Virtuális hálózati szolgáltatásvégpontok és szabályok használata az Azure Database for MariaDB-hezUse Virtual Network service endpoints and rules for Azure Database for MariaDB

A virtuális hálózati szabályok egy tűzfal biztonsági funkciója, amely azt szabályozza, hogy a Azure Database for MariaDB-kiszolgáló fogadja-e a virtuális hálózatok egyes alhálózatai által továbbított kommunikációt.Virtual network rules are one firewall security feature that controls whether your Azure Database for MariaDB server accepts communications that are sent from particular subnets in virtual networks. Ebből a cikkből megtudhatja, miért érdemes a virtuális hálózati szabály funkciót időnként a Azure Database for MariaDB-kiszolgálóval való kommunikáció biztonságos engedélyezésére.This article explains why the virtual network rule feature is sometimes your best option for securely allowing communication to your Azure Database for MariaDB server.

Virtuális hálózati szabály létrehozásához először virtuális hálózatnak (VNet) és virtuális hálózati szolgáltatási végpontnak kell lennie ahhoz, hogy a szabály hivatkozzon.To create a virtual network rule, there must first be a virtual network (VNet) and a virtual network service endpoint for the rule to reference. Az alábbi ábra azt szemlélteti, hogyan működik a Virtual Network szolgáltatás-végpont Azure Database for MariaDB:The following picture illustrates how a Virtual Network service endpoint works with Azure Database for MariaDB:

Példa egy VNet-szolgáltatási végpont működésére

Megjegyzés

Ez a funkció az Azure minden régiójában elérhető, ahol a Azure Database for MariaDB általános célú és a memóriára optimalizált kiszolgálók esetében van telepítve.This feature is available in all regions of Azure where Azure Database for MariaDB is deployed for General Purpose and Memory Optimized servers.

Azt is megteheti, hogy privát hivatkozást használ a kapcsolatokhoz.You can also consider using Private Link for connections. A privát hivatkozás egy magánhálózati IP-címet biztosít a Azure Database for MariaDB-kiszolgáló VNet.Private Link provides a private IP address in your VNet for the Azure Database for MariaDB server.

Terminológia és leírásTerminology and description

Virtuális hálózat: Az Azure-előfizetéshez társított virtuális hálózatokat is használhat.Virtual network: You can have virtual networks associated with your Azure subscription.

Alhálózat: Egy virtuális hálózat alhálózatokat tartalmaz.Subnet: A virtual network contains subnets. Az alhálózatokhoz társított bármely Azure-beli virtuális gép (VM).Any Azure virtual machines (VMs) that you have are assigned to subnets. Egy alhálózat több virtuális gépet vagy más számítási csomópontot is tartalmazhat.One subnet can contain multiple VMs or other compute nodes. A virtuális hálózatán kívüli számítási csomópontok nem férnek hozzá a virtuális hálózathoz, kivéve, ha úgy konfigurálja a biztonságot, hogy engedélyezze a hozzáférést.Compute nodes that are outside of your virtual network cannot access your virtual network unless you configure your security to allow access.

Virtual Network szolgáltatási végpont: A Virtual Network szolgáltatási végpont olyan alhálózat, amelynek tulajdonságértékek egy vagy több formális Azure-szolgáltatástípus nevét tartalmazzák.Virtual Network service endpoint: A Virtual Network service endpoint is a subnet whose property values include one or more formal Azure service type names. Ebben a cikkben a Microsoft. SQL típus neve érdekli, amely az SQL Database nevű Azure-szolgáltatásra hivatkozik.In this article we are interested in the type name of Microsoft.Sql, which refers to the Azure service named SQL Database. Ez a szolgáltatási címke a Azure Database for MariaDB, a MySQL és a PostgreSQL szolgáltatásokra is vonatkozik.This service tag also applies to the Azure Database for MariaDB, MySQL, and PostgreSQL services. Fontos megjegyezni, hogy amikor a Microsoft. SQL szolgáltatás címkéjét egy VNet szolgáltatási végpontra alkalmazza, akkor a szolgáltatás-végponti forgalmat az alhálózaton lévő összes Azure SQL Database, Azure Database for MariaDB, Azure Database for MySQL és Azure Database for PostgreSQL kiszolgáló esetében konfigurálni fogja.It is important to note when applying the Microsoft.Sql service tag to a VNet service endpoint it will configure service endpoint traffic for all Azure SQL Database, Azure Database for MariaDB, Azure Database for MySQL, and Azure Database for PostgreSQL servers on the subnet.

