在集中式防火墙的 Hub-Spoke 网络中排查 SQL MI 故障转移组创建问题

Azure SQL 托管实例故障转移组会在不同区域的实例之间复制用户数据库。在某客户的场景中，尽管网络连通性看似正常，但创建这些故障转移组仍失败。根本原因被确定为集中式防火墙的星型拓扑中的网络路径行为。具体而言，问题出在托管实例之间所需的端口、路由和流量处理上。故障转移组复制需要在实例子网之间建立双向 TCP 连接，使用 5022 端口和 11000-11999 端口范围。在星型架构中，流量会经过中央防火墙，可能干扰这些连接。可能出现的问题包括端口允许配置不正确、防火墙策略覆盖网络安全组（NSG）、非对称路由、源地址转换（SNAT）/网络地址转换（NAT）的应用，以及激进的会话空闲超时设置。此外，DNS 区域不匹配和地址空间重叠也是关键前提条件。为解决该问题，已确认所有先决条件，确保所有网络节点上的端口开放，并稳定了通过防火墙的路由路径。对称路由以及对东西向流量实施最小化防火墙干预至关重要。使用支持 Azure SQL 托管实例的连通性测试进行验证。完成上述变更后，故障转移组的创建、种子填充和复制均成功。在星型架构中部署带有集中式防火墙的故障转移组时，网络路径行为是首要考虑因素。”