Устранение неполадок при создании группы отработки отказа SQL MI в сети "хаб-спица" с централизованным брандмауэром

Группы отработки отказа Azure SQL Managed Instance реплицируют пользовательские базы данных между экземплярами в разных регионах. Создание этих групп отработки отказа завершилось неудачей в сценарии клиента, несмотря на видимую сетевую связность. Первопричиной было определено поведение сетевого пути в топологии "хаб-спица" с централизованным межсетевым экранированием. В частности, возникли проблемы с необходимыми портами, маршрутизацией и обработкой трафика между управляемыми экземплярами. Репликация групп отработки отказа требует двусторонней TCP-связности по портам 5022 и 11000-11999 между подсетями экземпляров. В архитектурах "хаб-спица" трафик проходит через центральный межсетевой экран, который может мешать этим соединениям. Проблемы могут включать неправильные разрешения портов, политики межсетевого экрана, переопределяющие группы безопасности сети, асимметричную маршрутизацию, применение SNAT/NAT и агрессивные тайм-ауты простоя сеансов. Несоответствие зон DNS и перекрытие адресного пространства также являются критически важными предварительными условиями. Для решения проблемы были подтверждены предварительные условия, обеспечена открытость портов во всех сетевых точках и стабилизирован маршрут через межсетевой экран. Симметричная маршрутизация и минимальное вмешательство межсетевого экрана в трафик "восток-запад" были решающими. Для проверки использовались тесты связности, осведомленные о SQL MI. После этих изменений создание, начальная загрузка и репликация групп отработки отказа прошли успешно. При развертывании групп отработки отказа в архитектурах "хаб-спица" с централизованными межсетевыми экранами поведение сетевого пути является основным фактором, который следует учитывать.