مفاهيم الاتصال والشبكات لقاعدة بيانات Azure ل MySQL - خادم مرن
ينطبق على:
قاعدة بيانات Azure ل MySQL - خادم مرن
تقدم هذه المقالة مفاهيم التحكم في الاتصال بخادم Azure MySQL المرن. سوف تتعلم بالتفصيل مفاهيم الشبكات لقاعدة بيانات Azure لخادم MySQL Flexible لإنشاء خادم والوصول إليه بأمان في Azure.
قاعدة بيانات Azure ل MySQL - يدعم الخادم المرن طريقتين لتكوين الاتصال بالخوادم:
ملاحظة
لا يمكن تغيير خيار الشبكة بعد إنشاء الخادم.
الوصول الخاص (تكامل VNet)الوصول الخاص يمكنك نشر الخادم المرن في شبكة Azure الظاهرية. تساعد شبكات Azure الظاهرية على توفير اتصال شبكة خاص وآمن. يمكن للموارد في شبكة ظاهرية الاتصال من خلال عناوين IP الخاصة.
الوصول العام (عناوين IP المسموح بها)الوصول العام يتم الوصول إلى خادمك المرن من خلال نقطة نهاية عامة. نقطة النهاية العامة عنوان DNS عام قابل للحل. تشير عبارة "عناوين IP المسموح بها" إلى مجموعة من عناوين IP التي تختارها لمنح الإذن للوصول إلى خادمك. وتسمى هذه الأذونات قواعد جدار الحماية
اختيار خيار الشبكة
اختر الوصول الخاص (تكامل VNet) إذا كنت تريد الإمكانات التالية:
- الاتصال من موارد Azure في نفس الشبكة الظاهرية أو الشبكة الظاهرية النظيرة إلى الخادم المرن
- استخدام VPN أو ExpressRoute للاتصال من الموارد غير التابعة لـ Azure إلى خادمك المرن
- عدم توفر نقاط النهاية العامة
اختر طريقة الوصول العام (عناوين IP المسموح بها) إذا كنت تريد الإمكانات التالية:
- الاتصال من موارد Azure التي لا تدعم الشبكات الظاهرية
- الاتصال من موارد خارج Azure غير متصلة بواسطة VPN أو ExpressRoute
- يحتوي الخادم المرن على نقطة نهاية عامة
تنطبق الخصائص التالية سواء اخترت استخدام الوصول الخاص أو خيار الوصول العام:
- تحتاج الاتصالات من عناوين IP المسموح بها إلى المصادقة على خادم MySQL باستخدام بيانات اعتماد صالحة
- يتوفر تشفير الاتصال لحركة مرور الشبكة
- يحتوي الخادم على اسم نطاق مؤهل بالكامل (fqdn). بالنسبة لخاصية اسم المضيف في سلاسل الاتصال، نوصي باستخدام fqdn بدلا من عنوان IP.
- يتحكم كلا الخيارين في الوصول على مستوى الخادم، وليس على مستوى قاعدة البيانات أو الجدول. يمكنك استخدام خصائص أدوار MySQL للتحكم في قاعدة البيانات والجدول والوصول إلى الكائنات الأخرى.
سيناريوهات الشبكة الظاهرية غير المعتمدة
- نقطة النهاية العامة (أو IP العام أو DNS) - لا يمكن أن يحتوي الخادم المرن الذي يتم نشره على شبكة افتراضية على نقطة نهاية عامة
- بعد نشر الخادم المرن إلى شبكة ظاهرية وشبكة فرعية، لا يمكنك نقله إلى شبكة ظاهرية أخرى أو شبكة فرعية. * بعد نشر الخادم المرن، لا يمكنك نقل الشبكة الظاهرية التي يستخدمها الخادم المرن إلى مجموعة موارد أو اشتراك آخر.
- لا يمكن زيادة حجم الشبكة الفرعية (مساحات العناوين) بمجرد وجود الموارد في الشبكة الفرعية
- لا يسمح بالتغيير من الوصول العام إلى الوصول الخاص بعد إنشاء الخادم. الطريقة الموصى بها هي استخدام استعادة النقطة في الوقت المناسب
تعرف على كيفية تمكين الوصول الخاص (تكامل vnet) باستخدام مدخل Azure أو Azure CLI.
ملاحظة
إذا كنت تستخدم خادم DNS المخصص ، فيجب عليك استخدام معيد توجيه DNS لحل FQDN لقاعدة بيانات Azure ل MySQL - الخادم المرن. ارجع إلى دقة الاسم التي تستخدم خادم DNS الخاص بك لمعرفة المزيد.
اسم المضيف
بغض النظر عن خيار الشبكة الذي تختاره، نوصيك باستخدام اسم النطاق المؤهل بالكامل (FQDN) <servername>.mysql.database.azure.com في سلاسل الاتصال عند الاتصال بالخادم المرن.
TLS و SSL
تدعم قاعدة بيانات Azure ل MySQL Flexible Server توصيل تطبيقات العميل بخادم MySQL باستخدام طبقة مآخذ التوصيل الآمنة (SSL) مع تشفير أمان طبقة النقل (TLS). TLS هو بروتوكول قياسي في الصناعة يضمن اتصالات الشبكة المشفرة بين خادم قاعدة البيانات وتطبيقات العميل ، مما يسمح لك بالالتزام بمتطلبات الامتثال.
تدعم قاعدة بيانات Azure ل MySQL Flexible Server الاتصالات المشفرة باستخدام أمان طبقة النقل (TLS 1.2) بشكل افتراضي وسيتم رفض جميع الاتصالات الواردة مع TLS 1.0 وTLS 1.1 بشكل افتراضي. يمكن تكوين وتغيير فرض الاتصال المشفر أو تكوين إصدار TLS على الخادم المرن.
فيما يلي التكوينات المختلفة لإعدادات SSL و TLS التي يمكنك الحصول عليها لخادمك المرن:
| السيناريو | إعدادات معلمة الخادم | الوصف |
|---|---|---|
| تعطيل SSL (الاتصالات المشفرة) | require_secure_transport = إيقاف | إذا كان تطبيقك القديم لا يدعم الاتصالات المشفرة بخادم MySQL، فيمكنك تعطيل فرض الاتصالات المشفرة على الخادم المرن عن طريق تعيين require_secure_transport=OFF. |
| فرض طبقة المقابس الآمنة باستخدام TLS الإصدار < 1.2 | require_secure_transport = تشغيل و tls_version = TLSV1 أو TLSV1.1 | إذا كان تطبيقك القديم يدعم الاتصالات المشفرة ولكنه يتطلب إصدار < TLS 1.2، فيمكنك تمكين الاتصالات المشفرة ولكن تكوين الخادم المرن للسماح بالاتصالات بإصدار TLS (الإصدار 1.0 أو الإصدار 1.1) الذي يدعمه تطبيقك |
| فرض طبقة المقابس الآمنة باستخدام إصدار TLS = 1.2 (التكوين الافتراضي) | require_secure_transport = تشغيل و tls_version = TLSV1.2 | هذا هو التكوين الموصى به والافتراضي للخادم المرن. |
| فرض SSL مع إصدار TLS = 1.3 (مدعوم مع MySQL v8.0 والإصدارات الأحدث) | require_secure_transport = تشغيل و tls_version = TLSV1.3 | هذا مفيد وموصى به لتطوير التطبيقات الجديدة |
ملاحظة
التغييرات على SSL Cipher على الخادم المرن غير مدعومة. يتم فرض مجموعات تشفير FIPS بشكل افتراضي عند تعيين tls_version إلى TLS الإصدار 1.2 . بالنسبة لإصدارات TLS بخلاف الإصدار 1.2 ، يتم تعيين SSL Cipher إلى الإعدادات الافتراضية التي تأتي مع تثبيت مجتمع MySQL.
راجع كيفية الاتصال باستخدام طبقة المقابس الآمنة/طبقة النقل الآمنة (TLS ) لمعرفة المزيد.
الخطوات التالية
- تعرف على كيفية تمكين الوصول الخاص (تكامل vnet) باستخدام مدخل Azure أو Azure CLI
- تعرف على كيفية تمكين الوصول العام (عناوين IP المسموح بها) باستخدام مدخل Azure أو Azure CLI
- تعرف على كيفية استخدام طبقة النقل الآمنة (TLS)