ارتباط خاص لقاعدة بيانات Azure ل MariaDB

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

يسمح لك Private Link بإنشاء نقاط نهاية خاصة لقاعدة بيانات Azure ل MariaDB وبالتالي يجلب خدمات Azure داخل شبكتك الافتراضية الخاصة (VNet). تعرض نقطة النهاية الخاصة عنوان IP خاصا يمكنك استخدامه للاتصال بقاعدة بيانات Azure لخادم قاعدة بيانات MariaDB تماما مثل أي مورد آخر في VNet.

للحصول على قائمة بخدمات PaaS التي تدعم وظيفة الارتباط الخاص، راجع وثائق الارتباط الخاص. نقطة النهاية الخاصة هي عنوان IP خاص داخل VNet وشبكة فرعية محددة.

ملاحظة

تتوفر ميزة الارتباط الخاص فقط لقاعدة بيانات Azure لخوادم MariaDB في طبقات التسعير للأغراض العامة أو الذاكرة المحسنة. تأكد من أن خادم قاعدة البيانات في أحد مستويات التسعير هذه.

⁧⁩منع النقل غير المصرّح به للبيانات⁧⁩

الترشيح السابق للبيانات في قاعدة بيانات Azure ل MariaDB هو عندما يتمكن مستخدم معتمد، مثل مسؤول قاعدة البيانات، من استخراج البيانات من نظام واحد ونقلها إلى موقع أو نظام آخر خارج المؤسسة. على سبيل المثال، ينقل المستخدم البيانات إلى حساب تخزين يملكه طرف ثالث.

ضع في اعتبارك سيناريو مع مستخدم يقوم بتشغيل طاولة عمل MariaDB داخل جهاز ظاهري Azure متصل بقاعدة بيانات Azure لمثيل MariaDB. يوجد مثيل MariaDB هذا في مركز بيانات غرب الولايات المتحدة. يوضح المثال أدناه كيفية تقييد الوصول باستخدام نقاط النهاية العامة على قاعدة بيانات Azure ل MariaDB باستخدام عناصر التحكم في الوصول إلى الشبكة.

• قم بتعطيل كل حركة مرور خدمة Azure إلى قاعدة بيانات Azure ل MariaDB عبر نقطة النهاية العامة عن طريق تعيين السماح لخدمات Azure بإيقاف التشغيل. تأكد من عدم السماح لعناوين IP أو النطاقات بالوصول إلى الخادم إما عبر قواعد جدار الحماية أو نقاط نهاية خدمة الشبكة الافتراضية.

• السماح فقط بحركة المرور إلى قاعدة بيانات Azure ل MariaDB باستخدام عنوان IP الخاص بالجهاز الظاهري. لمزيد من المعلومات، راجع المقالات حول قواعد جدار حماية نقطة نهاية الخدمةوVNet.

• على جهاز Azure الظاهري، قم بتضييق نطاق الاتصال الصادر باستخدام مجموعات أمان الشبكة (NSGs) وعلامات الخدمة كما يلي:

  • حدد قاعدة NSG للسماح بحركة المرور لعلامة الخدمة = SQL. WestUs - السماح فقط بالاتصال بقاعدة بيانات Azure ل MariaDB في غرب الولايات المتحدة
  • حدد قاعدة NSG (ذات أولوية أعلى) لرفض حركة المرور لعلامة الخدمة = SQL - رفض الاتصالات بقاعدة بيانات MariaDB في جميع المناطق
    
    

في نهاية هذا الإعداد، يمكن ل Azure VM الاتصال فقط بقاعدة بيانات Azure ل MariaDB في منطقة غرب الولايات المتحدة. ومع ذلك، لا يقتصر الاتصال على قاعدة بيانات Azure واحدة ل MariaDB. لا يزال بإمكان الجهاز الظاهري الاتصال بأي قاعدة بيانات Azure ل MariaDB في منطقة غرب الولايات المتحدة، بما في ذلك قواعد البيانات التي ليست جزءا من الاشتراك. في حين أننا خفضنا نطاق تسرب البيانات في السيناريو المذكور أعلاه إلى منطقة معينة، فإننا لم نتخلص منه تمامًا.

