Testes automáticos de conectividade interna para Azure SQL Managed Instance

Aplica-se a: Azure SQL Managed Instance

Este artigo descreve os testes automáticos de conectividade interna que correm no Azure SQL Managed Instance para monitorizar a fiabilidade dos serviços e acelerar a deteção de problemas.

Estes testes são totalmente automatizados e não exigem qualquer ação da sua parte. A monitorização proativa das ligações internas de rede permite à Microsoft identificar rapidamente potenciais problemas e manter uma conectividade estável de ponta a ponta.

Os testes de conectividade são executados a partir de um par de endereços IP internos do intervalo de sub-redes que aloja a instância gerida SQL. Os testes não requerem qualquer conectividade externa de entrada ou saída. Endereços IP adicionais são reservados para testes de conectividade, e os traços podem aparecer nos registos de observabilidade.

A partir de maio de 2026, os testes de conectividade são executados a intervalos regulares em todas as instâncias geridas por SQL.

Benefits

Os testes automáticos de conectividade interna oferecem os seguintes benefícios:

  • Diagnosticar problemas internos de serviço e disponibilidade de rede.
  • Acelerar a descoberta de problemas e reduzir o tempo de mitigação.
  • Melhorar a visibilidade do estado interno da rede do SQL Managed Instance.

Os resultados dos testes são utilizados internamente e não são apresentados em Service Health nem em Resource Health.

Impacto operacional

Os testes de conectividade interna têm o seguinte impacto operacional:

  • Dois endereços IP extra são provisionados para cada grupo de VM, aumentando o requisito de endereços IP de seis para oito. Para mais informações, consulte Determinar o tamanho e o alcance da sub-rede.
  • Os testes realizam-se a cada 10 segundos e têm um impacto de desempenho negligenciável no rendimento da rede e no desempenho do serviço.
  • Novas subredes criadas para instâncias geridas SQL reservam automaticamente os endereços IP extra necessários para testes de conectividade.
  • Em subredes existentes com instâncias geridas por SQL, os testes reservam endereços IP extra apenas se a sub-rede tiver endereços IP livres suficientes para suportar os endereços IP extra exigidos pelos testes. Se uma sub-rede existente não tiver endereços IP livres suficientes, os testes não são executados.

Considerações de segurança

Os seguintes princípios de segurança orientam o desenho dos testes internos de conectividade:

  • Os testes são direcionados para uma única instância SQL gerida e executados dentro da sua rede virtual e sub-rede delegadas.
  • Os testes de conectividade não conseguem aceder ao conteúdo de nenhuma base de dados.
  • Os resultados dos testes não contêm dados do cliente para além do nome da instância.
  • Só engenheiros da Microsoft podem aceder aos resultados.
  • Os sistemas de auditoria podem registar tentativas de login falhadas geradas pelos testes. Para mais informações sobre como identificar estes registos, consulte Como observar tentativas de início de sessão falhadas causadas por testes de ponta a ponta.

Testes realizados

Os seguintes testes de conectividade executam-se automaticamente:

Test Description
Conectividade do balanceador de carga Valida a conectividade ao balanceador de carga interno.
Resolução interna de nomes DNS Verifica se os nomes DNS internos são corretamente resolvidos.
Disponibilidade das dependências da infraestrutura do Azure Verifica a disponibilidade das dependências da infraestrutura do Azure.
Conectividade de ponta a ponta dentro da sub-rede até à instância Valida o caminho completo de conectividade para o Azure SQL Managed Instance ao tentar um login com uma credencial conhecida para falhar (AzureSQLConnectivityChecker).

Observe os logins falhados causados por testes de ponta a ponta

O teste de conectividade de ponta a ponta efetua intencionalmente uma tentativa de início de sessão sem êxito para validar todo o percurso de conectividade. O teste usa o AzureSQLConnectivityChecker login, que não existe, e espera que o Azure SQL Managed Instance devolva o erro 18456. Este erro valida que todo o caminho de rede para o SQL Managed Instance está funcional.

As ferramentas de observabilidade SQL conseguem detetar estes logins falhados. Use as seguintes assinaturas para identificar entradas de testes de conectividade e distingui-las de tentativas genuínas falhadas de login.

As seguintes ferramentas de observabilidade detetam tentativas de início de sessão falhadas:

Registos de auditoria

Quando ativas FAILED_LOGIN_GROUP, eventos de auditoria aparecem aproximadamente a cada 10 segundos em AzureDiagnostics:

Coluna Value
Category SQLSecurityAuditEvents
ResourceType MANAGEDINSTANCES
action_id_s LGIF
server_principal_name_s AzureSQLConnectivityChecker
client_ip_s Endereço IP dentro do intervalo da sub-rede

Eventos Prolongados

Sessões de Eventos Estendidos que capturam sqlserver.error_reported onde error_number = 18456 e severity = 14 mostram os seguintes atributos:

Attribute Value
category LOGON
error_number 18456
severity 14
state Variável (depende da configuração de autenticação)
message Variável (depende da configuração de autenticação)
sqlazure.is_azure_connection True

Por exemplo, se a autenticação SQL estiver desativada na instância gerida do SQL, o estado é 170 e a mensagem indica que a autenticação exclusiva do Microsoft Entra está ativada.

Registos de erro SQL

Em sp_readerrorlog, os logins falhados do teste de conectividade aparecem como pares de linhas:

Coluna Value
ProcessInfo Logon
Text Error: 18456, Severity: 14, State: (variável) .

e ainda

Coluna Value
ProcessInfo Logon
Text A mensagem depende da configuração de autenticação

Por exemplo, quando a autenticação SQL está desativada, a mensagem indica que a autenticação apenas Microsoft Entra está ativada e inclui um endereço IP de subrede.