Virtuális hálózati szabály: A Azure Database for MariaDB-kiszolgáló virtuális hálózati szabálya egy alhálózat, amely a Azure Database for MariaDB-kiszolgáló hozzáférés-vezérlési listájában (ACL) szerepel.Virtual network rule: A virtual network rule for your Azure Database for MariaDB server is a subnet that is listed in the access control list (ACL) of your Azure Database for MariaDB server. Ahhoz, hogy a Azure Database for MariaDB-kiszolgáló ACL-je legyen, az alhálózatnak tartalmaznia kell a Microsoft. SQL típus nevét.To be in the ACL for your Azure Database for MariaDB server, the subnet must contain the Microsoft.Sql type name.

Egy virtuális hálózati szabály közli a Azure Database for MariaDB-kiszolgálóval, hogy fogadja a kommunikációt az alhálózaton lévő összes csomópontról.A virtual network rule tells your Azure Database for MariaDB server to accept communications from every node that is on the subnet.

Virtuális hálózati szabály előnyeiBenefits of a virtual network rule

Amíg el nem végzi a műveletet, az alhálózatokon lévő virtuális gépek nem tudnak kommunikálni a Azure Database for MariaDB-kiszolgálóval.Until you take action, the VMs on your subnets cannot communicate with your Azure Database for MariaDB server. A kommunikációt létrehozó egyik művelet egy virtuális hálózati szabály létrehozása.One action that establishes the communication is the creation of a virtual network rule. A VNet szabály megközelítésének indoklása egy összehasonlítási és kontrasztos vitát igényel, amely magában foglalja a tűzfal által kínált versengő biztonsági beállításokat.The rationale for choosing the VNet rule approach requires a compare-and-contrast discussion involving the competing security options offered by the firewall.

A.A. Hozzáférés engedélyezése Azure-szolgáltatások számáraAllow access to Azure services

A kapcsolat biztonsági paneljén be-és KIkapcsoló gomb található, amely lehetővé teszi az Azure-szolgáltatásokhoz való hozzáférést.The Connection security pane has an ON/OFF button that is labeled Allow access to Azure services. A on beállítás lehetővé teszi az összes Azure IP-cím és az összes Azure-alhálózat kommunikációját.The ON setting allows communications from all Azure IP addresses and all Azure subnets. Előfordulhat, hogy ezek az Azure-beli IP-címek vagy alhálózatok nem tulajdonosai.These Azure IPs or subnets might not be owned by you. Ez a beállítás valószínűleg nyitottabb, mint amennyire szeretné, hogy a Azure Database for MariaDB adatbázisa legyen.This ON setting is probably more open than you want your Azure Database for MariaDB Database to be. A virtuális hálózati szabály funkció sokkal finomabb, részletesebb szabályozást biztosít.The virtual network rule feature offers much finer granular control.

B.B. IP-szabályokIP rules

A Azure Database for MariaDB tűzfal lehetővé teszi olyan IP-címtartományok megadását, amelyekről a Azure Database for MariaDB-kiszolgáló fogadja a kommunikációt.The Azure Database for MariaDB firewall allows you to specify IP address ranges from which communications are accepted into the Azure Database for MariaDB server. Ez a megközelítés az Azure-magánhálózaton kívüli stabil IP-címekre is kiváló.This approach is fine for stable IP addresses that are outside the Azure private network. Az Azure-magánhálózat számos csomópontja azonban dinamikus IP-címekkel van konfigurálva.But many nodes inside the Azure private network are configured with dynamic IP addresses. Előfordulhat, hogy a dinamikus IP-címek változhatnak, például a virtuális gép újraindításakor.Dynamic IP addresses might change, such as when your VM is restarted. Az éles környezetben nem lehet dinamikus IP-címet megadni egy tűzfalszabály számára.It would be folly to specify a dynamic IP address in a firewall rule, in a production environment.