باستخدام الرابط الخاص، يمكنك الآن إعداد عناصر التحكم في الوصول إلى الشبكة مثل NSGs لتقييد الوصول إلى نقطة النهاية الخاصة. ثم يتم تعيين موارد Azure PaaS الفردية إلى نقاط نهاية خاصة معينة. يمكن للمطلعين الضارين الوصول فقط إلى مورد PaaS المعين (على سبيل المثال قاعدة بيانات Azure ل MariaDB) وليس أي مورد آخر.

الاتصال الداخلي عبر التناظر الخاص

عند الاتصال بنقطة النهاية العامة من الأجهزة المحلية، يجب إضافة عنوان IP الخاص بك إلى جدار الحماية المستند إلى IP باستخدام قاعدة جدار حماية على مستوى الخادم. في حين أن هذا النموذج يعمل بشكل جيد للسماح بالوصول إلى الأجهزة الفردية لأحمال العمل التطوير أو اختبار، فإنه من الصعب إدارة في بيئة الإنتاج.

باستخدام الرابط الخاص، يمكنك تمكين الوصول عبر المباني إلى نقطة النهاية الخاصة باستخدام Express Route (ER) أو النظير الخاص أو نفق VPN. يمكنهم لاحقا تعطيل كل الوصول عبر نقطة النهاية العامة وعدم استخدام جدار الحماية المستند إلى IP.

ملاحظة

في بعض الحالات تكون قاعدة بيانات Azure ل MariaDB والشبكة الفرعية VNet في اشتراكات مختلفة. في هذه الحالات ، يجب عليك التأكد من التكوينات التالية:

• تأكد من أن كلا الاشتراكين مسجل موفر موارد Microsoft.DBforMariaDB. لمزيد من المعلومات، يرجى الرجوع إلى تسجيل مدير الموارد

تكوين ارتباط خاص لقاعدة بيانات Azure ل MariaDB

عملية الإنشاء

نقاط النهاية الخاصة مطلوبة لتمكين الارتباط الخاص. يمكن القيام بذلك باستخدام الأدلة الإرشادية التالية.

• ⁧⁩مدخل Microsoft Azure⁧⁩
• CLI

عملية الموافقة

بمجرد أن يقوم مسؤول الشبكة بإنشاء نقطة النهاية الخاصة (PE)، يمكن للمسؤول إدارة اتصال نقطة النهاية الخاصة (PEC) بقاعدة بيانات Azure ل MariaDB. يعد هذا الفصل بين الواجبات بين مسؤول الشبكة وDBA مفيدا لإدارة قاعدة بيانات Azure لاتصال MariaDB.

• انتقل إلى قاعدة بيانات Azure لمورد خادم MariaDB في مدخل Azure.
  • حدد اتصالات نقطة النهاية الخاصة في الجزء الأيمن
  • إظهار قائمة بجميع اتصالات نقطة النهاية الخاصة (PECs)
  • نقطة النهاية الخاصة المقابلة (PE) التي تم إنشاؤها

• حدد اتصالاً فرديًا لنقطة النهاية الخاصة من القائمة عن طريق تحديده.

• يمكن لمسؤول خادم MariaDB اختيار الموافقة على PEC أو رفضه وإضافة استجابة نصية قصيرة اختياريا.

• بعد الموافقة أو الرفض، ستعكس القائمة الحالة المناسبة مع نص الرد

حالات استخدام الارتباط الخاص لقاعدة بيانات Azure ل MariaDB

يمكن للعملاء الاتصال بنقطة النهاية الخاصة من نفس VNet، أو VNet النظير في نفس المنطقة أو عبر المناطق، أو عبر اتصال VNet-to-VNet عبر المناطق. بالإضافة إلى ذلك، يمكن للعملاء الاتصال من الداخل الموقع باستخدام ExpressRoute أو التناظر الخاص أو نفق VPN. وفيما يلي مخطط مبسط يوضح حالات الاستخدام الشائعة.

الاتصال من جهاز ظاهري Azure في الشبكة الظاهرية النظيرة (VNet)

تكوين نظير VNet لإنشاء اتصال بقاعدة بيانات Azure ل MariaDB من جهاز ظاهري Azure في VNet نظير.

الاتصال من جهاز ظاهري Azure في بيئة VNet-to-VNet

قم بتكوين اتصال بوابة VNet-to-VNet VPN لإنشاء اتصال بقاعدة بيانات Azure ل MariaDB من جهاز ظاهري Azure في منطقة أو اشتراك مختلف.

الاتصال من بيئة محلية عبر VPN

لإنشاء اتصال من بيئة محلية إلى قاعدة بيانات Azure ل MariaDB، اختر أحد الخيارات ونفذه:

• ⁧⁩اتصال من نقطة إلى موقع⁧⁩
• ⁧⁩اتصالات VPN من موقع إلى موقع⁧⁩
• ⁧⁩دائرة ExpressRoute⁧⁩

اقتران Private Link مع قواعد جدار الحماية

من الممكن أن تحدث الحالات والنتائج التالية عندما تستخدم Private Link مع قواعد جدار الحماية:

• إذا لم تقم بتكوين أي قواعد جدار حماية، فلن تتمكن أي حركة مرور بشكل افتراضي من الوصول إلى قاعدة بيانات Azure ل MariaDB.

• إذا قمت بتكوين نسبة استخدام الشبكة العامة أو نقطة تقديم الخدمة وقمت بإنشاء نقاط نهاية خاصة، فسيتم ترخيص أنواع مختلفة من نسب استخدام الشبكة الواردة من خلال النوع المقابل لقاعدة جدار الحماية.

• إذا لم تقم بتكوين أي حركة مرور عامة أو نقطة نهاية خدمة وقمت بإنشاء نقاط نهاية خاصة، فلن يمكن الوصول إلى قاعدة بيانات Azure ل MariaDB إلا من خلال نقاط النهاية الخاصة. إذا لم تقم بتكوين حركة مرور عامة أو نقطة نهاية خدمة، فبعد رفض جميع نقاط النهاية الخاصة المعتمدة أو حذفها، لن تتمكن أي حركة مرور من الوصول إلى قاعدة بيانات Azure ل MariaDB.

رفض الوصول العام لقاعدة بيانات Azure ل MariaDB

إذا كنت تريد الاعتماد بشكل كامل فقط على نقاط النهاية الخاصة للوصول إلى قاعدة بيانات Azure الخاصة ب MariaDB، فيمكنك تعطيل إعداد كافة نقاط النهاية العامة (قواعد جدار الحمايةونقاط نهاية خدمة VNet) عن طريق تعيين تكوين رفض الوصول إلى الشبكة العامة على خادم قاعدة البيانات.

عند تعيين هذا الإعداد إلى نعم، لا يسمح إلا للاتصالات عبر نقاط النهاية الخاصة بقاعدة بيانات Azure ل MariaDB. عند تعيين هذا الإعداد إلى NO، يمكن للعملاء الاتصال بقاعدة بيانات Azure ل MariaDB استنادا إلى إعدادات جدار الحماية أو نقطة نهاية خدمة VNet. بالإضافة إلى ذلك، بمجرد تعيين قيمة الوصول إلى الشبكة الخاصة، لا يمكن للعملاء إضافة و/أو تحديث "قواعد جدار الحماية" الحالية و"قواعد نقطة نهاية خدمة VNet".

ملاحظة

تتوفر هذه الميزة في جميع مناطق Azure حيث تدعم قاعدة بيانات Azure ل PostgreSQL - خادم واحد طبقات التسعير للأغراض العامة والذاكرة المحسنة.

لا يؤثر هذا الإعداد على تكوينات SSL وTLS لقاعدة بيانات Azure الخاصة بك ل MariaDB.

لمعرفة كيفية تعيين رفض الوصول إلى الشبكة العامة لقاعدة بيانات Azure ل MariaDB من مدخل Azure، راجع كيفية تكوين رفض الوصول إلى الشبكة العامة.

الخطوات التالية

لمعرفة المزيد حول قاعدة بيانات Azure لميزات أمان MariaDB، راجع المقالات التالية:

• لتكوين جدار حماية لقاعدة بيانات Azure ل MariaDB، راجع دعم جدار الحماية.

• لمعرفة كيفية تكوين نقطة نهاية خدمة شبكة ظاهرية لقاعدة بيانات Azure ل MariaDB، راجع تكوين الوصول من الشبكات الظاهرية.

• للحصول على نظرة عامة حول قاعدة بيانات Azure لاتصال MariaDB، راجع قاعدة بيانات Azure لبنية اتصال MariaDB