogą wpłynąć na działanie wystąpienia zarządzanego.To improve customer experience and service availability, Microsoft applies Network Intent Policy on Azure virtual network infrastructure elements that could affect Managed Instance functioning. Jest to mechanizm platformy do komunikowania się wymagania sieciowe w sposób niewidoczny dla użytkownika użytkownikom końcowym z głównym celem, aby zapobiec błędnej konfiguracji sieci i upewnij się, normalnej wystąpienia zarządzanego.This is a platform mechanism to communicate transparently networking requirements to end users, with main goal to prevent network misconfiguration and ensure normal Managed Instance operations. Po usunięciu wystąpienia zarządzanego sieciowe przeznaczenie zasady zostaną usunięte także.Upon Managed Instance deletion Network Intent Policy is removed as well.

Architektura łączności klaster wirtualnyVirtual cluster connectivity architecture

Przyjrzyjmy się szczegółowo z wizualizacją w architekturze połączenia wystąpienia zarządzanego.Let’s take a deeper dive in Managed Instance connectivity architecture. Na poniższym diagramie przedstawiono koncepcyjny układ klaster wirtualny.The following diagram shows the conceptual layout of the virtual cluster.

klaster wirtualny diagram architektury łączności

Klienci łączą się z wystąpieniem zarządzanym przy użyciu nazwy hosta, który ma postać z <mi_name>.<dns_zone>.database.windows.net.Clients connect to Managed Instance using the host name that has a form <mi_name>.<dns_zone>.database.windows.net. Ta nazwa hosta jest rozpoznawany jako prywatny adres IP jest zarejestrowany w publicznej strefie DNS, i jest rozpoznania publicznie.This host name resolves to private IP address although it is registered in public DNS zone and is publicly resolvable. zone-id Jest generowana automatycznie po utworzeniu klastra.The zone-id is automatically generated when the cluster is created. Jeśli nowo utworzonego klastra jest hostem dodatkowej wystąpienia zarządzanego, udostępnia identyfikatora strefy za pomocą klastra podstawowego.If a newly created cluster is hosting a secondary managed instance, it shares its zone id with the primary cluster. Aby uzyskać więcej informacji, zobacz grup automatyczny tryb failoverFor more information, see Auto-failover groups

Ten prywatny adres IP należy do zarządzanego wystąpienia wewnętrznego obciążenia równoważenia (ILB) która kieruje ruch do bramy zarządzane wystąpienia (GW).This private IP address belongs to the Managed Instance Internal Load Balancer (ILB) that directs traffic to the Managed Instance Gateway (GW). Zgodnie z wewnątrz tego samego klastra, potencjalnie może uruchomić wiele wystąpień zarządzanych, GW używa nazwy hosta wystąpienia zarządzanego przekierowywanie ruchu na prawidłowe usługi aparatu programu SQL.As multiple Managed Instances could potentially run inside the same cluster, GW uses Managed Instance host name to redirect traffic to the correct SQL Engine service.

Połączenie usług zarządzania i wdrażania do wystąpienia zarządzanego przy użyciu punkt końcowy zarządzania mapuje zewnętrzny moduł równoważenia obciążenia.Management and deployment services connect to Managed Instance using management endpoint that maps to external load balancer. Ruch jest kierowany do węzłów, tylko wtedy, gdy odbierane na zestaw wstępnie zdefiniowanych portów, które są używane wyłącznie przez składniki zarządzania wystąpienia zarządzanego.Traffic is routed to the nodes only if received on a predefined set of ports that are used exclusively by Managed Instance management components. Wbudowane zapory w węzłach jest skonfigurowana do zezwolenia na ruch tylko z określonych zakresów adresów IP firmy Microsoft.Built-in firewall on the nodes is configured to allow traffic only from Microsoft specific IP ranges. Cała komunikacja między składniki zarządzania i płaszczyzna zarządzania jest wzajemnie uwierzytelnienia certyfikatu.All communication between management components and management plane is mutually certificate authenticated.

Punkt końcowy zarządzaniaManagement endpoint

Klaster wirtualny wystąpienia zarządzanego Azure SQL Database zawiera punkt końcowy zarządzania, używane przez firmę Microsoft do zarządzania wystąpienia zarządzanego.The Azure SQL Database Managed Instance virtual cluster contains a management endpoint that Microsoft uses for managing the Managed Instance. Punkt końcowy zarządzania jest chroniony za pomocą wbudowanej zapory sieciowej poziomu i wzajemne certyfikat weryfikacji na poziomie aplikacji.The management endpoint is protected with built-in firewall on network level and mutual certificate verification on application level. Możesz znaleźć adres ip punktu końcowego zarządzania.You can find management endpoint ip address.

