Administración de reglas de firewall del servidor flexible de Azure Database for MySQL con la CLI de Azure

SE APLICA A: Azure Database for MySQL: Servidor flexible

Azure Database for MySQL con servidor flexible admite dos tipos de métodos de conectividad de red mutuamente excluyentes para conectarse a su servidor flexible. Las dos opciones son las siguientes:

  • Acceso público (direcciones IP permitidas)
  • Acceso privado (integración con red virtual)

En este artículo, nos centraremos en la creación de un servidor MySQL con Acceso público (direcciones IP permitidas) mediante la CLI de Azure y se proporcionará información general sobre los comandos de la CLI de Azure que se pueden usar para crear, actualizar, eliminar, enumerar y mostrar reglas de firewall después de la creación del servidor. Con Acceso público (direcciones IP permitidas) , las conexiones con el servidor MySQL se restringen únicamente a las direcciones IP permitidas. Las direcciones IP del cliente se deben permitir en las reglas de firewall. Para obtener más información al respecto, vea Acceso público (direcciones IP permitidas). Las reglas de firewall se pueden definir en el momento de crear el servidor (recomendado), pero también se pueden agregar después.

Inicio de Azure Cloud Shell

Azure Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta.

Para abrir Cloud Shell, seleccione Pruébelo en la esquina superior derecha de un bloque de código. También puede abrir Cloud Shell en una pestaña independiente acudiendo a https://shell.azure.com/bash. Seleccione Copiar para copiar los bloques de código, péguelos en Cloud Shell y, después, seleccione Entrar para ejecutarlos.

Si prefiere instalar y usar la CLI de forma local, en este inicio rápido se requiere la versión 2.0 o posterior de la CLI de Azure. Ejecute az --version para encontrar la versión. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure.

Requisitos previos

Deberá iniciar sesión en la cuenta con el comando az login. Tenga en cuenta la propiedad id, que hace referencia al id. de suscripción de su cuenta de Azure.

az login

Seleccione la suscripción específica en su cuenta mediante el comando az account set. Anote el valor de id de la salida de az login para usarlo como valor del argumento subscription del comando. Si tiene varias suscripciones, elija la suscripción adecuada en la que se debe facturar el recurso. Para obtener todas las suscripciones, use az account list.

az account set --subscription <subscription id>

Creación de una regla de firewall durante la creación de un servidor flexible mediante la CLI de Azure

Puede usar el comando az mysql flexible-server --public access para crear el servidor flexible con la opción Acceso público (direcciones IP permitidas) y configurar las reglas de firewall durante la creación del mismo. Puede usar el modificador --public-access para especificar las direcciones IP permitidas que podrán conectarse al servidor. Puede especificar una sola dirección IP o el intervalo de direcciones IP que se van a incluir en la lista de direcciones IP permitidas. El intervalo de direcciones IP debe estar separado por guiones y no contener espacios. Existen varias opciones para crear un servidor flexible mediante la CLI, como se muestra en el ejemplo siguiente.

Consulte en la documentación de referencia de la CLI de Azure la lista completa de parámetros configurables de la CLI. Por ejemplo, en los siguientes comandos puede especificar opcionalmente el grupo de recursos.

  • Cree un servidor flexible con acceso público y agregue la dirección IP del cliente para tener acceso al servidor.

    az mysql flexible-server create --public-access <my_client_ip>
    
  • Cree un servidor flexible con acceso público y agregue el intervalo de direcciones IP para tener acceso al servidor.

    az mysql flexible-server create --public-access <start_ip_address-end_ip_address>
    
  • Cree un servidor flexible con acceso público y permita que las aplicaciones de las direcciones IP de Azure se conecten a él.

    az mysql flexible-server create --public-access 0.0.0.0
    

    Importante

    Esta opción configura el firewall para permitir el acceso público desde los servicios y recursos de Azure a este servidor, incluidas las conexiones desde las suscripciones de otros clientes. Al seleccionar esta opción, asegúrese de que los permisos de usuario y el inicio de sesión limiten el acceso solamente a los usuarios autorizados.

  • Creación de un servidor flexible con acceso público y permiso para todas las direcciones IP

    az mysql flexible-server create --public-access all
    

    Nota

    El comando anterior creará una regla de firewall cuya dirección IP inicial es 0.0.0.0 y la dirección IP final 255.255.255.255, y no se bloqueará ninguna dirección IP. Cualquier host de Internet puede acceder a este servidor. Se recomienda encarecidamente usar esta regla solo temporalmente y en servidores de prueba que no contengan información confidencial.

