Share via

استخدام نقاط نهاية وقواعد خدمة الشبكة الظاهرية لقاعدة بيانات Azure ل MariaDB

  • مقالة

هام

قاعدة بيانات Azure ل MariaDB على مسار التقاعد. نوصي بشدة بالترحيل إلى قاعدة بيانات Azure ل MySQL. لمزيد من المعلومات حول الترحيل إلى قاعدة بيانات Azure ل MySQL، راجع ما يحدث لقاعدة بيانات Azure ل MariaDB؟.

قواعد الشبكة الظاهرية هي ميزة أمان جدار حماية واحدة تتحكم في ما إذا كانت قاعدة بيانات Azure لخادم MariaDB تقبل الاتصالات التي يتم إرسالها من شبكات فرعية معينة في الشبكات الظاهرية. توضح هذه المقالة سبب كون ميزة قاعدة الشبكة الظاهرية في بعض الأحيان الخيار الأفضل للسماح بالاتصال بأمان بقاعدة بيانات Azure لخادم MariaDB.

لإنشاء قاعدة شبكة ظاهرية، يجب أن يكون هناك أولاً شبكة ظاهرية (VNet) ونقطة تقديم خدمة الشبكة الظاهرية للقاعدة للرجوع لها. توضح الصورة التالية كيفية عمل نقطة نهاية خدمة الشبكة الظاهرية مع قاعدة بيانات Azure ل MariaDB:

Example of how a VNet Service Endpoint works

إشعار

تتوفر هذه الميزة في جميع مناطق Azure حيث يتم نشر قاعدة بيانات Azure ل MariaDB للأغراض العامة والخوادم المحسنة للذاكرة.

يمكنك أيضًا التفكير في استخدام الارتباط الخاص للاتصالات. يوفر Private Link عنوان IP خاصا في VNet لقاعدة بيانات Azure لخادم MariaDB.

المصطلحات والوصف

الشبكة الظاهرية :يمكن أن يكون لديك شبكات ظاهرية مرتبطة باشتراك Azure.

الشبكة الفرعية: تحتوي الشبكة الظاهرية على شبكات فرعية. أي (VMs) من Azure تم تعيينها إلى الشبكات الفرعية. يمكن أن تحتوي شبكة فرعية واحدة على العديد من VMs، أو عقد حساب أخرى. لا يمكن لحساب العقد التي تقع خارج الشبكة الظاهرية الوصول إلى شبكتك الظاهرية؛ إلا إذا قمت بتكوين الأمان الخاص بك للسماح بالوصول.

نقطة تقديم خدمة الشبكة الظاهرية:نقطة تقديم خدمة الشبكة الظاهرية هي شبكة فرعية تشمل قيم خصائصها اسم أو أكثر من أسماء أنواع خدمة Azure الرسمية. في هذه المقالة سوف نوضح اسم نوع Microsoft.Sql، والذي يشير إلى خدمة Azure المُسماة بـ SQL Database. تنطبق علامة الخدمة هذه أيضا على قاعدة بيانات Azure لخدمات MariaDB وMySQL وPostgreSQL. من المهم ملاحظة عند تطبيق علامة خدمة Microsoft.Sql على نقطة نهاية خدمة VNet، ستقوم بتكوين حركة مرور نقطة نهاية الخدمة لجميع قاعدة بيانات Azure SQL وقاعدة بيانات Azure ل MariaDB وقاعدة بيانات Azure ل MySQL وقاعدة بيانات Azure لخوادم PostgreSQL على الشبكة الفرعية.

قاعدة الشبكة الظاهرية: قاعدة الشبكة الظاهرية لخادم Azure Database for MariaDB هي شبكة فرعية مدرجة في قائمة التحكم بالوصول (ACL) لقاعدة بيانات Azure لخادم MariaDB. لتكون في قائمة التحكم بالوصول لقاعدة بيانات Azure لخادم MariaDB، يجب أن تحتوي الشبكة الفرعية على اسم نوع Microsoft.Sql .

تخبر قاعدة الشبكة الظاهرية خادم Azure Database for MariaDB بقبول الاتصالات من كل عقدة موجودة على الشبكة الفرعية.

فوائد قاعدة الشبكة الظاهرية

حتى تتخذ إجراء، لا يمكن للأجهزة الظاهرية على الشبكات الفرعية الاتصال بقاعدة بيانات Azure لخادم MariaDB. أحد الإجراءات التي تنشأ الاتصال هو إنشاء قاعدة شبكة ظاهرية. يتطلب الأساس المنطقي لاختيار نهج قاعدة الشبكة الظاهرية مناقشة مقارنة وتباين تتضمن خيارات الأمان المتنافسة التي يقدمها جدار الحماية.

