ハブ・アンド・スポーク ネットワークの集中ファイアウォールで SQL MI フェイルオーバー グループの作成のトラブルシューティング

Azure SQL Managed Instance フェールオーバー グループは、異なるリージョンにあるインスタンス間でユーザー データベースをレプリケートします。顧客のシナリオでは、ネットワーク接続が正常に見えるにもかかわらず、これらのフェールオーバー グループの作成に失敗しました。根本原因は、中央集権的なファイアウォールを備えたハブスポーク トポロジにおけるネットワーク パス動作であることが特定されました。具体的には、マネージド インスタンス間の必要なポート、ルーティング、およびトラフィック処理で問題が発生しました。フェールオーバー グループのレプリケーションには、インスタンス サブネット間でポート 5022 および 11000 ～ 11999 の双方向 TCP 接続が必要です。ハブスポーク アーキテクチャでは、トラフィックは中央ファイアウォールを通過するため、これらの接続に干渉する可能性があります。問題には、不適切なポート許可、ネットワーク セキュリティ グループをオーバーライドするファイアウォール ポリシー、非対称ルーティング、SNAT/NAT の適用、および積極的なセッション アイドル タイムアウトが含まれる可能性があります。DNS ゾーンの不一致とアドレス空間の重複も重要な前提条件です。問題を解決するために、前提条件が確認され、すべてのネットワーク ポイントでポートが開いていることが確認され、ファイアウォールを通過するルーティング パスが安定化されました。東西トラフィックに対する対称ルーティングと最小限のファイアウォール介入が重要でした。SQL MI を認識した接続テストが検証に使用されました。これらの変更後、フェールオーバー グループの作成、シード処理、およびレプリケーションは成功しました。中央集権的なファイアウォールを備えたハブスポーク アーキテクチャでフェールオーバー グループを展開する場合、ネットワーク パス動作が主な考慮事項となります。