  • Creación de un servidor flexible con acceso público y sin dirección IP

    az mysql flexible-server create --public-access none
    

    Nota

    no se recomienda crear un servidor sin ninguna regla de firewall. Si no agrega reglas de firewall, ningún cliente podrá conectarse al servidor.

Creación y administración de una regla de firewall después de crear el servidor

El comando az mysql flexible-server firewall-rule se utiliza desde la CLI de Azure para crear, eliminar, enumerar, mostrar y actualizar reglas de firewall.

Comandos:

  • create: crea una regla de firewall de servidor flexible.
  • list: enumera las reglas de firewall de servidor flexible.
  • update: actualiza una regla de firewall de servidor flexible.
  • show: muestra los detalles de una regla de firewall de servidor flexible.
  • delete: elimina una regla de firewall de servidor flexible.

Consulte en la documentación de referencia de la CLI de Azure la lista completa de parámetros configurables de la CLI. Por ejemplo, en los siguientes comandos puede especificar opcionalmente el grupo de recursos.

Creación de una regla de firewall

Use el comando az mysql flexible-server firewall-rule create para crear una regla de firewall en el servidor. Para permitir el acceso a un intervalo de direcciones IP, especifique la dirección IP en forma de dirección IP inicial y dirección IP final, como en este ejemplo.

az mysql flexible-server firewall-rule create --name mydemoserver --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Para permitir el acceso a una única dirección IP, especifique una sola dirección IP, como en este ejemplo.

az mysql flexible-server firewall-rule create --name mydemoserver --start-ip-address 1.1.1.1

Para permitir que las aplicaciones de las direcciones IP de Azure se conecten al servidor flexible, especifique la dirección IP 0.0.0.0 como IP inicial, como en este ejemplo.

az mysql flexible-server firewall-rule create --name mydemoserver --start-ip-address 0.0.0.0

Importante

Esta opción configura el firewall para permitir el acceso público desde los servicios y recursos de Azure a este servidor, incluidas las conexiones desde las suscripciones de otros clientes. Al seleccionar esta opción, asegúrese de que los permisos de usuario y el inicio de sesión limiten el acceso solamente a los usuarios autorizados.

Si se realiza correctamente, en la salida de cada comando create se mostrarán los detalles de la regla de firewall que ha creado, en formato JSON (de forma predeterminada). Si se produce un error, la salida muestra el texto del mensaje de error.

Enumerar reglas de firewall

Use el comando az mysql flexible-server firewall-rule list para mostrar las reglas de firewall de servidor existentes en el servidor. Observe que el atributo de nombre del servidor se especifica en el modificador --name.

az mysql flexible-server firewall-rule list --name mydemoserver

La salida enumera las reglas existentes, si existen, en formato JSON (de forma predeterminada). Puede usar el modificador --output table** para que los resultados se generen en un formato de tabla más legible.

az mysql flexible-server firewall-rule list --name mydemoserver --output table

Actualización de una regla de firewall

Use el comando az mysql flexible-server firewall-rule update para actualizar una regla de firewall existente en el servidor. Especifique el nombre de una regla de firewall existente como entrada, así como los atributos de dirección IP inicial y dirección IP final que se van a actualizar.

az mysql flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Cuando se realiza correctamente, la salida del comando muestra los detalles de la regla de firewall que ha actualizado, de forma predeterminada en formato JSON. Si se produce un error, la salida muestra el texto del mensaje de error.

Nota

Si la regla de firewall no existe, el comando update la crea.

Mostrar los detalles de la regla de firewall

Use el comando az mysql flexible-server firewall-rule show para mostrar los detalles de la regla de firewall existente del servidor. Proporcione como entrada el nombre de una regla de firewall existente.

az mysql flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1

Cuando se realiza correctamente, la salida del comando muestra los detalles de la regla de firewall que ha especificado, en formato JSON (de forma predeterminada). Si se produce un error, la salida muestra el texto del mensaje de error.

Eliminar una regla de firewall

Use el comando az mysql flexible-server firewall-rule delete para eliminar una regla de firewall existente del servidor. Proporcione el nombre de una regla de firewall existente.

az mysql flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1

Cuando se realiza correctamente, no hay ninguna salida. En caso de error, se muestra el texto del mensaje de error.

Pasos siguientes