Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
439 lines (380 sloc) 49.3 KB
title description services ms.service ms.subservice ms.custom ms.devlang ms.topic author ms.author ms.reviewer ms.date ms.openlocfilehash ms.sourcegitcommit ms.translationtype ms.contentlocale ms.lasthandoff ms.locfileid
Архитектура подключения для управляемого экземпляра
Узнайте о архитектуре взаимодействия и подключения управляемого экземпляра базы данных SQL Azure, а также о том, как компоненты направляют трафик в управляемый экземпляр.
sql-database
sql-database
managed-instance
fasttrack-edit
conceptual
srdan-bozovic-msft
srbozovi
sstein, bonova, carlrab
04/16/2019
1b5a48a686a238d724680e806daaed431107ec72
8e9a6972196c5a752e9a0d021b715ca3b20a928f
MT
ru-RU
01/11/2020
75894824

Архитектура подключения для управляемого экземпляра в базе данных SQL Azure

В этой статье описывается обмен данными в управляемом экземпляре базы данных SQL Azure. Он также описывает архитектуру подключения и то, как компоненты направляют трафик в управляемый экземпляр.

Управляемый экземпляр базы данных SQL помещается в виртуальную сеть Azure и подсеть, выделенную для управляемых экземпляров. Это развертывание предоставляет следующие сведения.

  • Защищенный частный IP-адрес.
  • Возможность подключения локальной сети к управляемому экземпляру.
  • Возможность подключения управляемого экземпляра к связанному серверу или другому локальному хранилищу данных.
  • Возможность подключения управляемого экземпляра к ресурсам Azure.

Общие сведения об обмене данными

На следующей диаграмме показаны сущности, подключающиеся к управляемому экземпляру. Здесь также показаны ресурсы, необходимые для взаимодействия с управляемым экземпляром. Процесс связи в нижней части схемы представляет приложения и средства клиента, которые подключаются к управляемому экземпляру в качестве источников данных.

Сущности в архитектуре подключения

Управляемый экземпляр — это предложение "платформа как услуга" (PaaS). Корпорация Майкрософт использует автоматические агенты (управление, развертывание и обслуживание) для управления этой службой на основе потоков данных телеметрии. Поскольку корпорация Майкрософт отвечает за управление, клиенты не могут получить доступ к виртуальным машинам с управляемым экземпляром с помощью протокол удаленного рабочего стола (RDP).

Некоторые операции SQL Server, запущенные конечными пользователями или приложениями, могут потребовать, чтобы управляемые экземпляры взаимодействовали с платформой. Один из вариантов — создание базы данных управляемого экземпляра. Этот ресурс предоставляется через портал Azure, PowerShell, Azure CLI и REST API.

Управляемые экземпляры зависят от служб Azure, таких как хранилище Azure для резервного копирования, концентраторов событий Azure для телеметрии, Azure Active Directory для проверки подлинности, Azure Key Vault для прозрачное шифрование данных (TDE) и нескольких служб платформы Azure, предоставляющих функции обеспечения безопасности и поддержки. Управляемые экземпляры делают подключения к этим службам.

Все сообщения шифруются и подписываются с помощью сертификатов. Чтобы проверить надежность взаимодействующих сторон, управляемые экземпляры постоянно проверяют эти сертификаты с помощью списков отзыва сертификатов. Если сертификаты отозваны, управляемый экземпляр закрывает подключения для защиты данных.

Высокоуровневая архитектура подключения

На высоком уровне управляемый экземпляр — это набор компонентов службы. Эти компоненты размещаются на выделенном наборе изолированных виртуальных машин, которые выполняются внутри подсети клиента. Эти компьютеры формируют виртуальный кластер.

В виртуальном кластере может размещаться несколько управляемых экземпляров. При необходимости кластер автоматически развертывает или отменяет контракты, когда клиент изменяет число подготовленных экземпляров в подсети.

Клиентские приложения могут подключаться к управляемым экземплярам и выполнять запросы и обновлять базы данных в виртуальной сети, в одноранговой виртуальной сети или в сети, подключенной через VPN или Azure ExpressRoute. Эта сеть должна использовать конечную точку и частный IP-адрес.

Схема архитектуры подключения

Службы управления и развертывания Майкрософт выполняются за пределами виртуальной сети. Управляемый экземпляр и службы Майкрософт подключаются к конечным точкам с общедоступными IP-адресами. Когда управляемый экземпляр создает исходящее подключение, при получении преобразованием сетевых адресов (NAT) подключение будет выглядеть так, как оно поступает от этого общедоступного IP-адреса.

Трафик управления проходит через виртуальную сеть клиента. Это означает, что элементы инфраструктуры виртуальной сети могут повредить трафик управления, делая его недоступным и перестало работать.

