azure-sql-managed-instance - 在将 Azure SQL 托管实例部署到子网后，NSG 是否可以应用于子网？

Question

SQL MI 部署到子网后，NSG 是否可以应用于子网？

https://docs.microsoft.com/en-us/azure/sql-database/sql-database-managed-instance-vnet-configuration

保存时出现以下错误:

“无法保存子网 'managed-sql-dev-corp'。错误:“发现与 NetworkIntentPolicy 冲突。详细信息:子网或虚拟网络不能有与网络意图策略冲突的资源或属性。”

“网络意图策略”是 Azure 服务创建的还是我自己的策略之一？

Answer 1

一旦托管实例部署在有效的网络/子网中，它将强制执行一些“意图策略”，以防止您进行一些会使子网无效的配置。

例如，托管实例只能部署在不包含其他 VM 的子网中。部署托管实例后，它会设置意图规则，不允许您在此子网中创建 VM，并在部署后使子网无效。如果没有这些规则，您将能够阻止对托管实例的访问。它无法阻止所有内容，但此意图策略是托管实例用来防止有人重新配置子网的第一道防线。

下面是可以在 NSG 中使用的出站规则的示例。

规则 allow_management_inbound 允许管理流量到达
实例。

规则 allow_misubnet_inbound 允许在
构成托管实例集群的虚拟机。

规则 allow_health_probe 允许从虚拟机进行健康检查
主持人。没有它服务结构会认为节点不健康
并阻止访问。

规则 allow_tds_inbound 是可选的，但没有它就不能访问托管实例。建议尽可能缩小其IP范围。

优先级数字不必如图所示，但前 3 条规则的优先级必须高于任何拒绝规则。

为了符合托管实例网络意图策略，NSG 必须具有在列表顶部编号为 100 和 200 的规则。

规则 allow_management_outbound 允许管理流量到达所依赖的服务托管实例。

规则 allow_misubnet_outbound 允许构成托管实例群集的虚拟机之间进行通信。

优先级数字不必如图所示，但前 2 条规则的优先级必须高于任何拒绝规则。

托管实例附加功能可能需要打开附加端口。这将在特定功能文档中定义。