Az IP-címet a virtuális gép statikus IP-címének beszerzésével lehet megmenteni.You can salvage the IP option by obtaining a static IP address for your VM. Részletekért lásd: a virtuális gép magánhálózati IP-címeinek konfigurálása a Azure Portal használatával.For details, see Configure private IP addresses for a virtual machine by using the Azure portal.

A statikus IP-cím azonban nehezen kezelhető, és költséges, ha nagy léptékben történik.However, the static IP approach can become difficult to manage, and it is costly when done at scale. A virtuális hálózati szabályok könnyebben hozhatók létre és kezelhetők.Virtual network rules are easier to establish and to manage.

A virtuális hálózati szabályok részleteiDetails about virtual network rules

Ez a szakasz a virtuális hálózati szabályokkal kapcsolatos néhány részletet ismerteti.This section describes several details about virtual network rules.

Csak egy földrajzi régióOnly one geographic region

Minden Virtual Network szolgáltatási végpont csak egy Azure-régióra vonatkozik.Each Virtual Network service endpoint applies to only one Azure region. A végpont nem teszi lehetővé más régiók számára, hogy fogadják a kommunikációt az alhálózatból.The endpoint does not enable other regions to accept communication from the subnet.

Bármely virtuális hálózati szabály arra a régióra korlátozódik, amelyre a mögöttes végpont vonatkozik.Any virtual network rule is limited to the region that its underlying endpoint applies to.

Kiszolgáló szintű, nem adatbázis-szintűServer-level, not database-level

Minden virtuális hálózati szabály a teljes Azure Database for MariaDB-kiszolgálóra vonatkozik, nem csupán egy adott adatbázisra a kiszolgálón.Each virtual network rule applies to your whole Azure Database for MariaDB server, not just to one particular database on the server. Más szóval a virtuális hálózati szabály a kiszolgáló szintjén, nem pedig az adatbázis szintjén érvényes.In other words, virtual network rule applies at the server-level, not at the database-level.

Biztonsági felügyeleti szerepkörökSecurity administration roles

A biztonsági szerepkörök elkülönítése Virtual Network szolgáltatási végpontok felügyelete alatt áll.There is a separation of security roles in the administration of Virtual Network service endpoints. A következő szerepkörök mindegyike esetében beavatkozásra van szükség:Action is required from each of the following roles:

  • Hálózati rendszergazda:   Kapcsolja be a végpontot.Network Admin:   Turn on the endpoint.
  • Adatbázis-rendszergazda:   Frissítse a hozzáférés-vezérlési listát (ACL), hogy hozzáadja a megadott alhálózatot a Azure Database for MariaDB-kiszolgálóhoz.Database Admin:   Update the access control list (ACL) to add the given subnet to the Azure Database for MariaDB server.

Azure RBAC alternatíva:Azure RBAC alternative:

A hálózati rendszergazda és az adatbázis-rendszergazda szerepkörének több funkciója van, mint amennyi a virtuális hálózati szabályok kezeléséhez szükséges.The roles of Network Admin and Database Admin have more capabilities than are needed to manage virtual network rules. A képességeinek csak egy részhalmazára van szükség.Only a subset of their capabilities is needed.

Lehetősége van arra, hogy az Azure szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával egyetlen egyéni szerepkört hozzon létre, amely csak a képességek megfelelő részhalmazával rendelkezik.You have the option of using Azure role-based access control (Azure RBAC) in Azure to create a single custom role that has only the necessary subset of capabilities. Az egyéni szerepkör felhasználható a hálózati rendszergazda vagy az adatbázis-rendszergazda bevonása helyett. Ha egyéni szerepkörhöz ad hozzá felhasználót, és a másik két fő rendszergazdai szerepkörhöz hozzáadja a felhasználót, a biztonsági expozíció felülete alacsonyabb lesz.The custom role could be used instead of involving either the Network Admin or the Database Admin. The surface area of your security exposure is lower if you add a user to a custom role, versus adding the user to the other two major administrator roles.