[!IMPORTANT] Для улучшения качества обслуживания и доступности служб корпорация Майкрософт применяет политику намерения к сети в элементах инфраструктуры виртуальной сети Azure. Политика может повлиять на работу управляемого экземпляра. Этот механизм платформы прозрачно передает пользователям требования к сети. Основная цель политики — предотвратить неправильное конфигурирование сети и обеспечить нормальные операции с управляемыми экземплярами. При удалении управляемого экземпляра также удаляется политика намерения к сети.

Архитектура подключения виртуального кластера

Давайте подробнее рассмотрим архитектуру подключения для управляемых экземпляров. На схеме ниже показан концептуальной макет виртуального кластера.

Архитектура подключения виртуального кластера

Клиенты подключаются к управляемому экземпляру с помощью имени узла, имеющего форму <mi_name>.<dns_zone>.database.windows.net. Это имя узла разрешается в частный IP-адрес, хотя он регистрируется в общедоступной DNS-зоне и является публично разрешимым. zone-id создается автоматически при создании кластера. Если в созданном кластере размещен вторичный управляемый экземпляр, его идентификатор зоны будет совместно с основным кластером. Дополнительные сведения см. в разделе Использование групп автоматической отработки отказа для включения прозрачной и координированной отработки отказа нескольких баз данных.

Этот частный IP-адрес принадлежит внутренней подсистеме балансировки нагрузки управляемого экземпляра. Балансировщик нагрузки направляет трафик на шлюз управляемого экземпляра. Поскольку несколько управляемых экземпляров могут работать в одном кластере, шлюз использует имя узла управляемого экземпляра для перенаправления трафика в правильную службу ядра СУБД SQL.

Службы управления и развертывания подключаются к управляемому экземпляру с помощью конечной точки управления , сопоставленной с внешней подсистемой балансировки нагрузки. Трафик направляется на узлы, только если он получен на предопределенном наборе портов, используемых только компонентами управления управляемого экземпляра. Встроенный брандмауэр на узлах настроен на разрешение трафика только из диапазонов IP-адресов Майкрософт. Сертификаты взаимно проходят проверку подлинности всего обмена данными между компонентами управления и плоскостью управления.

Конечная точка управления

Майкрософт управляет управляемым экземпляром с помощью конечной точки управления. Эта конечная точка находится внутри виртуального кластера экземпляра. Конечная точка управления защищена встроенным брандмауэром на уровне сети. На уровне приложения он защищен взаимной проверкой сертификатов. Чтобы найти IP-адрес конечной точки, см. раздел Определение IP-адреса конечной точки управления.

Когда подключения запускаются внутри управляемого экземпляра (как в случае резервного копирования и журналов аудита), трафик запускается с общедоступного IP-адреса конечной точки управления. Можно ограничить доступ к общедоступным службам из управляемого экземпляра, установив правила брандмауэра, чтобы разрешить только IP-адрес управляемого экземпляра. Дополнительные сведения см. в разделе Проверка встроенного брандмауэра управляемого экземпляра.

[!NOTE] Трафик, переходящий в службы Azure в регионе управляемого экземпляра, оптимизирован и по этой причине не является общедоступным IP-адресом конечной точки управления управляемым экземпляром. По этой причине, если необходимо использовать правила брандмауэра на основе IP-адресов, чаще всего для хранилища служба должна находиться в другом регионе от управляемого экземпляра.

Конфигурация подсети с разавтоматизированной службой

Чтобы устранить требования к безопасности и управлению клиентами, Управляемый экземпляр переходит от ручной к конфигурации подсети с поддержкой служб.

При использовании конфигурации с автоматизированной подсетью пользователь имеет полный контроль над трафиком данных (TDS), а Управляемый экземпляр отвечает за обеспечение непрерывного потока трафика управления для выполнения соглашения об уровне обслуживания.

Требования к сети

Развертывание управляемого экземпляра в выделенной подсети внутри виртуальной сети. Подсеть должна иметь следующие характеристики:

  • Выделенная подсеть: Подсеть управляемого экземпляра не может содержать связанную с ней облачную службу и не может быть подсетью шлюза. Подсеть не может содержать ресурсы, но управляемый экземпляр, и позднее добавить другие типы ресурсов в подсеть невозможно.
  • Делегирование подсети: Подсеть управляемого экземпляра должна быть делегирована поставщику ресурсов Microsoft.Sql/managedInstances.
  • Группа безопасности сети (NSG): NSG необходимо связать с подсетью управляемого экземпляра. NSG можно использовать для управления доступом к конечной точке данных управляемого экземпляра путем фильтрации трафика через порт 1433 и порты 11000-11999, если управляемый экземпляр настроен для подключений перенаправления. Служба автоматически добавит правила , необходимые, чтобы разрешить непрерывный поток трафика управления.
  • Таблица определяемого пользователем маршрута (UDR): Таблица UDR должна быть связана с подсетью управляемого экземпляра. Можно добавить записи в таблицу маршрутов для маршрутизации трафика с локальными частными IP-адресами в качестве назначения через шлюз виртуальной сети или устройство виртуальной сети (NVA). Служба автоматически добавит записи , необходимые, чтобы разрешить непрерывный поток трафика управления.
  • Конечные точки службы: Конечные точки службы можно использовать для настройки правил виртуальной сети в учетных записях хранения, которые хранят журналы резервного копирования и аудита.
  • Достаточное количество IP-адресов: Подсеть управляемого экземпляра должна иметь по крайней мере 16 IP-адресов. Рекомендуемый минимум — 32 IP-адресов. Дополнительные сведения см. в разделе Определение размера подсети для управляемых экземпляров. Вы можете развернуть управляемые экземпляры в существующей сети после настройки, чтобы удовлетворить требования к сети для управляемых экземпляров. В противном случае создайте новую сеть и подсеть.

[!IMPORTANT] При создании управляемого экземпляра в подсети применяется политика намерения к сети, чтобы предотвратить несоответствующие изменения в настройке сети. После удаления последнего экземпляра из подсети политика с намерением к сети также удаляется.

Обязательные правила безопасности для входящего трафика с конфигурацией подсети с разавтоматизированной службой

Имя Port Протокол Источник Место назначения Действия
управление 9000, 9003, 1438, 1440, 1452 TCP SqlManagement MI SUBNET Allow
9000, 9003 TCP корпнетсав MI SUBNET Allow
9000, 9003 TCP 65.55.188.0/24, 167.220.0.0/16, 131.107.0.0/16, 94.245.87.0/24 MI SUBNET Allow
mi_subnet Любой Любой MI SUBNET MI SUBNET Allow
health_probe Любой Любой AzureLoadBalancer MI SUBNET Allow

Обязательные правила безопасности для исходящего трафика с конфигурацией подсети с разавтоматизированной службой

Имя Port Протокол Источник Место назначения Действия
управление 443, 12000 TCP MI SUBNET AzureCloud; Allow
mi_subnet Любой Любой MI SUBNET MI SUBNET Allow

Определяемые пользователем маршруты с конфигурацией подсети с разавтоматизированной службой

Имя Префикс адреса Следующий прыжок
подсеть — vnetlocal MI SUBNET Виртуальная сеть
Mi-13-64-11-NextHop-Internet 13.64.0.0/11 Интернет
Mi-13-104-14-NextHop-Internet 13.104.0.0/14 Интернет
Mi-20-34-15-NextHop-Internet 20.34.0.0/15 Интернет
Mi-20-36-14-NextHop-Internet 20.36.0.0/14 Интернет
Mi-20-40-13-NextHop-Internet 20.40.0.0/13 Интернет
Mi-20-128-16-NextHop-Internet 20.128.0.0/16 Интернет
Mi-20-140-15-NextHop-Internet 20.140.0.0/15 Интернет
Mi-20-144-14-NextHop-Internet 20.144.0.0/14 Интернет
Mi-20-150-15-NextHop-Internet 20.150.0.0/15 Интернет
Mi-20-160-12-NextHop-Internet 20.160.0.0/12 Интернет
Mi-20-176-14-NextHop-Internet 20.176.0.0/14 Интернет
Mi-20-180-14-NextHop-Internet 20.180.0.0/14 Интернет
Mi-20-184-13-NextHop-Internet 20.184.0.0/13 Интернет
Mi-40-64-10-NextHop-Internet 40.64.0.0/10 Интернет
Mi-51-4-15-NextHop-Internet 51.4.0.0/15 Интернет
Mi-51-8-16-NextHop-Internet 51.8.0.0/16 Интернет
Mi-51-10-15-NextHop-Internet 51.10.0.0/15 Интернет
Mi-51-12-15-NextHop-Internet 51.12.0.0/15 Интернет
Mi-51-18-16-NextHop-Internet 51.18.0.0/16 Интернет
Mi-51-51-16-NextHop-Internet 51.51.0.0/16 Интернет
Mi-51-53-16-NextHop-Internet 51.53.0.0/16 Интернет
Mi-51-103-16-NextHop-Internet 51.103.0.0/16 Интернет
Mi-51-104-15-NextHop-Internet 51.104.0.0/15 Интернет
Mi-51-107-16-NextHop-Internet 51.107.0.0/16 Интернет
Mi-51-116-16-NextHop-Internet 51.116.0.0/16 Интернет
Mi-51-120-16-NextHop-Internet 51.120.0.0/16 Интернет
Mi-51-124-16-NextHop-Internet 51.124.0.0/16 Интернет
Mi-51-132-16-NextHop-Internet 51.132.0.0/16 Интернет
Mi-51-136-15-NextHop-Internet 51.136.0.0/15 Интернет
Mi-51-138-16-NextHop-Internet 51.138.0.0/16 Интернет
Mi-51-140-14-NextHop-Internet 51.140.0.0/14 Интернет
Mi-51-144-15-NextHop-Internet 51.144.0.0/15 Интернет
Mi-52-96-12-NextHop-Internet 52.96.0.0/12 Интернет
Mi-52-112-14-NextHop-Internet 52.112.0.0/14 Интернет
Mi-52-125-16-NextHop-Internet 52.125.0.0/16 Интернет
Mi-52-126-15-NextHop-Internet 52.126.0.0/15 Интернет
Mi-52-130-15-NextHop-Internet 52.130.0.0/15 Интернет
Mi-52-132-14-NextHop-Internet 52.132.0.0/14 Интернет
Mi-52-136-13-NextHop-Internet 52.136.0.0/13 Интернет
Mi-52-145-16-NextHop-Internet 52.145.0.0/16 Интернет
Mi-52-146-15-NextHop-Internet 52.146.0.0/15 Интернет
Mi-52-148-14-NextHop-Internet 52.148.0.0/14 Интернет
Mi-52-152-13-NextHop-Internet 52.152.0.0/13 Интернет
Mi-52-160-11-NextHop-Internet 52.160.0.0/11 Интернет
Mi-52-224-11-NextHop-Internet 52.224.0.0/11 Интернет
Mi-64-4-18-NextHop-Internet 64.4.0.0/18 Интернет
Mi-65-52-14-NextHop-Internet 65.52.0.0/14 Интернет
Mi-66-119-144-20-NextHop-Internet 66.119.144.0/20 Интернет
Mi-70-37-17-NextHop-Internet 70.37.0.0/17 Интернет
Mi-70-37-128-18-NextHop-Internet 70.37.128.0/18 Интернет
Mi-91-190-216-21-NextHop-Internet 91.190.216.0/21 Интернет
Mi-94-245-64-18-NextHop-Internet 94.245.64.0/18 Интернет
Mi-103-9-8-22-NextHop-Internet 103.9.8.0/22 Интернет
Mi-103-25-156-24-NextHop-Internet 103.25.156.0/24 Интернет
Mi-103-25-157-24-NextHop-Internet 103.25.157.0/24 Интернет
Mi-103-25-158-23-NextHop-Internet 103.25.158.0/23 Интернет
Mi-103-36-96-22-NextHop-Internet 103.36.96.0/22 Интернет
Mi-103-255-140-22-NextHop-Internet 103.255.140.0/22 Интернет
Mi-104-40-13-NextHop-Internet 104.40.0.0/13 Интернет
Mi-104-146-15-NextHop-Internet 104.146.0.0/15 Интернет
Mi-104-208-13-NextHop-Internet 104.208.0.0/13 Интернет
Mi-111-221-16-20-NextHop-Internet 111.221.16.0/20 Интернет
Mi-111-221-64-18-NextHop-Internet 111.221.64.0/18 Интернет
Mi-129-75-16-NextHop-Internet 129.75.0.0/16 Интернет
Mi-131-253-1-24-NextHop-Internet 131.253.1.0/24 Интернет
Mi-131-253-3-24-NextHop-Internet 131.253.3.0/24 Интернет
Mi-131-253-5-24-NextHop-Internet 131.253.5.0/24 Интернет
Mi-131-253-6-24-NextHop-Internet 131.253.6.0/24 Интернет
Mi-131-253-8-24-NextHop-Internet 131.253.8.0/24 Интернет
Mi-131-253-12-22-NextHop-Internet 131.253.12.0/22 Интернет
Mi-131-253-16-23-NextHop-Internet 131.253.16.0/23 Интернет
Mi-131-253-18-24-NextHop-Internet 131.253.18.0/24 Интернет
Mi-131-253-21-24-NextHop-Internet 131.253.21.0/24 Интернет
Mi-131-253-22-23-NextHop-Internet 131.253.22.0/23 Интернет
Mi-131-253-24-21-NextHop-Internet 131.253.24.0/21 Интернет
Mi-131-253-32-20-NextHop-Internet 131.253.32.0/20 Интернет
Mi-131-253-61-24-NextHop-Internet 131.253.61.0/24 Интернет
Mi-131-253-62-23-NextHop-Internet 131.253.62.0/23 Интернет
Mi-131-253-64-18-NextHop-Internet 131.253.64.0/18 Интернет
Mi-131-253-128-17-NextHop-Internet 131.253.128.0/17 Интернет
Mi-132-245-16-NextHop-Internet 132.245.0.0/16 Интернет
Mi-134-170-16-NextHop-Internet 134.170.0.0/16 Интернет
Mi-134-177-16-NextHop-Internet 134.177.0.0/16 Интернет
Mi-137-116-15-NextHop-Internet 137.116.0.0/15 Интернет
Mi-137-135-16-NextHop-Internet 137.135.0.0/16 Интернет
Mi-138-91-16-NextHop-Internet 138.91.0.0/16 Интернет
Mi-138-196-16-NextHop-Internet 138.196.0.0/16 Интернет
Mi-139-217-16-NextHop-Internet 139.217.0.0/16 Интернет
Mi-139-219-16-NextHop-Internet 139.219.0.0/16 Интернет
Mi-141-251-16-NextHop-Internet 141.251.0.0/16 Интернет
Mi-146-147-16-NextHop-Internet 146.147.0.0/16 Интернет
Mi-147-243-16-NextHop-Internet 147.243.0.0/16 Интернет
Mi-150-171-16-NextHop-Internet 150.171.0.0/16 Интернет
Mi-150-242-48-22-NextHop-Internet 150.242.48.0/22 Интернет
Mi-157-54-15-NextHop-Internet 157.54.0.0/15 Интернет
Mi-157-56-14-NextHop-Internet 157.56.0.0/14 Интернет
Mi-157-60-16-NextHop-Internet 157.60.0.0/16 Интернет
