Почему для управляемого экземпляра Azure SQL требуется UDR 0.0.0.0/0 Internet следующего типа

Это правило предназначалось для простого переопределения обычной рекламы BGP, которая может вызывать асимметричную маршрутизацию и мешать трафику управления.

В случае объявления BGP о более конкретных префиксах этого будет недостаточно для обеспечения потока трафика управления, и вам потребуется определить UDR для переопределения объявленных префиксов.

Обратите внимание, что 0.0.0.0/0 Интернет-правило следующего перехода не направляет весь трафик в Интернет. Следующим переходом всегда является другое устройство - в данном случае Интернет-шлюз, расположенный внутри Azure. Он называется Internet Gateway, так как он обрабатывает маршрутизацию на общедоступные IP-адреса Azure. Поскольку эти IP-адреса в основном принадлежат службам Azure, размещенным в управляемом экземпляре, сетевой трафик, который всегда находит кратчайший путь, остается внутри Azure.

Управляемому экземпляру необходим общедоступный доступ в Интернет для проверки отзыва сертификата, и это делается через общедоступный интернет. Информация об отзыве сертификата публикуется, поэтому никакие секреты не отправляются и не принимаются таким образом. Сертификат проверки информации также подписан, чтобы предотвратить закалку.

Вы можете установить ограниченный набор других UDR, кроме 0.0.0.0 Internet Next:

• UDR с частными диапазонами IP * в качестве пункта назначения без ограничений следующего перехода
• UDR с общедоступным диапазоном IP-адресов в качестве пункта назначения, если тип следующего перехода - Интернет

* Исключением является пункт назначения подсети Управляемый экземпляр, который должен иметь тип виртуальной сети следующего перехода - в противном случае соединения между Управляемыми экземплярами могут быть разорваны.

Это ограничение будет снято или отменено в будущем, поэтому всегда проверяйте документацию Azure SQL Managed Instance на наличие обновлений.