Megjegyzés

Bizonyos esetekben a Azure Database for MariaDB és a VNet különböző előfizetésekben találhatók.In some cases the Azure Database for MariaDB and the VNet-subnet are in different subscriptions. Ezekben az esetekben a következő konfigurációkat kell biztosítania:In these cases you must ensure the following configurations:

  • Mindkét előfizetésnek ugyanahhoz a Azure Active Directory bérlőhöz kell tartoznia.Both subscriptions must be in the same Azure Active Directory tenant.
  • A felhasználó rendelkezik a szükséges engedélyekkel a műveletek elindításához, például a szolgáltatási végpontok engedélyezéséhez és egy VNet-alhálózat hozzáadásához az adott kiszolgálóhoz.The user has the required permissions to initiate operations, such as enabling service endpoints and adding a VNet-subnet to the given Server.
  • Győződjön meg arról, hogy az előfizetés mind a Microsoft. SQL , mind a Microsoft. DBforMariaDB erőforrás-szolgáltató regisztrálva van.Make sure that both the subscription have the Microsoft.Sql and Microsoft.DBforMariaDB resource provider registered. További információ: Resource-Manager-regisztrációFor more information refer resource-manager-registration

KorlátozásokLimitations

Azure Database for MariaDB esetében a virtuális hálózati szabályok funkció a következő korlátozásokkal rendelkezik:For Azure Database for MariaDB, the virtual network rules feature has the following limitations:

  • A webalkalmazások egy VNet/alhálózat magánhálózati IP-címére képezhetők le.A Web App can be mapped to a private IP in a VNet/subnet. Még ha a szolgáltatási végpontok be vannak kapcsolva a megadott VNet/alhálózatból, akkor a webalkalmazás és a kiszolgáló közötti kapcsolatok Azure nyilvános IP-címmel rendelkeznek, nem VNet/alhálózat-forrásként.Even if service endpoints are turned ON from the given VNet/subnet, connections from the Web App to the server will have an Azure public IP source, not a VNet/subnet source. Ha egy webalkalmazás kapcsolatát szeretné engedélyezni egy olyan kiszolgálóra, amely VNet rendelkezik, engedélyeznie kell az Azure-szolgáltatások számára a kiszolgáló elérését a kiszolgálón.To enable connectivity from a Web App to a server that has VNet firewall rules, you must Allow Azure services to access server on the server.

  • A Azure Database for MariaDB tűzfalában minden egyes virtuális hálózati szabály egy alhálózatra hivatkozik.In the firewall for your Azure Database for MariaDB, each virtual network rule references a subnet. Az összes hivatkozott alhálózatnak ugyanabban a földrajzi régióban kell lennie, amely a Azure Database for MariaDB üzemelteti.All these referenced subnets must be hosted in the same geographic region that hosts the Azure Database for MariaDB.

  • Minden Azure Database for MariaDB-kiszolgáló legfeljebb 128 ACL-bejegyzést tartalmazhat bármely adott virtuális hálózathoz.Each Azure Database for MariaDB server can have up to 128 ACL entries for any given virtual network.

  • A virtuális hálózati szabályok csak Azure Resource Manager virtuális hálózatokra érvényesek; és nem a klasszikus üzembe helyezési modell hálózatait.Virtual network rules apply only to Azure Resource Manager virtual networks; and not to classic deployment model networks.

  • A virtuális hálózati szolgáltatási végpontok bekapcsolásával Azure Database for MariaDB a Microsoft. SQL szolgáltatás címkéje lehetővé teszi az összes Azure Database-szolgáltatás végpontjának használatát is: Azure Database for MariaDB, Azure Database for MySQL, Azure Database for PostgreSQL, Azure SQL Database és az Azure szinapszis Analytics.Turning ON virtual network service endpoints to Azure Database for MariaDB using the Microsoft.Sql service tag also enables the endpoints for all Azure Database services: Azure Database for MariaDB, Azure Database for MySQL, Azure Database for PostgreSQL, Azure SQL Database and Azure Synapse Analytics.

