Testes automáticos de conectividade interna para Instância Gerenciada de SQL do Azure

Aplica-se a:Instância Gerenciada de SQL do Azure

Este artigo descreve os testes automáticos de conectividade interna executados no Instância Gerenciada de SQL do Azure para monitorar a confiabilidade do serviço e acelerar a detecção de problemas.

Esses testes são totalmente automatizados e não exigem nenhuma ação sua. O monitoramento proativo de conexões de rede internas permite que Microsoft identifique rapidamente possíveis problemas e mantenha a conectividade estável de ponta a ponta.

Os testes de conectividade são executados a partir de um par de endereços IP internos do intervalo de sub-rede que hospeda a instância gerenciada de SQL. Os testes não exigem nenhuma conectividade externa de entrada ou saída. Endereços IP adicionais são reservados para testes de conectividade, e os rastreamentos podem aparecer em logs de observabilidade.

A partir de maio de 2026, os testes de conectividade são executados em intervalos regulares em todas as instâncias gerenciadas de SQL.

Benefits

Testes automáticos de conectividade interna fornecem os seguintes benefícios:

  • Diagnosticar problemas internos de disponibilidade de rede e serviço.
  • Acelere a descoberta de problemas e reduza o tempo de mitigação.
  • Melhore a visibilidade do estado de rede interno do Instância Gerenciada de SQL.

Os resultados do teste são usados internamente e não refletem na Integridade do Serviço ou Resource Health.

Impacto operacional

Testes internos de conectividade têm o seguinte impacto operacional:

  • Dois endereços IP extras são provisionados para cada grupo de VM, aumentando o requisito de endereço IP de seis para oito. Para obter mais informações, consulte Determinar o tamanho e o intervalo da sub-rede.
  • Os testes são executados a cada 10 segundos e têm um impacto de desempenho insignificante na taxa de transferência de rede e no desempenho do serviço.
  • Novas sub-redes criadas para instâncias gerenciadas de SQL reservam automaticamente os endereços IP extras necessários para testes de conectividade.
  • Em sub-redes existentes com instâncias gerenciadas de SQL, os testes reservam endereços IP extras somente se a sub-rede tiver endereços IP gratuitos suficientes para dar suporte aos endereços IP extras exigidos pelos testes. Se uma sub-rede existente não tiver endereços IP gratuitos suficientes, os testes não serão executados.

Considerações de segurança

Os princípios de segurança a seguir orientam o design de testes internos de conectividade:

  • Os testes têm como escopo uma única instância gerenciada de SQL e são executados dentro de sua rede virtual delegada e sub-rede.
  • Os testes de conectividade não podem acessar o conteúdo de nenhum banco de dados.
  • Os resultados do teste não contêm dados do cliente além do nome da instância.
  • Somente Microsoft engenheiros podem acessar os resultados.
  • Os sistemas de auditoria podem registrar tentativas de logon com falha geradas pelos testes. Para obter mais informações sobre como identificar essas entradas, consulte Observando logons com falha causados por testes de ponta a ponta.

Testes realizados

Os seguintes testes de conectividade são executados automaticamente:

Test Description
Conectividade do balanceador de carga Valida a conectividade com o balanceador de carga interno.
Resolução de nome DNS interno Verifica se os nomes DNS internos são resolvidos corretamente.
Disponibilidade das dependências de infraestrutura do Azure Verifica a disponibilidade das dependências da infraestrutura do Azure.
Conectividade de ponta a ponta dentro da sub-rede até a instância Verifica todo o caminho de conectividade até a Instância Gerenciada de SQL do Azure tentando fazer logon com uma credencial que se sabe que falhará (AzureSQLConnectivityChecker).

Observar logons com falha causados por testes de ponta a ponta

O teste de conectividade de ponta a ponta executa intencionalmente um logon com falha para validar o caminho de conectividade completo. O teste usa o AzureSQLConnectivityChecker logon, que não existe, e espera que Instância Gerenciada de SQL do Azure retorne o erro 18456. Esse erro valida que todo o caminho de rede para Instância Gerenciada de SQL está funcional.

As ferramentas de observabilidade do SQL podem detectar esses logons com falha. Use as assinaturas a seguir para identificar as entradas de teste de conectividade e distingui-las de tentativas de logon com falha genuínas.

As seguintes ferramentas de observabilidade detectam falhas de login:

Logs de auditoria

Quando você habilita FAILED_LOGIN_GROUP, os eventos de auditoria aparecem aproximadamente a cada 10 segundos em AzureDiagnostics:

Coluna Value
Category SQLSecurityAuditEvents
ResourceType MANAGEDINSTANCES
action_id_s LGIF
server_principal_name_s AzureSQLConnectivityChecker
client_ip_s Endereço IP dentro do intervalo da sub-rede

Eventos estendidos

Sessões de Evento Estendido que capturam sqlserver.error_reported onde error_number = 18456 e severity = 14 mostram os seguintes atributos:

Attribute Value
category LOGON
error_number 18456
severity 14
state Variável (depende da configuração de autenticação)
message Variável (depende da configuração de autenticação)
sqlazure.is_azure_connection True

Por exemplo, se a autenticação SQL estiver desabilitada na instância gerenciada de SQL, o estado será 170 e a mensagem indicará que a autenticação somente Microsoft Entra está habilitada.

Registos de erros do SQL

Em sp_readerrorlog, os logins com falha do teste de conectividade aparecem como pares de linhas:

Coluna Value
ProcessInfo Logon
Text Error: 18456, Severity: 14, State: (variável) .

e

Coluna Value
ProcessInfo Logon
Text A mensagem depende da configuração de autenticação

Por exemplo, quando a autenticação SQL é desabilitada, a mensagem afirma que a autenticação somente Microsoft Entra está habilitada e inclui um endereço IP de sub-rede.