Compartir a través de

Administración del tráfico en Azure SQL Managed Instance

En este artículo se describe cómo Azure SQL Managed Instance administra la diferencia en el tráfico entre el tráfico administrado por el usuario y el tráfico administrado por el servicio.

Información general

Como plataforma como servicio (PaaS), SQL Managed Instance administra su tráfico de red. En un entorno de SQL Server local tradicional, las actualizaciones de tráfico normales, el mantenimiento y la supervisión suelen funcionar a través de la misma red que los datos del cliente. En SQL Managed Instance, estos flujos se encaminan mediante la red interna de Azure para garantizar la administración automatizada, segura y supervisada del servicio.

El tráfico interno, el tráfico administrado por el servicio, se distingue del tráfico de usuario (conocido como tráfico administrado por el usuario) para asegurarse de que las operaciones de servicio no interfieren con las cargas de trabajo de usuario y viceversa. El tráfico se separa en estas dos categorías, como se muestra en el diagrama siguiente:

Diagrama que muestra la separación del tráfico administrado por el usuario y administrado por el servicio en Azure SQL Managed Instance.

Tráfico administrado por el usuario

El tráfico administrado por el usuario se establece a petición entre clientes o aplicaciones SQL y Azure SQL Managed Instance. Consta de:

  • Todo el tráfico entrante dirigido a los puntos de conexión de las instancias administradas de SQL dentro de tu red virtual
  • Todo el tráfico saliente que se origina en instancias administradas de SQL dentro de la red virtual

El tráfico administrado por el usuario se origina en redes virtuales que pertenecen al usuario de la Instancia administrada de SQL, lo que hace que esté sujeto a la configuración de red de esa red virtual. Esto significa que los mecanismos de configuración y control de red estándar también se aplican al tráfico de la instancia administrada de SQL, incluidos firewalls, reglas de grupo de seguridad de red, tablas de rutas, resolución de nombres de dominio, etc. Por lo tanto, es responsabilidad de los usuarios de SQL Managed Instance asegurarse de que el tráfico administrado por el usuario pueda llegar realmente a su destino previsto. Esta responsabilidad es especialmente importante para el tráfico al punto de conexión local de la red virtual. El tráfico saliente que se origina en instancias administradas de SQL se controla de forma similar.

¿Cómo se protege el tráfico administrado por el usuario?

Dado que el tráfico administrado por el usuario fluye a través de la red virtual que posee y administra, está sujeto a la matriz de herramientas de seguridad, auditoría, supervisión y observabilidad disponibles en Azure. Para obtener más información sobre los procedimientos recomendados y los controles disponibles, consulte:

Tráfico administrado por el servicio

SQL Managed Instance usa el tráfico administrado por el servicio para realizar actividades de limpieza, como realizar copias de seguridad periódicas, emitir telemetría del servicio y recibir actualizaciones de software.

El tráfico administrado por el servicio incluye dos planos:

  • Plano de control
  • Plano de datos interno

Plano de control

El plano de control consta de componentes que rigen la configuración y el comportamiento del servicio PaaS, como recuperar y almacenar información de mantenimiento del servicio, supervisión, escalado e implementación. Por ejemplo, al implementar una nueva instancia, los componentes del plano de control orquestan el aprovisionamiento de recursos y su configuración. El tráfico del plano de control es responsable del componente de datos de estos comportamientos.

Plano de datos interno

Los componentes internos del plano de datos organizan las operaciones en los datos de usuario para garantizar la durabilidad, la alta disponibilidad y la continuidad empresarial de los recursos de datos. A diferencia del plano de control, que no lleva datos de usuario, el plano de datos interno transfiere los datos almacenados en las bases de datos.

El plano de datos interno facilita copias de seguridad periódicas, el tráfico de replicación entre réplicas de disponibilidad, propagación de datos, replicación geográfica en grupos de conmutación por error y otros flujos de datos que implican datos reales del usuario.

¿Cómo se protege el tráfico administrado por el servicio?

El tráfico administrado por el servicio es integral para el funcionamiento continuo de PaaS y para lograr objetivos de nivel de servicio (SLO). Por este motivo, Microsoft garantiza que este tráfico sea ininterrumpido, disponible continuamente, supervisado y protegido.

El tráfico de red entre los componentes del plano de control y en el plano de datos interno se cifra. Todas las conexiones se autentican y las operaciones están autorizadas siguiendo el principio de privilegios mínimos.

Los firewalls L3/L4 protegen los entornos de red internos en los que residen los componentes de datos internos y de control. Estos firewalls permiten el tráfico entrante y saliente solo hacia y desde orígenes y destinos conocidos.

Cuando otros servicios de Azure participan en el tráfico administrado por el servicio (como Azure Storage o Azure Key Vault), la instancia administrada de SQL accede a ellos a través de mecanismos de acceso local de red, como Azure Private Link y puntos de conexión de servicio, para minimizar el ámbito de exposición de la red. La autenticación y la autorización se realizan a través de entidades de seguridad propiedad de Microsoft únicas para cada cliente. A estas entidades de seguridad se les asignan conjuntos de permisos de ámbito estricto en la observancia del principio de privilegios mínimos.

Para más información sobre las funcionalidades de seguridad de Azure SQL Managed Instance, consulte:

Contenido relacionado

  • Last updated on