koncepty Připojení a sítí pro flexibilní server Azure Database for MySQL
PLATÍ PRO:
Flexibilní server Azure Database for MySQL
Tento článek představuje koncepty řízení připojení k instanci flexibilního serveru Azure Database for MySQL. Podrobně se seznámíte se síťovými koncepty flexibilního serveru Azure Database for MySQL, abyste mohli bezpečně vytvářet a přistupovat k serveru v Azure.
Flexibilní server Azure Database for MySQL podporuje tři způsoby konfigurace připojení k vašim serverům:
Veřejný přístup k flexibilnímu serveru se přistupuje přes veřejný koncový bod. Veřejný koncový bod je veřejně přeložitelná adresa DNS. Fráze "povolené IP adresy" odkazuje na rozsah IP adres, které se rozhodnete udělit oprávnění pro přístup k vašemu serveru. Tato oprávnění se nazývají pravidla brány firewall.
Privátní koncový bod můžete použít k tomu, aby hostitelé ve virtuální síti virtuální sítě mohli bezpečně přistupovat k datům přes Private Link.
Privátní přístup (integrace virtuální sítě) Flexibilní server můžete nasadit do virtuální sítě Azure. Virtuální sítě Azure poskytují privátní a zabezpečenou síťovou komunikaci. Prostředky ve virtuální síti můžou komunikovat prostřednictvím privátních IP adres.
Poznámka:
Po nasazení serveru s veřejným nebo privátním přístupem (prostřednictvím integrace virtuální sítě) nemůžete změnit režim připojení. V režimu veřejného přístupu ale můžete podle potřeby povolit nebo zakázat privátní koncové body a v případě potřeby také zakázat veřejný přístup.
Volba možnosti sítě
Pokud chcete mít následující možnosti, zvolte veřejný přístup (povolené IP adresy) a metodu privátního koncového bodu :
- Připojení z prostředků Azure bez podpory virtuální sítě
- Připojení z prostředků mimo Azure, které nejsou připojené přes VPN nebo ExpressRoute
- Flexibilní server je přístupný prostřednictvím veřejného koncového bodu a je přístupný prostřednictvím autorizovaných internetových prostředků. V případě potřeby je možné veřejný přístup zakázat.
- Možnost konfigurovat privátní koncové body pro přístup k serveru z hostitelů ve virtuální síti
Pokud chcete mít následující možnosti, zvolte privátní přístup (integrace virtuální sítě):
- Připojení k flexibilnímu serveru z prostředků Azure ve stejné virtuální síti nebo v partnerské virtuální síti bez nutnosti konfigurace privátního koncového bodu
- Připojení k flexibilnímu serveru z prostředků mimo Azure s využitím sítě VPN nebo ExpressRoute
- Žádný veřejný koncový bod
Následující vlastnosti platí bez ohledu na to, jestli se rozhodnete použít privátní přístup nebo možnost veřejného přístupu:
- Připojení z povolených IP adres se musí ověřit v instanci flexibilního serveru Azure Database for MySQL s platnými přihlašovacími údaji.
- Připojení šifrování je k dispozici pro síťový provoz.
- Server má plně kvalifikovaný název domény (fqdn). Místo IP adresy pro vlastnost název hostitele v připojovací řetězec doporučujeme použít plně kvalifikovaný název domény.
- Obě možnosti řídí přístup na úrovni serveru, ne na úrovni databáze nebo tabulky. Vlastnosti rolí MySQL byste použili k řízení přístupu k databázi, tabulce a dalším objektům.
Nepodporované scénáře virtuálních sítí
- Veřejný koncový bod (nebo veřejná IP adresa nebo DNS) – Flexibilní server nasazený do virtuální sítě nemůže mít veřejný koncový bod.
- Po nasazení flexibilního serveru do virtuální sítě a podsítě ho nemůžete přesunout do jiné virtuální sítě nebo podsítě.
- Po nasazení flexibilního serveru nemůžete přesunout virtuální síť, kterou flexibilní server používá, do jiné skupiny prostředků nebo předplatného.
- Jakmile v podsíti existují prostředky, není možné zvětšit velikost podsítě (adresní prostory).
- Změna z veřejného na privátní přístup není po vytvoření serveru povolená. Doporučeným způsobem je použít obnovení k určitému bodu v čase.
Poznámka:
Pokud používáte vlastní server DNS, musíte k překladu plně kvalifikovaného názvu domény instance flexibilního serveru Azure Database for MySQL použít předávač DNS. Další informace najdete v tématu překladu názvů, který používá váš server DNS.
Název hostitele
Bez ohledu na vaši možnost sítě doporučujeme při připojování k instanci flexibilního serveru Azure Database for MySQL použít plně kvalifikovaný název domény (FQDN) <servername>.mysql.database.azure.com v připojovací řetězec. IP adresa serveru není zaručená, že zůstane statická. Použití plně kvalifikovaného názvu domény vám pomůže vyhnout se změnám připojovací řetězec.
Příkladem, který jako název hostitele používá plně kvalifikovaný název domény, je název hostitele = servername.mysql.database.azure.com. Pokud je to možné, nepoužívejte název hostitele = 10.0.0.4 (privátní adresa) nebo název hostitele = 40.2.45.67 (veřejná adresa).
TLS a SSL
Flexibilní server Azure Database for MySQL podporuje připojení klientských aplikací k instanci flexibilního serveru Azure Database for MySQL pomocí protokolu SSL (Secure Sockets Layer) s šifrováním TLS (Transport Layer Security). TLS je standardní oborový protokol, který zajišťuje šifrovaná síťová připojení mezi databázovým serverem a klientskými aplikacemi a umožňuje splnění požadavků na dodržování předpisů.
Flexibilní server Azure Database for MySQL podporuje šifrovaná připojení pomocí protokolu TLS 1.2 (Transport Layer Security) ve výchozím nastavení a všechna příchozí připojení s protokolem TLS 1.0 a TLS 1.1 jsou ve výchozím nastavení odepřena. Konfiguraci vynucení šifrovaného připojení nebo verze protokolu TLS na flexibilním serveru je možné nakonfigurovat a změnit.
Následují různé konfigurace nastavení PROTOKOLU SSL a TLS, které můžete mít pro flexibilní server:
| Scénář | Nastavení parametrů serveru | Popis |
|---|---|---|
| Zakázání SSL (šifrovaná připojení) | require_secure_transport = VYPNUTO | Pokud starší verze aplikace nepodporuje šifrovaná připojení k instanci flexibilního serveru Azure Database for MySQL, můžete vynucení šifrovaných připojení k flexibilnímu serveru zakázat nastavením require_secure_transport=OFF. |
| Vynucení protokolu SSL s protokolem TLS verze < 1.2 | require_secure_transport = ZAPNUTO A TLS_VERSION = TLS 1.0 nebo TLS 1.1 | Pokud starší verze aplikace podporuje šifrovaná připojení, ale vyžaduje protokol TLS verze < 1.2, můžete povolit šifrovaná připojení, ale nakonfigurovat flexibilní server tak, aby umožňoval připojení s verzí PROTOKOLU TLS (verze 1.0 nebo v1.1), kterou vaše aplikace podporuje. |
| Vynucení protokolu SSL s protokolem TLS verze = 1.2 (výchozí konfigurace) | require_secure_transport = ZAPNUTO a TLS_VERSION = TLS 1.2 | Toto je doporučená a výchozí konfigurace flexibilního serveru. |
| Vynucení protokolu SSL s protokolem TLS verze = 1.3 (podporováno v MySQL verze 8.0 a vyšší) | require_secure_transport = ZAPNUTO A TLS_VERSION = TLS 1.3 | To je užitečné a doporučeno pro vývoj nových aplikací. |
Poznámka:
Změny šifrování SSL na flexibilním serveru se nepodporují. Šifrovací sady FIPS se ve výchozím nastavení vynucují, když je tls_version nastavená na TLS verze 1.2. U jiných verzí protokolu TLS než verze 1.2 je šifrování SSL nastavené na výchozí nastavení, která se dodává s instalací komunity MySQL.
Další informace najdete v tom, jak se připojit pomocí protokolu SSL/TLS .
Další kroky
- Informace o povolení privátního přístupu (integrace virtuální sítě) pomocí webu Azure Portal nebo Azure CLI
- Informace o povolení veřejného přístupu (povolené IP adresy) pomocí webu Azure Portal nebo Azure CLI
- Zjistěte, jak nakonfigurovat privátní propojení pro flexibilní server Azure Database for MySQL z webu Azure Portal.