Mi-167-220-16-NextHop-Internet 167.220.0.0/16 Интернет
Mi-168-61-16-NextHop-Internet 168.61.0.0/16 Интернет
Mi-168-62-15-NextHop-Internet 168.62.0.0/15 Интернет
Mi-191-232-13-NextHop-Internet 191.232.0.0/13 Интернет
Mi-192-32-16-NextHop-Internet 192.32.0.0/16 Интернет
Mi-192-48-225-24-NextHop-Internet 192.48.225.0/24 Интернет
Mi-192-84-159-24-NextHop-Internet 192.84.159.0/24 Интернет
Mi-192-84-160-23-NextHop-Internet 192.84.160.0/23 Интернет
Mi-192-100-102-24-NextHop-Internet 192.100.102.0/24 Интернет
Mi-192-100-103-24-NextHop-Internet 192.100.103.0/24 Интернет
Mi-192-197-157-24-NextHop-Internet 192.197.157.0/24 Интернет
Mi-193-149-64-19-NextHop-Internet 193.149.64.0/19 Интернет
Mi-193-221-113-24-NextHop-Internet 193.221.113.0/24 Интернет
Mi-194-69-96-19-NextHop-Internet 194.69.96.0/19 Интернет
Mi-194-110-197-24-NextHop-Internet 194.110.197.0/24 Интернет
Mi-198-105-232-22-NextHop-Internet 198.105.232.0/22 Интернет
Mi-198-200-130-24-NextHop-Internet 198.200.130.0/24 Интернет
Mi-198-206-164-24-NextHop-Internet 198.206.164.0/24 Интернет
Mi-199-60-28-24-NextHop-Internet 199.60.28.0/24 Интернет
Mi-199-74-210-24-NextHop-Internet 199.74.210.0/24 Интернет
Mi-199-103-90-23-NextHop-Internet 199.103.90.0/23 Интернет
Mi-199-103-122-24-NextHop-Internet 199.103.122.0/24 Интернет
Mi-199-242-32-20-NextHop-Internet 199.242.32.0/20 Интернет
Mi-199-242-48-21-NextHop-Internet 199.242.48.0/21 Интернет
Mi-202-89-224-20-NextHop-Internet 202.89.224.0/20 Интернет
Mi-204-13-120-21-NextHop-Internet 204.13.120.0/21 Интернет
Mi-204-14-180-22-NextHop-Internet 204.14.180.0/22 Интернет
Mi-204-79-135-24-NextHop-Internet 204.79.135.0/24 Интернет
Mi-204-79-179-24-NextHop-Internet 204.79.179.0/24 Интернет
Mi-204-79-181-24-NextHop-Internet 204.79.181.0/24 Интернет
Mi-204-79-188-24-NextHop-Internet 204.79.188.0/24 Интернет
Mi-204-79-195-24-NextHop-Internet 204.79.195.0/24 Интернет
Mi-204-79-196-23-NextHop-Internet 204.79.196.0/23 Интернет
Mi-204-79-252-24-NextHop-Internet 204.79.252.0/24 Интернет
Mi-204-152-18-23-NextHop-Internet 204.152.18.0/23 Интернет
Mi-204-152-140-23-NextHop-Internet 204.152.140.0/23 Интернет
Mi-204-231-192-24-NextHop-Internet 204.231.192.0/24 Интернет
Mi-204-231-194-23-NextHop-Internet 204.231.194.0/23 Интернет
Mi-204-231-197-24-NextHop-Internet 204.231.197.0/24 Интернет
Mi-204-231-198-23-NextHop-Internet 204.231.198.0/23 Интернет
Mi-204-231-200-21-NextHop-Internet 204.231.200.0/21 Интернет
Mi-204-231-208-20-NextHop-Internet 204.231.208.0/20 Интернет
Mi-204-231-236-24-NextHop-Internet 204.231.236.0/24 Интернет
Mi-205-174-224-20-NextHop-Internet 205.174.224.0/20 Интернет
Mi-206-138-168-21-NextHop-Internet 206.138.168.0/21 Интернет
Mi-206-191-224-19-NextHop-Internet 206.191.224.0/19 Интернет
Mi-207-46-16-NextHop-Internet 207.46.0.0/16 Интернет
Mi-207-68-128-18-NextHop-Internet 207.68.128.0/18 Интернет
Mi-208-68-136-21-NextHop-Internet 208.68.136.0/21 Интернет
Mi-208-76-44-22-NextHop-Internet 208.76.44.0/22 Интернет
Mi-208-84-21-NextHop-Internet 208.84.0.0/21 Интернет
Mi-209-240-192-19-NextHop-Internet 209.240.192.0/19 Интернет
Mi-213-199-128-18-NextHop-Internet 213.199.128.0/18 Интернет
Mi-216-32-180-22-NextHop-Internet 216.32.180.0/22 Интернет
Mi-216-220-208-20-NextHop-Internet 216.220.208.0/20 Интернет

