你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍 Azure SQL 托管实例 如何管理用户托管服务流量之间的流量差异。
概述
作为平台即服务(PaaS),SQL 托管实例管理其网络流量。 在传统的本地 SQL Server 环境中,常规流量更新、维护和监视通常通过与客户端数据相同的网络运行。 在 SQL 托管实例中,这些流通过内部 Azure 网络路由,以确保自动化、无缝、安全且受监视的服务管理。
内部流量(称为 服务管理的流量)与用户流量(称为 用户管理的流量)区分开来,以确保服务作不会干扰用户工作负荷,反之亦然。 流量分为这两个类别,如下图所示:
用户管理的流量
用户管理的流量是在 SQL 客户端或应用程序与 Azure SQL 托管实例之间按需建立的。 它包括:
- 定向到虚拟网络中 SQL 托管实例终结点的所有入站流量
- 源自虚拟网络中 SQL 托管实例的所有出站流量
用户管理的流量源自 SQL 托管实例用户拥有并终止的虚拟网络,这使得它受该虚拟网络的网络配置的约束。 这意味着标准网络控制和配置机制也适用于 SQL 托管实例的流量,包括防火墙、网络安全组规则、路由表、域名解析等。 因此,SQL 托管实例用户有责任确保用户管理的流量实际上可以到达其预期目标。 对于 VNet 本地终结点的流量而言,这一责任尤其重要。 源自 SQL 托管实例的出站流量也受到类似的控制。
如何保护用户管理的流量?
由于用户管理的流量流经你拥有和管理的虚拟网络,因此受 Azure 中可用的安全、审核、监视和可观测性工具的数组的约束。 有关可用的最佳做法和控件的详细信息,请参阅:
服务管理的流量
SQL 托管实例使用服务管理的流量来执行管家活动,例如定期备份、发出服务遥测和接收软件更新。
由服务管理的流量包括两个层:
- 控制面板
- 内部数据平面
控制面板
控制平面由管理 PaaS 服务的配置和行为的组件组成,例如检索和存储服务运行状况信息、监视、缩放和部署。 例如,部署新实例时,控制平面中的组件会协调资源的预配及其配置。 控制平面流量负责这些行为的数据组件。
内部数据平面
内部数据平面组件协调用户数据的作,以确保数据资产的持久性、高可用性和业务连续性。 与不携带用户数据的控制平面相比,内部数据平面会传输数据库中存储的数据。
内部数据平面有助于定期备份、可用性副本之间的复制流量、数据种子设定、故障转移组中的异地复制以及涉及实际用户数据的其他数据流。
如何保护服务管理的流量?
服务管理的流量是 PaaS 的持续作不可或缺的一部分,可实现服务级别目标(SLO)。 因此,Microsoft可确保此流量不间断、持续可用、受监视和保护。
控制平面和内部数据平面中的组件之间的网络流量已加密。 所有连接都经过身份验证,并且作遵循最低特权原则进行授权。
L3/L4 防火墙保护控制内部数据组件所在的内部网络环境。 这些防火墙仅允许进出已知源和目标的入站和出站流量。
当其他 Azure 服务参与服务托管流量(例如 Azure 存储或 Azure Key Vault)时,SQL 托管实例通过网络本地访问机制(例如 Azure 专用链接和服务终结点)访问它们,以最大程度地减少网络公开的范围。 身份验证和授权是通过Microsoft为每个客户专有的主体来执行的。 这些主体分配严格限定范围的权限集,以遵守最低特权原则。
若要详细了解 Azure SQL 托管实例的安全功能,请参阅:
相关内容
- 有关概述,请参阅 什么是 Azure SQL 托管实例?
- 若要了解详细信息,请参阅:
- 了解如何创建 SQL 托管实例: