الوصول إلى الشبكة الخاصة لقاعدة بيانات Azure ل MySQL - خادم مرن
ينطبق على:
قاعدة بيانات Azure ل MySQL - خادم مرن
توضح هذه المقالة خيار الاتصال الخاص ل Azure MySQL Flexible Server. سوف تتعلم بالتفصيل مفاهيم الشبكة الظاهرية لقاعدة بيانات Azure لخادم MySQL Flexible لإنشاء خادم بشكل آمن في Azure.
الوصول الخاص (تكامل الشبكة الظاهرية)
Azure Virtual Network (VNet) هي لبنة الإنشاء الأساسية لشبكتك الخاصة في Azure. يوفر تكامل الشبكة الظاهرية (VNet) مع قاعدة بيانات Azure ل MySQL - الخادم المرن مزايا Azure المتمثلة في أمان الشبكة وعزلها.
يتيح لك تكامل الشبكة الظاهرية (VNet) لقاعدة بيانات Azure ل MySQL - Flexible Server تأمين الوصول إلى الخادم إلى البنية الأساسية للشبكة الظاهرية فقط. يمكن أن تتضمن شبكتك الافتراضية (VNet) جميع موارد التطبيقات وقواعد البيانات الخاصة بك في شبكة افتراضية واحدة أو قد تمتد عبر VNets مختلفة في نفس المناطق أو مناطق مختلفة. يمكن إنشاء اتصال سلس بين مختلف الشبكات الافتراضية من خلال النظير ، والذي يستخدم البنية التحتية الأساسية الأساسية الأساسية للبنية التحتية الخاصة ذات الكمون المنخفض والنطاق الترددي العالي من Microsoft. تظهر الشبكات الظاهرية كشبكة واحدة لأغراض الاتصال.
قاعدة بيانات Azure ل MySQL - يدعم الخادم المرن اتصال العميل من:
- الشبكات الظاهرية داخل نفس منطقة Azure. (VNets نظيرة محليا)
- الشبكات الظاهرية عبر مناطق Azure. (VNets العالمية النظيرة)
تمكنك الشبكات الفرعية من تقسيم الشبكة الظاهرية إلى شبكة فرعية واحدة أو أكثر وتخصيص جزء من مساحة عنوان الشبكة الظاهرية التي يمكنك بعد ذلك نشر موارد Azure إليها. قاعدة بيانات Azure ل MySQL - يتطلب الخادم المرن شبكة فرعية مفوضة. الشبكة الفرعية المفوضة هي معرف صريح يمكن للشبكة الفرعية استضافة قاعدة بيانات Azure فقط ل MySQL - خوادم مرنة. من خلال تفويض الشبكة الفرعية، تحصل الخدمة على أذونات صريحة لإنشاء موارد خاصة بالخدمة في الشبكة الفرعية لإدارة قاعدة بيانات Azure بسلاسة ل MySQL - الخادم المرن.
ملاحظة
أصغر نطاق يمكنك تحديده لشبكة فرعية هو /29 ، والذي يوفر ثمانية عناوين IP ، منها خمسة سيتم استخدامها بواسطة Azure داخليا ، في حين أن قاعدة بيانات Azure ل MySQL - خادم مرن ستحتاج إلى عنوان IP واحد لكل عقدة ليتم تخصيصه من الشبكة الفرعية المفوضة عند تمكين الوصول الخاص. ستحتاج الخوادم التي تدعم HA إلى خادمين وسيحتاج الخادم غير HA إلى عنوان IP واحد. التوصية هي حجز عنوان IP 2 على الأقل لكل خادم مرن مع الأخذ في الاعتبار أنه يمكننا تمكين خيارات التوافر العالي لاحقا.
قاعدة بيانات Azure ل MySQL - يتكامل الخادم المرن مع مناطق DNS الخاصة في Azure لتوفير خدمة DNS موثوقة وآمنة لإدارة أسماء المجالات وحلها في شبكة افتراضية دون الحاجة إلى إضافة حل DNS مخصص. يمكن ربط منطقة DNS الخاصة بشبكة افتراضية واحدة أو أكثر عن طريق إنشاء روابط شبكة افتراضية
في الرسم البياني أعلاه،
- يتم حقن الخوادم المرنة في شبكة فرعية مفوضة - 10.0.1.0/24 من VNET VNet-1.
- يمكن للتطبيقات التي يتم نشرها على شبكات فرعية مختلفة داخل نفس vnet الوصول إلى الخوادم المرنة مباشرة.
- لا تتمتع التطبيقات التي يتم نشرها على VNET VNet-2 مختلف بإمكانية الوصول المباشر إلى الخوادم المرنة. يجب عليك إجراء نظير VNET الخاص بمنطقة DNS قبل أن يتمكنوا من الوصول إلى الخادم المرن.
مفاهيم الشبكة الافتراضية
فيما يلي بعض المفاهيم التي يجب أن تكون على دراية بها عند استخدام الشبكات الافتراضية مع خوادم MySQL المرنة.
شبكة افتراضية -
تحتوي شبكة Azure الظاهرية (VNet) على مساحة عنوان IP خاصة تم تكوينها لاستخدامك. تفضل بزيارة نظرة عامة على شبكة Azure الظاهرية لمعرفة المزيد حول شبكة Azure الظاهرية .
يجب أن تكون شبكتك الظاهرية في نفس منطقة Azure مثل الخادم المرن.
الشبكة الفرعية المفوضة -
تحتوي الشبكة الظاهرية على شبكات فرعية (شبكات فرعية). تمكنك الشبكات الفرعية من تقسيم شبكتك الافتراضية إلى مساحات عناوين أصغر. يتم نشر موارد Azure في شبكات فرعية محددة داخل شبكة ظاهرية.
يجب أن يكون خادم MySQL المرن في شبكة فرعية مفوضة لاستخدام خادم MySQL المرن فقط. يعني هذا التفويض أنه يمكن فقط لقاعدة بيانات Azure لخوادم MySQL المرنة استخدام هذه الشبكة الفرعية. لا يمكن أن تكون أي أنواع موارد Azure أخرى في الشبكة الفرعية المفوضة. يمكنك تفويض شبكة فرعية عن طريق تعيين خاصية التفويض الخاصة بها ك Microsoft.DBforMySQL/flexibleServers.
مجموعات أمان الشبكة (NSG)
تتيح لك قواعد الأمان تصفية نوع نسبة استخدام الشبكة التي يمكن أن تتدفق لداخل وخارج الشبكات الظاهرية وواجهات الشبكة. راجع نظرة عامة على مجموعة أمان الشبكة للحصول على مزيد من المعلومات.
تكامل منطقة DNS الخاصة -
يسمح لك تكامل منطقة DNS الخاصة في Azure بحل DNS الخاص داخل VNET الحالي أو أي VNET نظير داخل المنطقة حيث يتم ربط منطقة DNS الخاصة.
قران الشبكة الظاهرية
يمكنك نظير الشبكة الظاهرية من توصيل شبكتين افتراضيتين أو أكثر بسلاسة في Azure. تظهر الشبكات الافتراضية النظيرة كواحدة لأغراض الاتصال. تستخدم حركة المرور بين الأجهزة الظاهرية في الشبكات الظاهرية النظيرة البنية الأساسية الأساسية ل Microsoft. يتم توجيه حركة المرور بين تطبيق العميل والخادم المرن في VNets النظيرة عبر شبكة Microsoft الخاصة فقط ويتم عزلها إلى تلك الشبكة فقط.
استخدام منطقة DNS الخاصة
إذا كنت تستخدم مدخل Azure أو Azure CLI لإنشاء خوادم مرنة باستخدام VNET، توفير منطقة DNS خاصة جديدة تلقائيا لكل خادم في اشتراكك باستخدام اسم الخادم المقدم. بدلا من ذلك، إذا كنت ترغب في إعداد منطقة DNS الخاصة بك لاستخدامها مع الخادم المرن، يرجى الاطلاع على وثائق نظرة عامة على DNS الخاصة .
إذا كنت تستخدم Azure API أو قالب Azure Resource Manager (قالب ARM) أو Terraform، فيرجى إنشاء مناطق DNS خاصة تنتهي بها
mysql.database.azure.comوتستخدمها أثناء تكوين خوادم مرنة ذات وصول خاص. لمزيد من المعلومات، راجع نظرة عامة خاصة على منطقة DNS.هام
يجب أن تنتهي أسماء مناطق DNS الخاصة ب
mysql.database.azure.com. إذا كنت تتصل بقاعدة بيانات Azure ل MySQL - قطع مرن باستخدام طبقة المقابس الآمنة وتستخدم خيارا لإجراء التحقق الكامل (sslmode=VERTIFY_IDENTITY) باستخدام اسم موضوع الشهادة، فاستخدم <servername.mysql.database.azure.com> في سلسلة الاتصال.
تعرف على كيفية إنشاء خادم مرن مع وصول خاص (تكامل VNet) في مدخل Azure أو Azure CLI.
التكامل مع خادم DNS المخصص
إذا كنت تستخدم خادم DNS المخصص ، فيجب عليك استخدام معيد توجيه DNS لحل FQDN لقاعدة بيانات Azure ل MySQL - الخادم المرن. يجب أن يكون عنوان IP الخاص بمعيد التوجيه هو 168.63.129.16. يجب أن يكون خادم DNS المخصص داخل VNet أو يمكن الوصول إليه عبر إعداد خادم DNS الخاص ب VNET. ارجع إلى دقة الاسم التي تستخدم خادم DNS الخاص بك لمعرفة المزيد.
منطقة DNS الخاصة ونظير VNET
إعدادات منطقة DNS الخاصة ونظير VNET مستقلة عن بعضها البعض. يرجى الرجوع إلى قسم استخدام منطقة DNS الخاصة أعلاه للحصول على مزيد من التفاصيل حول إنشاء مناطق DNS الخاصة واستخدامها.
إذا كنت ترغب في الاتصال بالخادم المرن من عميل يتم توفيره في VNET آخر من نفس المنطقة أو منطقة مختلفة، فيجب عليك ربط منطقة DNS الخاصة ب VNET. تعرف على كيفية ربط وثائق الشبكة الظاهرية .
ملاحظة
لا يمكن ربط أسماء مناطق DNS الخاصة التي تنتهي mysql.database.azure.com إلا باسم.
الاتصال من داخل الشركة إلى خادم مرن في الشبكة الافتراضية باستخدام ExpressRoute أو VPN
بالنسبة لأحمال العمل التي تتطلب الوصول إلى خادم مرن في الشبكة الافتراضية من الشبكة المحلية ، ستحتاج إلى ExpressRoute أو VPN وشبكة افتراضية متصلة محليا. مع وجود هذا الإعداد في مكانه الصحيح، ستحتاج إلى معيد توجيه DNS لحل اسم الخادم المرن إذا كنت ترغب في الاتصال من تطبيق العميل (مثل MySQL Workbench) الذي يعمل على الشبكة الظاهرية المحلية. يعد معبر إعادة توجيه DNS مسؤولًا عن حل كافة استعلامات DNS عبر معبر إعادة توجيه على مستوى الخادم إلى خدمة DNS التي توفرها Azure 168.63.129.16.
للتكوين بشكل صحيح، تحتاج إلى الموارد التالية:
- شبكة داخلي
- خادم MySQL المرن المزود بوصول خاص (تكامل VNet)
- شبكة ظاهرية متصلة بشبكة محلية
- استخدام معيد توجيه DNS 168.63.129.16 المنشور في Azure
يمكنك بعد ذلك استخدام اسم الخادم المرن (FQDN) للاتصال من تطبيق العميل في الشبكة الظاهرية النظيرة أو الشبكة المحلية إلى الخادم المرن.
سيناريوهات الشبكة الظاهرية غير المعتمدة
- نقطة النهاية العامة (أو IP العام أو DNS) - لا يمكن أن يحتوي الخادم المرن الذي يتم نشره على شبكة افتراضية على نقطة نهاية عامة
- بعد نشر الخادم المرن إلى شبكة ظاهرية وشبكة فرعية، لا يمكنك نقله إلى شبكة ظاهرية أخرى أو شبكة فرعية. لا يمكنك نقل الشبكة الظاهرية إلى مجموعة موارد أو اشتراك آخر.
- لا يمكن زيادة حجم الشبكة الفرعية (مساحات العناوين) بمجرد وجود الموارد في الشبكة الفرعية
- الخادم المرن لا يدعم الرابط الخاص. بدلا من ذلك ، فإنه يستخدم حقن VNet لجعل الخادم المرن متاحا داخل VNet.
ملاحظة
إذا كنت تستخدم خادم DNS المخصص ، فيجب عليك استخدام معيد توجيه DNS لحل FQDN لقاعدة بيانات Azure ل MySQL - الخادم المرن. ارجع إلى دقة الاسم التي تستخدم خادم DNS الخاص بك لمعرفة المزيد.
الخطوات التالية
- تعرف على كيفية تمكين الوصول الخاص (تكامل vnet) باستخدام مدخل Azure أو Azure CLI
- تعرف على كيفية استخدام طبقة النقل الآمنة (TLS)