подсеть * MI относится к диапазону IP-адресов для подсети в формате 10. x. x. x/y. Эти сведения можно найти в портал Azure в свойствах подсети.

Кроме того, можно добавить записи в таблицу маршрутов для маршрутизации трафика с локальными частными IP-адресами в качестве назначения через шлюз виртуальной сети или устройство виртуальной сети (NVA).

Если виртуальная сеть содержит настраиваемую службу DNS, пользовательский DNS-сервер должен иметь возможность разрешать общедоступные записи DNS. Использование дополнительных функций, таких как аутентификация Azure AD, может потребовать разрешения дополнительных полных доменных имен. Дополнительные сведения см. в разделе Настройка настраиваемой службы DNS.

Не рекомендуется Требования к сети без конфигурации подсети с разавтоматизированной службой

Развертывание управляемого экземпляра в выделенной подсети внутри виртуальной сети. Подсеть должна иметь следующие характеристики:

  • Выделенная подсеть: Подсеть управляемого экземпляра не может содержать связанную с ней облачную службу и не может быть подсетью шлюза. Подсеть не может содержать ресурсы, но управляемый экземпляр, и позднее добавить другие типы ресурсов в подсеть невозможно.
  • Группа безопасности сети (NSG): NSG, связанный с виртуальной сетью, должен определить правила безопасности для входящего трафика и правила безопасности для исходящего трафика перед любыми другими правилами. NSG можно использовать для управления доступом к конечной точке данных управляемого экземпляра путем фильтрации трафика через порт 1433 и порты 11000-11999, если управляемый экземпляр настроен для подключений перенаправления.
  • Таблица определяемого пользователем маршрута (UDR): Таблица UDR, связанная с виртуальной сетью, должна включать определенные записи.
  • Нет конечных точек службы: С подсетью управляемого экземпляра не должна быть связана конечная точка службы. Убедитесь, что при создании виртуальной сети параметр конечные точки службы отключен.
  • Достаточное количество IP-адресов: Подсеть управляемого экземпляра должна иметь по крайней мере 16 IP-адресов. Рекомендуемый минимум — 32 IP-адресов. Дополнительные сведения см. в разделе Определение размера подсети для управляемых экземпляров. Вы можете развернуть управляемые экземпляры в существующей сети после настройки, чтобы удовлетворить требования к сети для управляемых экземпляров. В противном случае создайте новую сеть и подсеть.

[!IMPORTANT] Невозможно развернуть новый управляемый экземпляр, если в конечной подсети отсутствуют эти характеристики. При создании управляемого экземпляра в подсети применяется политика намерения к сети, чтобы предотвратить несоответствующие изменения в настройке сети. После удаления последнего экземпляра из подсети политика с намерением к сети также удаляется.

Обязательные правила безопасности для входящего трафика

Имя Port Протокол Источник Место назначения Действия
управление 9000, 9003, 1438, 1440, 1452 TCP Любой MI SUBNET Allow
mi_subnet Любой Любой MI SUBNET MI SUBNET Allow
health_probe Любой Любой AzureLoadBalancer MI SUBNET Allow

Обязательные правила безопасности для исходящего трафика

Имя Port Протокол Источник Место назначения Действия
управление 443, 12000 TCP MI SUBNET AzureCloud; Allow
mi_subnet Любой Любой MI SUBNET MI SUBNET Allow

[!IMPORTANT] Убедитесь, что существует только одно правило входящего трафика для портов 9000, 9003, 1438, 1440, 1452 и одно правило исходящего трафика для портов 443, 12000. Управляемый экземпляр подготовка с помощью Azure Resource Manager развертываний завершится ошибкой, если правила для входящих и исходящих подключений настраиваются отдельно для каждого порта. Если эти порты находятся в разных правилах, развертывание завершится с кодом ошибки VnetSubnetConflictWithIntendedPolicy

подсеть * MI относится к диапазону IP-адресов для подсети в формате 10. x. x. x/y. Эти сведения можно найти в портал Azure в свойствах подсети.