  • A VNet szolgáltatás-végpontok támogatása csak a általános célú és a memóriára optimalizált kiszolgálók esetében támogatott.Support for VNet service endpoints is only for General Purpose and Memory Optimized servers.

  • Ha a Microsoft. SQL engedélyezve van egy alhálózatban, az azt jelzi, hogy csak a VNet-szabályokat szeretné használni a kapcsolódáshoz.If Microsoft.Sql is enabled in a subnet, it indicates that you only want to use VNet rules to connect. Az alhálózaton lévő erőforrások nem VNet tűzfalszabályok nem fognak működni.Non-VNet firewall rules of resources in that subnet will not work.

  • A tűzfalon az IP-címtartományok a következő hálózati elemekre vonatkoznak, a virtuális hálózati szabályok azonban nem:On the firewall, IP address ranges do apply to the following networking items, but virtual network rules do not:

ExpressRouteExpressRoute

Ha a hálózat ExpressRoutehasználatával csatlakozik az Azure-hálózathoz, minden áramkör két nyilvános IP-címmel van konfigurálva a Microsoft Edge-ben.If your network is connected to the Azure network through use of ExpressRoute, each circuit is configured with two public IP addresses at the Microsoft Edge. A két IP-cím használatával kapcsolódhat a Microsoft-szolgáltatásokhoz, például az Azure Storage-hoz az Azure nyilvános társ-létrehozással.The two IP addresses are used to connect to Microsoft Services, such as to Azure Storage, by using Azure Public Peering.

Ha engedélyezni szeretné az áramkörről a Azure Database for MariaDB felé irányuló kommunikációt, létre kell hoznia IP-hálózati szabályokat az áramkörök nyilvános IP-címeihez.To allow communication from your circuit to Azure Database for MariaDB, you must create IP network rules for the public IP addresses of your circuits. A ExpressRoute-áramkör nyilvános IP-címeinek megkereséséhez a Azure Portal segítségével nyisson meg egy támogatási jegyet a ExpressRoute.In order to find the public IP addresses of your ExpressRoute circuit, open a support ticket with ExpressRoute by using the Azure portal.

VNET-tűzfalszabály hozzáadása a kiszolgálóhoz a VNET szolgáltatás végpontjai bekapcsolása nélkülAdding a VNET Firewall rule to your server without turning on VNET Service Endpoints

Pusztán egy VNet-tűzfalszabály beállítása nem nyújt segítséget a kiszolgálónak a VNet való biztonságossá tételében.Merely setting a VNet firewall rule does not help secure the server to the VNet. A VNet szolgáltatás-végpontokat is be kell kapcsolni a biztonság érvénybe léptetéséhez.You must also turn VNet service endpoints On for the security to take effect. Ha bekapcsolja a szolgáltatási végpontokat, a VNet-alhálózat az állásidőt, amíg be nem fejeződik a kikapcsolás és a közötti átmenet.When you turn service endpoints On, your VNet-subnet experiences downtime until it completes the transition from Off to On. Ez különösen igaz a nagyméretű virtuális hálózatok kontextusában.This is especially true in the context of large VNets. A IgnoreMissingServiceEndpoint jelzővel csökkentheti vagy törölheti az állásidőt az áttérés során.You can use the IgnoreMissingServiceEndpoint flag to reduce or eliminate the downtime during transition.

A IgnoreMissingServiceEndpoint jelzőt az Azure CLI vagy a portál használatával állíthatja be.You can set the IgnoreMissingServiceEndpoint flag by using the Azure CLI or portal.

Következő lépésekNext steps

A VNet-szabályok létrehozásával kapcsolatos cikkekért lásd:For articles on creating VNet rules, see: