この記事では、 Azure SQL Managed Instance がユーザー管理 トラフィックとサービスマネージド トラフィックのトラフィックの違いを管理する方法について説明します。
概要
サービスとしてのプラットフォーム (PaaS) として、SQL Managed Instance はネットワーク トラフィックを管理します。 従来のオンプレミス SQL Server 環境では、通常、トラフィックの定期的な更新、メンテナンス、監視は、クライアント データと同じネットワーク経由で動作します。 SQL Managed Instance では、これらのフローは内部の Azure ネットワーク経由でルーティングされ、自動化され、シームレスで、セキュリティで保護され、監視されるサービス管理が保証されます。
内部トラフィック ( サービスで管理されるトラフィック) は、サービス操作がユーザー のワークロードに干渉しないようにするため、 ユーザー トラフィック (ユーザー管理トラフィックと呼ばれます) と区別されます。 次の図に示すように、トラフィックはこれら 2 つのカテゴリに分かれています。
ユーザーが管理するトラフィック
ユーザー管理トラフィックは、SQL クライアントまたはアプリケーションと Azure SQL Managed Instance の間でオンデマンドで確立されます。 次の内容が含まれます。
- 仮想ネットワーク内の SQL マネージド インスタンス エンドポイントに送信されるすべての受信トラフィック
- 仮想ネットワーク内の SQL マネージド インスタンスから送信されるすべての送信トラフィック
ユーザー管理トラフィックは、SQL Managed Instance のユーザーが所有する仮想ネットワークから発信され、終了します。これにより、その仮想ネットワークのネットワーク構成の対象になります。 つまり、ファイアウォール、ネットワーク セキュリティ グループ規則、ルート テーブル、ドメイン名解決など、SQL マネージド インスタンスのトラフィックにも標準のネットワーク制御と構成メカニズムが適用されます。 そのため、SQL Managed Instance ユーザーは、ユーザーが管理するトラフィックが意図した宛先に実際に到達できることを確認する必要があります。 この責任は、 VNet ローカル エンドポイントへのトラフィックに特に重要です。 SQL マネージド インスタンスから送信される送信トラフィックも同様に制御されます。
ユーザーが管理するトラフィックはどのようにセキュリティで保護されますか?
ユーザーが管理するトラフィックは、自分が所有および管理する仮想ネットワークを通過するため、Azure で使用できるセキュリティ、監査、監視、監視のツールの配列の対象となります。 使用可能なベスト プラクティスとコントロールの詳細については、次を参照してください。
サービスで管理されるトラフィック
SQL Managed Instance では、サービスマネージド トラフィックを使用して、定期的なバックアップの作成、サービス テレメトリの出力、ソフトウェア更新プログラムの受信などのハウスキーピング アクティビティを実行します。
サービスで管理されるトラフィックには、次の 2 つのプレーンが含まれます。
- コントロール プレーン
- 内部データ プレーン
コントロール プレーン
コントロール プレーンは、PaaS サービスの構成と動作を制御するコンポーネント (サービス正常性情報の取得と格納、監視、スケーリング、デプロイなど) で構成されます。 たとえば、新しいインスタンスをデプロイすると、コントロール プレーン内のコンポーネントによってリソースとその構成のプロビジョニングが調整されます。 コントロール プレーン トラフィックは、これらの動作のデータ コンポーネントを担当します。
内部データ プレーン
内部データ プレーン コンポーネントは、ユーザー データに対する操作を調整して、データ資産の持続性、高可用性、ビジネス継続性を確保します。 ユーザー データを運ばないコントロール プレーンとは異なり、内部データ プレーンはデータベースに格納されているデータを転送します。 コントロール プレーンと同様に、内部データ プレーン内のエンドポイントとサービスは Microsoft によって管理およびセキュリティ保護されます。
内部データ プレーンにより、通常のバックアップ、可用性レプリカ間のレプリケーション トラフィック、データ シード処理、フェールオーバー グループでの geo レプリケーション、および実際のユーザー データを含むその他のデータ フローが容易になります。 内部データ プレーン トラフィックの例を次に示します。
- SQL マネージド インスタンスから、自動バックアップが保持されているストレージ アカウントへのトラフィック。
- テレメトリ エンドポイントへのトラフィック。
- Microsoft Entra ID と Azure Key Vault を使用した認証とシークレット交換。
- 仮想マシン イメージのダウンロード エンドポイントと Windows Update サービスへのトラフィック。
- サービスによって開始および管理されるデータ転送操作 (データ バックアップ、レプリカ間の一部のデータ レプリケーションなど)。
- ファブリックミラーリングのトラフィック。
サービス管理トラフィックはどのようにセキュリティで保護されますか?
サービス管理トラフィックは、PaaS の継続的な運用と、サービス レベル目標 (SLO) の達成に不可欠です。 このため、Microsoft は、このトラフィックが中断されず、継続的に利用可能で、監視され、セキュリティで保護されていることを確認します。
コントロール プレーンと内部データ プレーン内のコンポーネント間のネットワーク トラフィックは暗号化されます。 すべての接続が認証され、最小特権の原則に従って操作が承認されます。
L3/L4 ファイアウォールは、制御コンポーネントと内部データ コンポーネントが存在する内部ネットワーク環境を保護します。 これらのファイアウォールでは、既知の送信元と送信先との間でのみ受信トラフィックと送信トラフィックが許可されます。
他の Azure サービスがサービスで管理されるトラフィック (Azure Storage や Azure Key Vault など) に参加すると、SQL マネージド インスタンスは、Azure Private Link やサービス エンドポイントなどのネットワーク ローカル アクセス メカニズムを介してアクセスし、ネットワーク公開の範囲を最小限に抑えます。 認証と承認は、各顧客に固有の Microsoft 所有のプリンシパルを通じて実行されます。 これらのプリンシパルには、最小限の特権の原則に従って、厳密にスコープが設定されたアクセス許可セットが割り当てられます。
Azure SQL Managed Instance のセキュリティ機能の詳細については、次を参照してください。
関連コンテンツ
- 概要については、「Azure SQL Managed Instance とは」を参照してください。
- 詳細については、次を参照してください。
- SQL マネージド インスタンスを作成する方法について説明します。