Gdy połączenia były inicjowane z wewnątrz wystąpienia zarządzanego (kopia zapasowa, dziennik inspekcji) wygląda na to, że ruch pochodzący z punktu końcowego zarządzania publicznego adresu IP.When connections are initiated from inside the Managed Instance (backup, audit log) it appears that traffic originates from management endpoint public IP address. Można ograniczyć dostęp usług publicznych z wystąpieniem zarządzanym przez ustawienie reguły zapory zezwalające na tylko za pomocą adresu IP wystąpienia zarządzanego.You could limit access to public services from Managed Instance by setting firewall rules to allow the Managed Instance IP address only. Znajdź więcej einformation o metodzie, która może być Sprawdź wbudowanej zapory wystąpienia zarządzanego.Find mor einformation about the method that can verify the Managed Instance built-in firewall.

Uwaga

To nie ma zastosowania do ustawiania reguły zapory dla usług platformy Azure, które znajdują się w tym samym regionie, co wystąpienie zarządzane usługi platformy Azure ma optymalizacji dla ruchu, który przechodzi między usługami, które są zlokalizowana.This doesn’t apply to setting firewall rules for Azure services that are in the same region as Managed Instance as the Azure platform has an optimization for the traffic that goes between the services that are collocated.

Wymagania dotyczące sieciNetwork requirements

Wystąpienie zarządzane usługi można wdrażać w dedykowanej podsieci (podsieci wystąpienia zarządzanego) wewnątrz sieci wirtualnej, która spełnia następujące wymagania:You can deploy Managed Instance in a dedicated subnet (the Managed Instance subnet) inside the virtual network that conforms to the following requirements:

  • W wersji dedykowanej podsieci: Podsieci wystąpienia zarządzanego nie może zawierać wszystkie inne usługi w chmurze skojarzone z nim, a nie może być podsieć bramy.Dedicated subnet: The Managed Instance subnet must not contain any other cloud service associated with it, and it must not be a Gateway subnet. Nie można utworzyć wystąpienie zarządzane w podsieci, która zawiera zasoby innych niż wystąpienia zarządzanego, a nie można później dodać innych zasobów w podsieci.You won’t be able to create a Managed Instance in a subnet that contains resources other than Managed Instance, and you can not later add other resources in the subnet.
  • Sieciowa grupa zabezpieczeń (NSG) zgodnych: Sieciowa grupa zabezpieczeń skojarzona z podsiecią wystąpienia zarządzanego musi zawierać reguły pokazano w poniższych tabelach (reguł zabezpieczeń ruchu przychodzącego obowiązkowe i reguły zabezpieczeń dla ruchu wychodzącego obowiązkowe) przed jakiekolwiek inne reguły.Compatible Network Security Group (NSG): An NSG associated with a Managed Instance subnet must contain rules shown in the following tables (Mandatory inbound security rules and Mandatory outbound security rules) in front of any other rules. Sieciowa grupa zabezpieczeń można użyć w pełni kontrolować dostęp do endpoint danych wystąpienia zarządzanego, filtrując ruch na porcie 1433.You can use an NSG to fully control access to the Managed Instance data endpoint by filtering traffic on port 1433.
  • Tabeli zgodnych tras zdefiniowanych przez użytkownika (UDR): Podsieci wystąpienia zarządzanego musi mieć tabelę tras użytkownika za pomocą internetowej następnego przeskoku 0.0.0.0/0 jako obowiązkowe trasy zdefiniowanej przez użytkownika do niej przypisany.Compatible user-defined route table (UDR): The Managed Instance subnet must have a user route table with 0.0.0.0/0 Next Hop Internet as the mandatory UDR assigned to it. Ponadto możesz dodać trasy zdefiniowanej przez użytkownika tego kieruje ruch z zakresów IP prywatnych w środowisku lokalnym jako miejsce docelowe za pośrednictwem bramy sieci wirtualnej lub sieci wirtualne urządzenie sieciowe.In addition, you can add a UDR that routes traffic that has on-premises private IP ranges as a destination through virtual network gateway or virtual network appliance (NVA).
  • Opcjonalne niestandardowe DNS: Jeśli niestandardowe DNS jest określona w sieci wirtualnej, należy dodać adres IP platformy Azure cyklicznego programu rozpoznawania nazw (na przykład 168.63.129.16) do listy.Optional custom DNS: If a custom DNS is specified on the virtual network, Azure's recursive resolver IP address (such as 168.63.129.16) must be added to the list. Aby uzyskać więcej informacji, zobacz Konfigurowanie niestandardowych serwerów DNS.For more information, see Configuring Custom DNS. Niestandardowego serwera DNS musi być w stanie rozpoznać nazwy hostów w następujących domen i poddomen ich: microsoft.com, windows.net, windows.com, msocsp.com, digicert.com, live.com, microsoftonline.com, i microsoftonline-p.com.The custom DNS server must be able to resolve host names in the following domains and their subdomains: microsoft.com, windows.net, windows.com, msocsp.com, digicert.com, live.com, microsoftonline.com, and microsoftonline-p.com.
  • Brak punktów końcowych usługi: Podsieci wystąpienia zarządzanego nie może mieć powiązany punktu końcowego usługi.No service endpoints: The Managed Instance subnet must not have a service endpoint associated to it. Upewnij się, że opcji punktów końcowych usługi jest wyłączona podczas tworzenia sieci wirtualnej.Make sure that service endpoints option is disabled when creating the virtual network.
  • Wystarczającą liczbą adresów IP: Podsieci wystąpienia zarządzanego jest posiadanie absolutnego minimum 16 adresów IP (zalecane są co najmniej 32 adresów IP).Sufficient IP addresses: The Managed Instance subnet must have the bare minimum of 16 IP addresses (recommended minimum is 32 IP addresses). Aby uzyskać więcej informacji, zobacz określi rozmiar podsieci wystąpienia zarządzanego.For more information, see Determine the size of subnet for Managed Instances. Można wdrożyć wystąpienia zarządzane przez usługę w istniejąca sieć po skonfigurowaniu go do zaspokojenia wystąpienia zarządzanego, wymagania sieciowe, lub Utwórz nowej sieci i podsieci.You can deploy Managed Instances in the existing network once you configure it to satisfy Managed Instance networking requirements, or create a new network and subnet.

Ważne

Nie można wdrożyć nowe wystąpienie zarządzane, jeśli podsieci docelowej nie jest zgodny ze wszystkimi te wymagania.You won’t be able to deploy a new Managed Instance if the destination subnet is not compatible with all of these requirements. Podczas tworzenia wystąpienia zarządzanego sieciowe przeznaczenie zasady została zastosowana w tej podsieci, aby uniemożliwić niezgodnych zmian do konfiguracji sieci.When a Managed Instance is created, a Network Intent Policy is applied on the subnet to prevent non-compliant changes to networking configuration. Po usunięciu ostatniego wystąpienia z podsieci, sieciowe przeznaczenie zasady zostanie także usuniętaAfter the last instance is removed from the subnet, the Network Intent Policy is removed as well

Reguły zabezpieczeń ruchu przychodzącego obowiązkoweMandatory inbound security rules

Name (Nazwa)Name PortPort ProtokółProtocol Obiekt źródłowySource Element docelowyDestination AkcjaAction
zarządzaniemanagement 9000, 9003, 1438 1440, 14529000, 9003, 1438, 1440, 1452 TCPTCP DowolneAny DowolneAny ZezwalajAllow
mi_subnetmi_subnet DowolneAny DowolneAny PODSIECI WYSTĄPIENIA ZARZĄDZANEGOMI SUBNET DowolneAny ZezwalajAllow
health_probehealth_probe DowolneAny DowolneAny AzureLoadBalancerAzureLoadBalancer DowolneAny ZezwalajAllow

Reguły zabezpieczeń dla ruchu wychodzącego obowiązkoweMandatory outbound security rules

Name (Nazwa)Name PortPort ProtokółProtocol Obiekt źródłowySource Element docelowyDestination AkcjaAction
zarządzaniemanagement 80, 443, 1200080, 443, 12000 TCPTCP DowolneAny DowolneAny ZezwalajAllow
mi_subnetmi_subnet DowolneAny DowolneAny DowolneAny PODSIECI WYSTĄPIENIA ZARZĄDZANEGOMI SUBNET ZezwalajAllow

Uwaga

Chociaż zasady obowiązkowych zabezpieczeń dla ruchu przychodzącego zezwalającą na ruch z wszelkie źródła na portach 9000, 9003, 1438, 1440, 1452 te porty są chronione przez zaporę wbudowanych.Although mandatory inbound security rules allow traffic from Any source on ports 9000, 9003, 1438, 1440, 1452 these ports are protected by built-in firewall. To artykułu pokazuje, jak odnaleźć adres IP punktu końcowego zarządzania i sprawdź reguły zapory.This article shows how you can discover management endpoint IP address and verify firewall rules.

Uwaga

Jeśli używasz replikacji transakcyjnej w wystąpieniu zarządzanym i każdej bazy danych w wystąpieniu zarządzanym usługi jest używany jako wydawca lub dystrybutora, port 445 (ruch wychodzący protokołu TCP) również musi być otwarte w regułach zabezpieczeń dla podsieci w celu uzyskania dostępu do udziału plików platformy Azure.If you are using transactional replication in Managed Instance and any database in Managed Instance is used as publisher or distributor, port 445 (TCP outbound) also needs to be open in the security rules of the subnet to access the Azure file share.

Kolejne krokiNext steps