[!IMPORTANT] Хотя необходимые правила безопасности для входящего трафика разрешают трафик из любого источника на портах 9000, 9003, 1438, 1440 и 1452, эти порты защищаются встроенным брандмауэром. Дополнительные сведения см. в разделе Определение адреса конечной точки управления. [!NOTE] При использовании репликации транзакций в управляемом экземпляре и при использовании любой базы данных экземпляра в качестве издателя или распространителя откройте порт 445 (исходящий трафик TCP) в правилах безопасности подсети. Этот порт обеспечивает доступ к файловому ресурсу Azure.

Определяемые пользователем маршруты

Имя Префикс адреса Следующий прыжок
subnet_to_vnetlocal MI SUBNET Виртуальная сеть
Mi-13-64-11-NextHop-Internet 13.64.0.0/11 Интернет
Mi-13-96-13-NextHop-Internet 13.96.0.0/13 Интернет
Mi-13-104-14-NextHop-Internet 13.104.0.0/14 Интернет
Mi-20-8-NextHop-Internet 20.0.0.0/8 Интернет
Mi-23-96-13-NextHop-Internet 23.96.0.0/13 Интернет
Mi-40-64-10-NextHop-Internet 40.64.0.0/10 Интернет
Mi-42-159-16-NextHop-Internet 42.159.0.0/16 Интернет
Mi-51-8-NextHop-Internet 51.0.0.0/8 Интернет
Mi-52-8-NextHop-Internet 52.0.0.0/8 Интернет
Mi-64-4-18-NextHop-Internet 64.4.0.0/18 Интернет
Mi-65-52-14-NextHop-Internet 65.52.0.0/14 Интернет
Mi-66-119-144-20-NextHop-Internet 66.119.144.0/20 Интернет
Mi-70-37-17-NextHop-Internet 70.37.0.0/17 Интернет
Mi-70-37-128-18-NextHop-Internet 70.37.128.0/18 Интернет
Mi-91-190-216-21-NextHop-Internet 91.190.216.0/21 Интернет
Mi-94-245-64-18-NextHop-Internet 94.245.64.0/18 Интернет
Mi-103-9-8-22-NextHop-Internet 103.9.8.0/22 Интернет
Mi-103-25-156-22-NextHop-Internet 103.25.156.0/22 Интернет
Mi-103-36-96-22-NextHop-Internet 103.36.96.0/22 Интернет
Mi-103-255-140-22-NextHop-Internet 103.255.140.0/22 Интернет
Mi-104-40-13-NextHop-Internet 104.40.0.0/13 Интернет
Mi-104-146-15-NextHop-Internet 104.146.0.0/15 Интернет
Mi-104-208-13-NextHop-Internet 104.208.0.0/13 Интернет
Mi-111-221-16-20-NextHop-Internet 111.221.16.0/20 Интернет
Mi-111-221-64-18-NextHop-Internet 111.221.64.0/18 Интернет
Mi-129-75-16-NextHop-Internet 129.75.0.0/16 Интернет
Mi-131-253-16-NextHop-Internet 131.253.0.0/16 Интернет
Mi-132-245-16-NextHop-Internet 132.245.0.0/16 Интернет
Mi-134-170-16-NextHop-Internet 134.170.0.0/16 Интернет
Mi-134-177-16-NextHop-Internet 134.177.0.0/16 Интернет
Mi-137-116-15-NextHop-Internet 137.116.0.0/15 Интернет
Mi-137-135-16-NextHop-Internet 137.135.0.0/16 Интернет
Mi-138-91-16-NextHop-Internet 138.91.0.0/16 Интернет
Mi-138-196-16-NextHop-Internet 138.196.0.0/16 Интернет
Mi-139-217-16-NextHop-Internet 139.217.0.0/16 Интернет
Mi-139-219-16-NextHop-Internet 139.219.0.0/16 Интернет
Mi-141-251-16-NextHop-Internet 141.251.0.0/16 Интернет
Mi-146-147-16-NextHop-Internet 146.147.0.0/16 Интернет
Mi-147-243-16-NextHop-Internet 147.243.0.0/16 Интернет
Mi-150-171-16-NextHop-Internet 150.171.0.0/16 Интернет
Mi-150-242-48-22-NextHop-Internet 150.242.48.0/22 Интернет
Mi-157-54-15-NextHop-Internet 157.54.0.0/15 Интернет
Mi-157-56-14-NextHop-Internet 157.56.0.0/14 Интернет
Mi-157-60-16-NextHop-Internet 157.60.0.0/16 Интернет
Mi-167-220-16-NextHop-Internet 167.220.0.0/16 Интернет
Mi-168-61-16-NextHop-Internet 168.61.0.0/16 Интернет
Mi-168-62-15-NextHop-Internet 168.62.0.0/15 Интернет
Mi-191-232-13-NextHop-Internet 191.232.0.0/13 Интернет
Mi-192-32-16-NextHop-Internet 192.32.0.0/16 Интернет
Mi-192-48-225-24-NextHop-Internet 192.48.225.0/24 Интернет
Mi-192-84-159-24-NextHop-Internet 192.84.159.0/24 Интернет
Mi-192-84-160-23-NextHop-Internet 192.84.160.0/23 Интернет
Mi-192-100-102-24-NextHop-Internet 192.100.102.0/24 Интернет
Mi-192-100-103-24-NextHop-Internet 192.100.103.0/24 Интернет
Mi-192-197-157-24-NextHop-Internet 192.197.157.0/24 Интернет
Mi-193-149-64-19-NextHop-Internet 193.149.64.0/19 Интернет
Mi-193-221-113-24-NextHop-Internet 193.221.113.0/24 Интернет
Mi-194-69-96-19-NextHop-Internet 194.69.96.0/19 Интернет
Mi-194-110-197-24-NextHop-Internet 194.110.197.0/24 Интернет
Mi-198-105-232-22-NextHop-Internet 198.105.232.0/22 Интернет
Mi-198-200-130-24-NextHop-Internet 198.200.130.0/24 Интернет
Mi-198-206-164-24-NextHop-Internet 198.206.164.0/24 Интернет
Mi-199-60-28-24-NextHop-Internet 199.60.28.0/24 Интернет
Mi-199-74-210-24-NextHop-Internet 199.74.210.0/24 Интернет
Mi-199-103-90-23-NextHop-Internet 199.103.90.0/23 Интернет
Mi-199-103-122-24-NextHop-Internet 199.103.122.0/24 Интернет
Mi-199-242-32-20-NextHop-Internet 199.242.32.0/20 Интернет
Mi-199-242-48-21-NextHop-Internet 199.242.48.0/21 Интернет
Mi-202-89-224-20-NextHop-Internet 202.89.224.0/20 Интернет
Mi-204-13-120-21-NextHop-Internet 204.13.120.0/21 Интернет
Mi-204-14-180-22-NextHop-Internet 204.14.180.0/22 Интернет
Mi-204-79-135-24-NextHop-Internet 204.79.135.0/24 Интернет
Mi-204-79-179-24-NextHop-Internet 204.79.179.0/24 Интернет
Mi-204-79-181-24-NextHop-Internet 204.79.181.0/24 Интернет
Mi-204-79-188-24-NextHop-Internet 204.79.188.0/24 Интернет
Mi-204-79-195-24-NextHop-Internet 204.79.195.0/24 Интернет
Mi-204-79-196-23-NextHop-Internet 204.79.196.0/23 Интернет
Mi-204-79-252-24-NextHop-Internet 204.79.252.0/24 Интернет
Mi-204-152-18-23-NextHop-Internet 204.152.18.0/23 Интернет
Mi-204-152-140-23-NextHop-Internet 204.152.140.0/23 Интернет
Mi-204-231-192-24-NextHop-Internet 204.231.192.0/24 Интернет
Mi-204-231-194-23-NextHop-Internet 204.231.194.0/23 Интернет
Mi-204-231-197-24-NextHop-Internet 204.231.197.0/24 Интернет
Mi-204-231-198-23-NextHop-Internet 204.231.198.0/23 Интернет
Mi-204-231-200-21-NextHop-Internet 204.231.200.0/21 Интернет
Mi-204-231-208-20-NextHop-Internet 204.231.208.0/20 Интернет
Mi-204-231-236-24-NextHop-Internet 204.231.236.0/24 Интернет
Mi-205-174-224-20-NextHop-Internet 205.174.224.0/20 Интернет
Mi-206-138-168-21-NextHop-Internet 206.138.168.0/21 Интернет
Mi-206-191-224-19-NextHop-Internet 206.191.224.0/19 Интернет
Mi-207-46-16-NextHop-Internet 207.46.0.0/16 Интернет
Mi-207-68-128-18-NextHop-Internet 207.68.128.0/18 Интернет
Mi-208-68-136-21-NextHop-Internet 208.68.136.0/21 Интернет
Mi-208-76-44-22-NextHop-Internet 208.76.44.0/22 Интернет
Mi-208-84-21-NextHop-Internet 208.84.0.0/21 Интернет
Mi-209-240-192-19-NextHop-Internet 209.240.192.0/19 Интернет
Mi-213-199-128-18-NextHop-Internet 213.199.128.0/18 Интернет
Mi-216-32-180-22-NextHop-Internet 216.32.180.0/22 Интернет
Mi-216-220-208-20-NextHop-Internet 216.220.208.0/20 Интернет

Дальнейшие действия

You can’t perform that action at this time.