Vytvoření a správa služby Private Link pro flexibilní server Azure Database for MySQL pomocí Azure CLI

  • Článek

PLATÍ PRO: Flexibilní server Azure Database for MySQL

V tomto článku se dozvíte, jak pomocí Azure CLI vytvořit privátní koncový bod pro přístup k flexibilnímu serveru Azure Database for MySQL z virtuálního počítače ve virtuální síti.

Spuštění služby Azure Cloud Shell

Azure Cloud Shell je bezplatné interaktivní prostředí, které můžete použít ke spuštění kroků v tomto článku. Má předinstalované a nakonfigurované standardní nástroje Azure pro použití s vaším účtem.

Pokud chcete otevřít Cloud Shell, vyberte Vyzkoušet v pravém horním rohu bloku kódu. Cloud Shell můžete otevřít také na samostatné kartě prohlížeče tak, že přejdete na https://shell.azure.com/bash. Výběrem možnosti Kopírovat zkopírujte bloky kódu, vložte ho do Cloud Shellu a stisknutím klávesy Enter ho spusťte.

Pokud chcete rozhraní příkazového řádku nainstalovat a používat místně, tento rychlý start vyžaduje Azure CLI verze 2.0 nebo novější. Verzi zjistíte spuštěním příkazu az --version. Pokud potřebujete nainstalovat nebo upgradovat, přečtěte si téma Instalace Azure CLI .

Požadavky

Ke svému účtu se musíte přihlásit pomocí příkazu az login . Poznamenejte si vlastnost ID, která odkazuje na ID předplatného pro váš účet Azure.

az login

Pomocí příkazu az account set vyberte konkrétní předplatné ve vašem účtu. V příkazu si poznamenejte hodnotu ID z příkazu az login output, která se má použít jako hodnota argumentu předplatného . Pokud máte více předplatných, vyberte odpovídající předplatné, ve kterém se má prostředek účtovat. Pomocí příkazu az account list získejte všechna svá předplatná.

az account set --subscription <subscription id>

Vytvoření skupiny zdrojů

Před vytvořením jakéhokoli prostředku musíte vytvořit skupinu prostředků pro hostování virtuální sítě. Vytvořte skupinu prostředků pomocí příkazu az group create. Tento příklad vytvoří skupinu prostředků myResourceGroup v umístění westeurope :

az group create --name myResourceGroup --location westeurope

Vytvoření virtuální sítě

Vytvořte virtuální síť pomocí příkazu az network vnet create. Tento příklad vytvoří výchozí virtuální síť s názvem myVirtualNetwork s jednou podsítí s názvem mySubnet:

az network vnet create \
 --name myVirtualNetwork \
 --resource-group myResourceGroup \
 --subnet-name mySubnet

Zakázání zásad privátního koncového bodu podsítě

Azure nasadí prostředky do podsítě v rámci virtuální sítě, takže je potřeba vytvořit nebo aktualizovat podsíť a zakázat zásady sítě privátních koncových bodů. Aktualizujte konfiguraci podsítě s názvem mySubnet pomocí příkazu az network vnet subnet update:

az network vnet subnet update \
 --name mySubnet \
 --resource-group myResourceGroup \
 --vnet-name myVirtualNetwork \
 --disable-private-endpoint-network-policies true

Vytvoření virtuálního počítače

Vytvoření virtuálního počítače pomocí az vm createnástroje . Po zobrazení výzvy zadejte heslo, které se použije jako přihlašovací údaje pro virtuální počítač. Tento příklad vytvoří virtuální počítač s názvem myVm:

az vm create \
  --resource-group myResourceGroup \
  --name myVm \
  --image Win2019Datacenter

Poznámka:

Poznamenejte si veřejnou IP adresu virtuálního počítače, protože je potřeba se připojit z internetu v dalším kroku.

Vytvoření instance flexibilního serveru Azure Database for MySQL s veřejným přístupem ve skupině prostředků

Vytvořte instanci flexibilního serveru Azure Database for MySQL s veřejným přístupem a přidejte IP adresu klienta pro přístup k ní.

az mysql flexible-server create \
  --name mydemoserver \
  --resource-group myResourcegroup \
  --location westeurope \
  --admin-user mylogin \
  --admin-password <server_admin_password> \
  --public-access <my_client_ip>

Poznámka:

V některých případech se instance flexibilního serveru Azure Database for MySQL a podsíť virtuální sítě nacházejí v různých předplatných. V těchto případech musíte zajistit následující konfigurace:

  • Ujistěte se, že obě předplatná mají zaregistrovaného poskytovatele prostředků Microsoft.DBforMySQL/flexibleServer . Další informace najdete v tématu registrace resource-manageru.

Vytvoření privátního koncového bodu

Vytvořte privátní koncový bod pro flexibilní server Azure Database for MySQL ve vaší virtuální síti:

az network private-endpoint create \
    --name myPrivateEndpoint \
    --resource-group myResourceGroup \
    --vnet-name myVirtualNetwork  \
    --subnet mySubnet \
    --private-connection-resource-id $(az resource show -g myResourcegroup -n mydemoserver --resource-type "Microsoft.DBforMySQL/flexibleServers" --query "id" -o tsv) \
    --group-id mysqlServer \
    --connection-name myConnection \
    --location location

Konfigurace zóny Privátní DNS

Vytvořte zónu Privátní DNS pro doménu flexibilního serveru Azure Database for MySQL a vytvořte propojení přidružení s virtuální sítí.

az network private-dns zone create --resource-group myResourceGroup \
   --name  "privatelink.mysql.database.azure.com"
az network private-dns link vnet create --resource-group myResourceGroup \
   --zone-name  "privatelink.mysql.database.azure.com"\
   --name MyDNSLink \
   --virtual-network myVirtualNetwork \
   --registration-enabled false

# Query for the network interface ID
$networkInterfaceId=$(az network private-endpoint show --name myPrivateEndpoint --resource-group myResourceGroup --query 'networkInterfaces[0].id' -o tsv)

az resource show --ids $networkInterfaceId --api-version 2019-04-01 -o json
# Copy the content for privateIPAddress and FQDN matching the MySQL flexible server name

# Create DNS records
az network private-dns record-set a create --name myserver --zone-name privatelink.mysql.database.azure.com --resource-group myResourceGroup
az network private-dns record-set a add-record --record-set-name myserver --zone-name privatelink.mysql.database.azure.com --resource-group myResourceGroup -a <Private IP Address>

Poznámka:

Plně kvalifikovaný název domény v nastavení DNS zákazníka nepřekládá nakonfigurovanou privátní IP adresu. Pro nakonfigurovaný plně kvalifikovaný název domény musíte nastavit zónu DNS, jak je znázorněnotady.

Připojení k virtuálnímu počítači z internetu

Připojení virtuálnímu počítači myVm z internetu následujícím způsobem:

  1. Na panelu hledání na portálu zadejte myVm.

  2. Vyberte tlačítko Připojit. Po výběru tlačítka Připojení se otevře Připojení k virtuálnímu počítači.

  3. Vyberte Stáhnout soubor RDP. Azure vytvoří soubor protokolu RDP (Remote Desktop Protocol) a stáhne ho do počítače.

  4. Otevřete stažený soubor.rdp.

    1. Pokud se zobrazí výzva, vyberte Připojit.

. Zadejte uživatelské jméno a heslo, které jste zadali při vytváření virtuálního počítače. > [! POZNÁMKA] > Možná budete muset vybrat Další volbyPoužít jiný účet, abyste zadali přihlašovací údaje, které jste zadali při vytváření virtuálního počítače.

  1. Vyberte OK.

  2. Během procesu přihlášení se může zobrazit upozornění certifikátu. Pokud se zobrazí upozornění na certifikát, vyberte Ano nebo Pokračovat .

  3. Jakmile se zobrazí plocha virtuálního počítače, minimalizujte ji, abyste se vrátili na místní plochu.

Privátní přístup k instanci flexibilního serveru Azure Database for MySQL z virtuálního počítače

  1. Ve vzdálené ploše virtuálního počítače myVM otevřete PowerShell.

  2. Zadejte nslookup mydemomysqlserver.privatelink.mysql.database.azure.com.

    Zobrazí se zpráva podobná této:

    Server:  UnKnown
Address:  168.63.129.16
Non-authoritative answer:
Name:    mydemomysqlserver.privatelink.mysql.database.azure.com
Address:  10.1.3.4

  3. Otestujte připojení privátního propojení pro instanci flexibilního serveru Azure Database for MySQL pomocí libovolného dostupného klienta. Následující příklad používá aplikaci MySQL Workbench k provedení operace.

  4. V novém připojení zadejte nebo vyberte tyto informace:

    Nastavení Hodnota
    Název připojení Vyberte název připojení podle svého výběru.
    Název hostitele Výběr mydemoserver.privatelink.mysql.database.azure.com
    Username Zadejte uživatelské jméno jako username@servername zadané během vytváření instance flexibilního serveru Azure Database for MySQL.
    Password Zadejte heslo zadané při vytváření instance flexibilního serveru Azure Database for MySQL.

  5. Vyberte Připojit.

  6. Procházet databáze z levé nabídky

  7. (Volitelně) Vytvoření nebo dotazování informací z flexibilní serverové databáze Azure Database for MySQL

  8. Zavřete připojení ke vzdálené ploše virtuálního počítače myVm.

Vyčištění prostředků

Pokud už skupinu prostředků nepotřebujete, můžete ji az group delete odebrat a všechny prostředky, které obsahuje:

az group delete --name myResourceGroup --yes

Výpis dílčích prostředků s možností privátního propojení (groupId)

az network private-link-resource list --id {PrivateLinkResourceID}  // or -g MyResourceGroup -n MySA --type Microsoft.Storage/storageAccounts

Výpis připojení privátního koncového bodu u daného prostředku

az network private-endpoint-connection list --id {PrivateLinkResourceID}

Schválení připojení privátního koncového bodu u daného prostředku

az network private-endpoint-connection approve --id {PrivateEndpointConnectionID}  --description "Approved!"

Odmítnutí připojení privátního koncového bodu u daného prostředku

az network private-endpoint-connection reject --id {PrivateEndpointConnectionID}  --description "Rejected!"

Odstranění připojení privátního koncového bodu u daného prostředku

az network private-endpoint-connection delete --id {PrivateEndpointConnectionID}

Další kroky

  • Zjistěte, jak [nakonfigurovat privátní propojení pro flexibilní server Azure Database for MySQL z webu Azure Portal.
  • Zjistěte, jak spravovat připojení k flexibilnímu serveru Azure Database for MySQL.
  • Zjistěte, jak přidat další vrstvu šifrování na flexibilní server Azure Database for MySQL pomocí klíčů spravovaných zákazníkem.
  • Zjistěte, jak nakonfigurovat a používat ověřování Microsoft Entra na instanci flexibilního serveru Azure Database for MySQL.