أ. السماح بالوصول إلى خدمات Azure

يحتوي جزء أمان الاتصال على زر تشغيل وإيقاف يُسمى السماح بالوصول إلى خدمات Azure. يسمح إعداد التشغيل بالاتصالات من جميع عناوينIP الخاصة بـ Azure وجميع الشبكات الفرعية لـ Azure. قد لا تكون عناوين IP أو الشبكات الفرعية هذه مملوكة لك. ربما يكون إعداد ON هذا مفتوحا أكثر مما تريد أن تكون عليه قاعدة بيانات Azure ل MariaDB. توفر ميزة قاعدة الشبكة الظاهرية تحكمًا أكثر دقة.

ب. قواعد IP

يسمح لك جدار حماية Azure Database for MariaDB بتحديد نطاقات عناوين IP التي يتم قبول الاتصالات منها في قاعدة بيانات Azure لخادم MariaDB. هذا الأسلوب مناسب لعناوين IP الموجودة خارج شبكة اتصال Azure الخاصة. ولكن تتكون العديد من العقد داخل شبكة Azure الخاصة بعناوين IP الديناميكية. قد تتغير عناوين IP الديناميكية، مثل إعادة تشغيل الجهاز الظاهري الخاص بك. سيكون من غير الصواب تحديد عنوان IP ديناميكي في قاعدة جدار حماية في بيئة التشغيل.

يمكنك إنقاذ خيار IP عن طريق الحصول على عنوان IP ثابت للجهاز الظاهري الخاص بك. لمزيد من التفاصيل، راجع تكوين عناوين IP الخاصة للأجهزة الظاهرية باستخدام مدخل Microsoft Azure.

ومع ذلك، يمكن أن يصبح نهج IP الثابت صعب إدارته، وقد يلزم إلى تغيير سعته عند تنفيذه. قواعد الشبكة الظاهرية أسهل في التأسيس والإدارة.

تفاصيل حول قواعد الشبكة الظاهرية

يصف هذا القسم العديد من التفاصيل حول قواعد الشبكة الظاهرية.

منطقة جغرافية واحدة فقط

تنطبق كل نقطة تقديم لخدمة الشبكة الظاهرية على منطقة Azure واحدة فقط. لا تمكّن نقطة النهاية المناطق الأخرى من قبول الاتصال من الشبكة الفرعية.

تقتصر أي قاعدة شبكة ظاهرية على المنطقة التي تنطبق عليها نقطة النهاية الأساسية الخاصة بها.

وعلى مستوى الخادم، وليس مستوى قاعدة البيانات

تنطبق كل قاعدة شبكة ظاهرية على قاعدة بيانات Azure بأكملها لخادم MariaDB، وليس فقط على قاعدة بيانات معينة واحدة على الخادم. بمعنى آخر، تنطبق قواعد الشبكة الظاهرية على مستوى الخادم، وليس على مستوى قاعدة البيانات.

أدوار إدارة الأمن

يوجد فصل لأدوار الأمان في إدارة نقاط تقديم خدمة الشبكة الظاهرية. مطلوب اتخاذ إجراء من كل من الأدوار التالية:

  • مسؤول الشبكة: قم بتشغيل نقطة النهاية.
  • مسؤول قاعدة البيانات: تحديث قائمة التحكم بالوصول (ACL) لإضافة الشبكة الفرعية المحددة إلى قاعدة بيانات Azure لخادم MariaDB.

بديل Azure RBAC:

تتمتع أدوار مسؤول الشبكة ومسؤول قاعدة البيانات بإمكانيات أكثر مما هو مطلوب لإدارة قواعد الشبكة الظاهرية. فقط مجموعة فرعية من قدراتهم مطلوبة.

لديك خيار استخدام التحكم في الوصول استنادًا إلى دور Azure (Azure RBAC) لإنشاء دور مخصص واحد يحتوي فقط على مجموعة فرعية ضرورية من الإمكانات. يمكن استخدام الدور المخصص بدلًا من إشراك مسؤول الشبكة أو مسؤول قاعدة البيانات. تكون مساحة سطح التعرض للأمان أقل إذا أضفت مستخدمًا ما إلى دور مخصص مقابل إضافة المستخدم إلى أدوار المسؤول الرئيسية الأخرى.

إشعار

في بعض الحالات، تكون قاعدة بيانات Azure ل MariaDB والشبكة الفرعية VNet في اشتراكات مختلفة. في هذه الحالات، يجب عليك التأكد من التكوينات التالية:

  • يجب أن يكون كلا الاشتراكين في نفس مستأجر Microsoft Entra.
  • يمتلك المستخدم الأذونات المطلوبة لبدء العمليات مثل تمكين نقاط نهاية الخدمة وإضافة شبكة فرعية تابعة للشبكة الظاهرية إلى الخادم المحدد.
  • تأكد من تسجيل موفر موارد Microsoft.Sql وMicrosoft.DBforMariaDBعلى حد سواء. للمزيد من المعلومات، راجع تسجيل مدير الموارد

القيود

بالنسبة لقاعدة بيانات Azure ل MariaDB، تحتوي ميزة قواعد الشبكة الظاهرية على القيود التالية:

  • يمكن تعيين تطبيق ويب إلى عنوان IP خاص في شبكة فرعية تابعة للشبكة الظاهرية. حتى إذا تم تشغيل نقاط نهاية الخدمة من الشبكة الفرعية التابعة للشبكة الظاهرية المحددة، فإن الاتصالات من تطبيق الويب إلى الخادم سيكون لها مصدر IP عام لـ Azure، وليس مصدر شبكة فرعية تابعة للشبكة الظاهرية. لتمكين الاتصال من تطبيق ويب إلى خادم يحتوي على قواعد جدار حماية الشبكة الظاهرية، يجب السماح لخدمات Azure بالوصول إلى الخادم على الخادم.

  • في جدار الحماية لقاعدة بيانات Azure ل MariaDB، تشير كل قاعدة شبكة ظاهرية إلى شبكة فرعية. يجب استضافة جميع هذه الشبكات الفرعية المشار إليها في نفس المنطقة الجغرافية التي تستضيف قاعدة بيانات Azure ل MariaDB.

  • يمكن أن تحتوي كل قاعدة بيانات Azure لخادم MariaDB على ما يصل إلى 128 إدخال ACL لأي شبكة ظاهرية معينة.

  • تنطبق قواعد الشبكة الظاهرية فقط على شبكات Azure Resource Manager الافتراضية وليس على شبكات نموذج النشر الكلاسيكي.

  • يؤدي تشغيل نقاط نهاية خدمة الشبكة الظاهرية إلى قاعدة بيانات Azure ل MariaDB باستخدام علامة خدمة Microsoft.Sql أيضا إلى تمكين نقاط النهاية لجميع خدمات قاعدة بيانات Azure: قاعدة بيانات Azure ل MariaDB وقاعدة بيانات Azure ل MySQL وقاعدة بيانات Azure ل PostgreSQL وقاعدة بيانات Azure SQL وتحليلات Azure Synapse.

  • دعم نقاط نهاية خدمة الشبكة الظاهرية هو فقط للأغراض العامة والخوادم المحسنة للذاكرة.

  • في حال تمكين Microsoft.Sql في شبكة فرعية، فهذا يشير إلى أنك تريد فقط استخدام قواعد الشبكة الظاهرية للاتصال. لن تعمل قواعد موارد جدار الحماية غير التابعة للشبكة الظاهرية في تلك الشبكة الفرعية.

  • في جدار الحماية، تنطبق نطاقات عناوين IP على عناصر الشبكات التالية، لكن لا تنطبق قواعد الشبكة الظاهرية:

ExpressRoute

في حال إن كانت شبكتك متصلة بشبكة Azure من خلال استخدام ExpressRoute، فسوف تتكون كل دائرة باستخدام عنواني IP العام في Microsoft Edge. يُستخدم عنواني IP للاتصال بخدمات Microsoft، مثل Azure Storage، باستخدام Azure Public Peering.

للسماح بالاتصال من دائرتك إلى قاعدة بيانات Azure ل MariaDB، يجب إنشاء قواعد شبكة IP لعناوين IP العامة للدوائر الخاصة بك. للعثور على عناوين IP العامة لدائرة ExpressRoute، افتح تذكرة دعم مع ExpressRoute باستخدام مدخل Microsoft Azure.

إضافة قاعدة جدار حماية الشبكة الظاهرية إلى الخادم الخاص بك دون تشغيل نقاط نهاية خدمة الشبكة الظاهرية

إن مجرد تعيين قاعدة جدار حماية الشبكة الظاهرية لا يساعد في تأمين الخادم للشبكة الظاهرية. يجب عليك أيضاً تشغيلنقاط نهاية خدمة الشبكة الظاهرية حتى يتم تفعيل الأمان. عند تشغيلنقاط نهاية الخدمة، تواجه الشبكة الفرعية للشبكة الافتراضية الخاصة بك وقت تعطل حتى تكمل الانتقال من إيقاف Off إلى On. هذا صحيح بشكل خاص في سياق الشبكات الظاهرية الكبيرة. يمكنك استخدام علامة IgnoreMissingVNetServiceEndpoint لتقليل أو التخلص من وقت التعطل في أثناء التنقل.

يمكنك تعيين علامة IgnoreMissingServiceEndpoint باستخدام Azure CLI أو مدخل Azure.

الخطوات التالية

للحصول على مقالات حول إنشاء قواعد الشبكة الظاهرية، راجع: