Firewallregeln für Azure-Datenbank für MySQL-ServerAzure Database for MySQL server firewall rules

Firewalls verhindern jeglichen Zugriff auf Ihren Datenbankserver, bis Sie angeben, welche Computer zugriffsberechtigt sind.Firewalls prevent all access to your database server until you specify which computers have permission. Die Firewall gewährt den Serverzugriff auf der Grundlage der Ursprungs-IP-Adresse der jeweiligen Anforderung.The firewall grants access to the server based on the originating IP address of each request.

Zum Konfigurieren einer Firewall erstellen Sie Firewallregeln, die Bereiche zulässiger IP-Adressen festlegen.To configure a firewall, create firewall rules that specify ranges of acceptable IP addresses. Sie können Firewallregeln auf Serverebene erstellen.You can create firewall rules at the server level.

Firewallregeln: Diese Regeln ermöglichen es Clients, auf den gesamten Azure Database for MySQL-Server zuzugreifen, also auf alle Datenbanken im selben logischen Server.Firewall rules: These rules enable clients to access your entire Azure Database for MySQL server, that is, all the databases within the same logical server. Firewallregeln auf Serverebene können über das Azure-Portal oder mithilfe von Azure CLI-Befehlen konfiguriert werden.Server-level firewall rules can be configured by using the Azure portal or Azure CLI commands. Zum Erstellen von Firewallregeln auf Serverebene müssen Sie der Besitzer oder ein Mitwirkender des Abonnements sein.To create server-level firewall rules, you must be the subscription owner or a subscription contributor.

FirewallübersichtFirewall overview

Jeglicher Datenbankzugriff auf Ihren Azure Database for MySQL-Server wird standardmäßig von der Firewall blockiert.All database access to your Azure Database for MySQL server is by default blocked by the firewall. Damit Sie Ihren Server über einen anderen Computer verwenden können, müssen Sie eine oder mehrere Firewallregeln auf Serverebene angeben, die Zugriff auf Ihren Server ermöglichen.To begin using your server from another computer, you need to specify one or more server-level firewall rules to enable access to your server. Legen Sie mithilfe der Firewallregeln fest, welche IP-Adressbereiche aus dem Internet zugelassen werden sollen.Use the firewall rules to specify which IP address ranges from the Internet to allow. Der Zugriff auf die Website des Azure-Portals selbst wird durch die Firewallregeln nicht beeinträchtigt.Access to the Azure portal website itself is not impacted by the firewall rules.

Verbindungsversuche über das Internet und Azure müssen zunächst die Firewall passieren, bevor sie Ihren Azure-Datenbank für MySQL-Server erreichen (wie im folgenden Diagramm dargestellt):Connection attempts from the Internet and Azure must first pass through the firewall before they can reach your Azure Database for MySQL database, as shown in the following diagram:

Beispielfluss zur Funktionsweise der Firewall

Herstellen einer Verbindung über das InternetConnecting from the Internet

Firewallregeln auf Serverebene wirken sich auf alle Datenbanken auf dem Azure-Datenbank für MySQL-Server aus.Server-level firewall rules apply to all databases on the Azure Database for MySQL server.

Liegt die IP-Adresse der Anforderung innerhalb eines der in den Firewallregeln auf Serverebene angegebenen Bereiche, wird die Verbindung gewährt.If the IP address of the request is within one of the ranges specified in the server-level firewall rules, then the connection is granted.

Liegt die IP-Adresse der Anforderung außerhalb der in den Firewallregeln auf Datenbankebene oder Serverebene angegebenen Bereiche, schlägt die Verbindungsanforderung fehl.If the IP address of the request is outside the ranges specified in any of the database-level or server-level firewall rules, then the connection request fails.

Herstellen einer Verbindung über AzureConnecting from Azure

Um Anwendungen von Azure die Verbindung mit dem Azure Database for MySQL-Server zu ermöglichen, müssen Azure-Verbindungen ermöglicht werden.To allow applications from Azure to connect to your Azure Database for MySQL server, Azure connections must be enabled. Beispiele: Hosten einer Azure-Web-Apps-Anwendung oder einer auf einem virtuellen Azure-Computer ausgeführten Anwendung und Herstellen einer Verbindung über ein Azure Data Factory-Datenverwaltungsgateway.For example, to host an Azure Web Apps application, or an application that runs in an Azure VM, or to connect from an Azure Data Factory data management gateway. Die Ressourcen müssen sich nicht im gleichen virtuellen Netzwerk (VNET) oder in der gleichen Ressourcengruppe für die Firewallregel befinden, um diese Verbindungen zu ermöglichen.The resources do not need to be in the same Virtual Network (VNet) or Resource Group for the firewall rule to enable those connections. Wenn eine Azure-Anwendung versucht, eine Verbindung mit dem Datenbankserver herzustellen, prüft die Firewall, ob Azure-Verbindungen zulässig sind.When an application from Azure attempts to connect to your database server, the firewall verifies that Azure connections are allowed. Diese Arten von Verbindungen können auf unterschiedliche Weise ermöglicht werden.There are a couple of methods to enable these types of connections. Eine Firewalleinstellung, bei der die Start- und Endadresse den Wert 0.0.0.0 aufweist, gibt an, dass diese Verbindungen zulässig sind.A firewall setting with starting and ending address equal to 0.0.0.0 indicates these connections are allowed. Alternativ können Sie im Portal im Bereich Verbindungssicherheit die Option Zugriff auf Azure-Dienste erlauben auf EIN festlegen und auf Speichern klicken.Alternatively, you can set the Allow access to Azure services option to ON in the portal from the Connection security pane and hit Save. Ist der Verbindungsversuch nicht zulässig, erreicht die Anforderung den Azure Database for MySQL-Server nicht.If the connection attempt is not allowed, the request does not reach the Azure Database for MySQL server.

Wichtig

Diese Option konfiguriert die Firewall derart, dass alle von Azure ausgehenden Verbindungen zugelassen werden, einschließlich Verbindungen von den Abonnements anderer Kunden.This option configures the firewall to allow all connections from Azure including connections from the subscriptions of other customers. Wenn Sie diese Option auswählen, stellen Sie sicher, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer beschränken.When selecting this option, make sure your login and user permissions limit access to only authorized users.

Konfigurieren von „Zugriff auf Azure-Dienste erlauben“ im Portal

Herstellen einer Verbindung über ein VNetConnecting from a VNet

Wenn Sie von einem VNet aus eine sichere Verbindung mit Ihrem Azure Database for MySQL-Server herstellen möchten, ziehen Sie die Verwendung von VNet-Dienstendpunkten in Betracht.To connect securely to your Azure Database for MySQL server from a VNet, consider using VNet service endpoints.

Programmgesteuertes Verwalten von FirewallregelnProgrammatically managing firewall rules

Außer im Azure-Portal können Firewallregeln programmgesteuert mithilfe der Azure CLI verwaltet werden.In addition to the Azure portal, firewall rules can be managed programmatically by using the Azure CLI. Weitere Informationen finden Sie unter Erstellen und Verwalten von Firewallregeln für Azure-Datenbank für MySQL mithilfe der Azure CLI.See also Create and manage Azure Database for MySQL firewall rules using Azure CLI

Beheben von FirewallproblemenTroubleshooting firewall issues

Wenn der Zugriff auf den Microsoft Azure Database for MySQL-Serverdienst nicht das erwartete Verhalten aufweist, sind folgende Punkte zu beachten:Consider the following points when access to the Microsoft Azure Database for MySQL server service does not behave as expected:

  • Änderungen an der Zulassungsliste sind noch nicht wirksam: Änderungen der Firewallkonfiguration für den Azure Database for MySQL-Server werden möglicherweise erst nach fünf Minuten wirksam.Changes to the allow list have not taken effect yet: There may be as much as a five-minute delay for changes to the Azure Database for MySQL Server firewall configuration to take effect.

  • Die Anmeldung ist nicht autorisiert, oder ein falsches Kennwort wurde verwendet: Wenn eine Anmeldung nicht über Berechtigungen für den Azure Database for MySQL-Server verfügt oder das verwendete Kennwort falsch ist, wird die Verbindung mit dem Azure Database for MySQL-Server verweigert.The login is not authorized or an incorrect password was used: If a login does not have permissions on the Azure Database for MySQL server or the password used is incorrect, the connection to the Azure Database for MySQL server is denied. Durch das Erstellen einer Firewalleinstellung wird Clients lediglich die Möglichkeit gegeben, eine Verbindung mit dem Server herzustellen. Jeder Client muss die erforderlichen Sicherheitsanmeldeinformationen bereitstellen.Creating a firewall setting only provides clients with an opportunity to attempt connecting to your server; each client must provide the necessary security credentials.

  • Dynamische IP-Adresse: Wenn Sie über eine Internetverbindung mit dynamischer IP-Adresszuweisung verfügen und Probleme beim Passieren der Firewall auftreten, können Sie eine der folgenden Lösungen ausprobieren:Dynamic IP address: If you have an Internet connection with dynamic IP addressing and you are having trouble getting through the firewall, you can try one of the following solutions:

    • Fragen Sie Ihren Internetdienstanbieter (ISP) nach dem IP-Adressbereich, der den Clientcomputern zugewiesen ist, mit denen auf den Azure-Datenbank für MySQL-Server zugegriffen wird, und fügen Sie dann den IP-Adressbereich als Firewallregel hinzu.Ask your Internet Service Provider (ISP) for the IP address range assigned to your client computers that access the Azure Database for MySQL server, and then add the IP address range as a firewall rule.

    • Verwenden Sie stattdessen die statische IP-Adressierung für die Clientcomputer, und fügen Sie dann die IP-Adressen als Firewallregeln hinzu.Get static IP addressing instead for your client computers, and then add the IP addresses as firewall rules.

  • Die IP-Adresse des Servers scheint öffentlich zu sein: Verbindungen mit dem Azure Database for MySQL-Server werden über ein öffentlich zugängliches Azure-Gateway weitergeleitet.Server's IP appears to be public: Connections to the Azure Database for MySQL server are routed through a publicly accessible Azure gateway. Die tatsächliche Server-IP-Adresse wird jedoch durch die Firewall geschützt.However, the actual server IP is protected by the firewall. Weitere Informationen finden Sie im Artikel zur Verbindungsarchitektur.For more information, visit the connectivity architecture article.

Nächste SchritteNext steps