Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano, jak usługa Azure SQL Managed Instance zarządza różnicą ruchu między ruchem zarządzanym przez użytkownika i zarządzanym przez usługę.
Przegląd
Jako platforma jako usługa (PaaS) usługa SQL Managed Instance zarządza ruchem sieciowym. W tradycyjnym lokalnym środowisku programu SQL Server regularne aktualizacje ruchu, konserwacja i monitorowanie zwykle działają w tej samej sieci co dane klienta. W usłudze SQL Managed Instance te przepływy kierują przez wewnętrzną sieć platformy Azure, aby zapewnić zautomatyzowane, bezproblemowe, bezpieczne i monitorowane zarządzanie usługami.
Ruch wewnętrzny, określany jako ruch zarządzany przez usługę, różni się od ruchu użytkowników (znanego jako ruch zarządzany przez użytkownika), aby upewnić się, że operacje usługi nie zakłócają obciążeń użytkowników i odwrotnie. Ruch dzieli się na te dwie kategorie, jak pokazano na poniższym diagramie:
Ruch zarządzany przez użytkownika
Ruch zarządzany przez użytkownika jest ustanawiany na żądanie między klientami LUB aplikacjami SQL i usługą Azure SQL Managed Instance. Składa się z:
- Cały ruch przychodzący kierowany do punktów końcowych wystąpienia zarządzanego SQL w sieci wirtualnej
- Cały ruch wychodzący pochodzący z wystąpień zarządzanych SQL w sieci wirtualnej
Ruch zarządzany przez użytkownika pochodzi z sieci wirtualnych należących do użytkownika usługi SQL Managed Instance, co sprawia, że podlega konfiguracji sieciowej tej sieci wirtualnej. Oznacza to, że standardowe mechanizmy kontroli i konfiguracji sieci mają zastosowanie także do ruchu w przypadku zarządzanego przez SQL, w tym do firewalli, reguł grup zabezpieczeń sieci, tabel tras, rozpoznawania nazw domen i nie tylko. W związku z tym jest to odpowiedzialność użytkowników usługi SQL Managed Instance za zapewnienie, że ruch zarządzany przez użytkownika może rzeczywiście dotrzeć do zamierzonego miejsca docelowego. Ta odpowiedzialność jest szczególnie ważna w przypadku ruchu do lokalnego punktu końcowego sieci wirtualnej. Ruch wychodzący pochodzący z wystąpień zarządzanych SQL jest podobnie kontrolowany.
Jak jest zabezpieczony ruch zarządzany przez użytkownika?
Ponieważ ruch zarządzany przez użytkownika przepływa przez sieć wirtualną, którą posiadasz i zarządzasz, podlega zbiorowi narzędzi do zabezpieczeń, inspekcji, monitorowania i obserwacji dostępnych na platformie Azure. Aby uzyskać więcej informacji na temat najlepszych rozwiązań i dostępnych kontrolek, zobacz:
- Zabezpieczanie wystąpienia zarządzanego usługi Azure SQL
- Omówienie możliwości zabezpieczeń usługi Azure SQL Managed Instance
Ruch zarządzany przez usługę
Usługa SQL Managed Instance używa ruchu zarządzanego przez usługę do wykonywania działań utrzymywania zasobów, takich jak regularne tworzenie kopii zapasowych, emitowanie danych telemetrycznych usługi i odbieranie aktualizacji oprogramowania.
Ruch zarządzany przez usługę obejmuje dwie płaszczyzny:
- Płaszczyzna sterowania
- Wewnętrzna płaszczyzna danych
Płaszczyzna sterowania
Płaszczyzna sterowania składa się ze składników, które zarządzają konfiguracją i zachowaniem usługi PaaS, takimi jak pobieranie i przechowywanie informacji o kondycji usługi, monitorowanie, skalowanie i wdrażanie. Na przykład podczas wdrażania nowego wystąpienia, składniki w control plane koordynują udostępnianie zasobów i ich konfigurację. Ruch płaszczyzny sterowania jest odpowiedzialny za składnik danych tych zachowań.
Wewnętrzna płaszczyzna danych
Wewnętrzne składniki płaszczyzny danych organizuje operacje na danych użytkownika, aby zapewnić trwałość, wysoką dostępność i ciągłość biznesową zasobów danych. W przeciwieństwie do płaszczyzny sterowania, która nie przenosi danych użytkownika, wewnętrzna płaszczyzna danych przesyła dane przechowywane w bazach danych.
Wewnętrzna warstwa danych ułatwia regularne tworzenie kopii zapasowych, ruch replikacji między replikami wysokiej dostępności, inicjalizację danych, replikację geograficzną w grupach trybu failover i inne przepływy danych, które obejmują rzeczywiste dane użytkownika.
Jak jest zabezpieczony ruch zarządzany przez usługę?
Ruch zarządzany przez usługę jest integralną częścią ciągłej pracy usługi PaaS i osiągnięcia celów poziomu usług (SLO). Z tego powodu firma Microsoft gwarantuje, że ruch ten jest nieprzerwanie, stale dostępny, monitorowany i zabezpieczony.
Ruch sieciowy między składnikami w płaszczyźnie sterowania i w wewnętrznej płaszczyźnie danych jest szyfrowany. Wszystkie połączenia są uwierzytelniane, a operacje są autoryzowane zgodnie z zasadą najniższych uprawnień.
Zapory L3/L4 chronią wewnętrzne środowiska sieciowe, w których znajdują się składniki kontroli i danych wewnętrznych. Te zapory zezwalają na ruch przychodzący i wychodzący tylko do i ze znanych źródeł i miejsc docelowych.
Gdy inne usługi platformy Azure uczestniczą w ruchu zarządzanym usługowo (takim jak Azure Storage lub Azure Key Vault), zarządzane wystąpienie SQL uzyskuje do nich dostęp za pośrednictwem mechanizmów lokalnego dostępu, takich jak usługa Azure Private Link i punkty końcowe usługi, aby zminimalizować zakres narażenia sieci. Uwierzytelnianie i autoryzacja są wykonywane za pośrednictwem podmiotów zabezpieczeń należących do firmy Microsoft unikatowych dla każdego klienta. Te podmioty mają ściśle ograniczone zestawy uprawnień w zgodzie z zasadą najmniejszych uprawnień.
Aby dowiedzieć się więcej o możliwościach zabezpieczeń usługi Azure SQL Managed Instance, zobacz:
Treści powiązane
- Aby zapoznać się z omówieniem, zobacz Co to jest usługa Azure SQL Managed Instance?
- Aby dowiedzieć się więcej, zobacz:
- Dowiedz się, jak utworzyć wystąpienie zarządzane SQL:
- W witrynie Azure Portal.
- Za pomocą programu PowerShell.
- Za pomocą szablonu usługi Azure Resource Manager.
- Za pomocą szablonu usługi Azure Resource Manager z serwerem przesiadkowym i programem SQL Server Management Studio.