Private Link az Azure Database for MySQL-hez

A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló

Fontos

Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?

Private Link allows you to connect to various PaaS services in Azure via a private endpoint. Azure Private Link essentially brings Azure services inside your private Virtual Network (VNet). The PaaS resources can be accessed using the private IP address just like any other resource in the VNet.

A Private Link funkciót támogató PaaS-szolgáltatások listáját a Private Link dokumentációjában találja. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül.

Megjegyzés:

A privát kapcsolat funkció csak az Azure Database for MySQL-kiszolgálókhoz érhető el az Általános célú vagy memóriaoptimalizált tarifacsomagokban. Győződjön meg arról, hogy az adatbázis-kiszolgáló ezen tarifacsomagok egyikében található.

Adatkiszivárgás megelőzése

Az Azure Database for MySQL-ben az adatok utólagos szűrése akkor történik, ha egy jogosult felhasználó, például egy adatbázis-rendszergazda képes adatokat kinyerni az egyik rendszerből, és áthelyezni azt egy másik, a szervezeten kívüli helyre vagy rendszerbe. A felhasználó például egy harmadik fél tulajdonában lévő tárfiókba helyezi át az adatokat.

Fontolja meg azt a forgatókönyvet, amikor egy felhasználó MySQL Workbench-et futtat egy Azure-beli virtuális gépen (VM), amely az USA nyugati régiójában kiépített Azure Database for MySQL-kiszolgálóhoz csatlakozik. Az alábbi példa bemutatja, hogyan korlátozhatja a nyilvános végpontokhoz való hozzáférést az Azure Database for MySQL-ben hálózati hozzáférési vezérlők használatával.

• Tiltsa le az Azure Database for MySQL-be irányuló összes Azure-szolgáltatás forgalmát a nyilvános végponton keresztül az Azure-szolgáltatások kikapcsolásának engedélyezésével. Győződjön meg arról, hogy a kiszolgálóhoz tűzfalszabályokon vagy virtuális hálózati szolgáltatásvégpontokon keresztül nem férnek hozzá IP-címek vagy tartományok.

• Csak a virtuális gép privát IP-címével engedélyezze az Azure Database for MySQL-be irányuló forgalmat. További információkért tekintse meg a szolgáltatásvégpont és a virtuális hálózat tűzfalszabályairól szóló cikkeket.

• Az Azure-beli virtuális gépen az alábbiak szerint szűkítse le a kimenő kapcsolatok hatókörét hálózati biztonsági csoportok (NSG-k) és szolgáltatáscímkék használatával

  • Adjon meg egy NSG-szabályt a szolgáltatáscímke = SQL forgalmának engedélyezéséhez . WestUs – csak az USA nyugati régiójában található Azure Database for MySQL-hez való kapcsolódás engedélyezése
  • Adjon meg egy NSG-szabályt (magasabb prioritással) a szolgáltatáscímke forgalmának megtagadásához = SQL – az Azure Database for MySQL-hez való frissítéshez szükséges kapcsolatok megtagadása minden régióban
    
    

A beállítás végén az Azure-beli virtuális gép csak az USA nyugati régiójában található Azure Database for MySQL-hez tud csatlakozni. A kapcsolat azonban nem korlátozódik egyetlen Azure Database for MySQL-hez. A virtuális gép továbbra is csatlakozhat az USA nyugati régiójában található Azure Database for MySQL-hez, beleértve az előfizetés részét nem képező adatbázisokat is. Bár a fenti forgatókönyvben az adatkiszivárgás hatókörét egy adott régióra csökkentettük, még nem szüntettük meg teljesen.

A Private Link használatával most már beállíthat hálózati hozzáférési vezérlőket, például NSG-ket a privát végponthoz való hozzáférés korlátozásához. Az egyes Azure PaaS-erőforrások ezután meghatározott privát végpontokra lesznek leképezve. A rosszindulatú bennfentes csak a leképezett PaaS-erőforráshoz (például egy Azure Database for MySQL-hez) férhet hozzá, és nincs más erőforrás.

On-premises connectivity over private peering

Amikor helyszíni gépekről csatlakozik a nyilvános végponthoz, az IP-címet kiszolgálószintű tűzfalszabály használatával kell hozzáadni az IP-alapú tűzfalhoz. Bár ez a modell jól működik a fejlesztési vagy tesztelési számítási feladatok egyes gépeihez való hozzáférés engedélyezéséhez, éles környezetben nehéz kezelni.

A Private Link használatával engedélyezheti a helyek közötti hozzáférést a privát végponthoz az Express Route (ER), a privát társviszony-létesítés vagy a VPN-alagút használatával. Ezt követően letilthatják az összes hozzáférést a nyilvános végponton keresztül, és nem használhatják az IP-alapú tűzfalat.

Megjegyzés:

Bizonyos esetekben az Azure Database for MySQL és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

• Győződjön meg arról, hogy mindkét előfizetés rendelkezik a Microsoft.DBforMySQL erőforrás-szolgáltató regisztrálva. További információ: resource-manager-registration

Privát kapcsolat konfigurálása az Azure Database for MySQL-hez

Létrehozási folyamat

A privát kapcsolat engedélyezéséhez privát végpontokra van szükség. Ezt az alábbi útmutatók segítségével teheti meg.

• Azure Portal
• CLI

Jóváhagyási folyamat

Miután a hálózati rendszergazda létrehozta a privát végpontot (PE), a MySQL-rendszergazda kezelheti a privát végpontot Csatlakozás ion (PEC) az Azure Database for MySQL-be. A hálózati rendszergazda és a DBA közötti feladatok elkülönítése hasznos az Azure Database for MySQL-kapcsolatok kezeléséhez.

• Lépjen az Azure Database for MySQL-kiszolgáló erőforrására az Azure Portalon.
  • Válassza ki a privát végpont kapcsolatait a bal oldali panelen
  • Az összes privát végponti Csatlakozás (PECs) listája
  • A megfelelő privát végpont (PE) létrehozva

• Jelöljön ki egy egyéni PEC-t a listából a kijelöléssel.

• A MySQL-kiszolgáló rendszergazdája dönthet úgy, hogy jóváhagy vagy elutasít egy PEC-et, és igény szerint rövid szöveges választ ad hozzá.

• A jóváhagyás vagy elutasítás után a lista a megfelelő állapotot és a válaszszöveget fogja tükrözni

A Private Link használata az Azure Database for MySQL-hez

Az ügyfelek ugyanabból a virtuális hálózatból, társviszonyban lévő virtuális hálózatból vagy régiók közötti virtuális hálózatból vagy régiók közötti virtuális hálózatok közötti kapcsolaton keresztül csatlakozhatnak a privát végponthoz. Emellett az ügyfelek expressRoute,privát társviszony-létesítés vagy VPN-bújtatás használatával csatlakozhatnak a helyszíniről. Az alábbiakban egy egyszerűsített diagram mutatja be a gyakori használati eseteket.

Csatlakozás azure-beli virtuális gépről társhálózaton (VNet)

Konfigurálja a virtuális hálózatok közötti társviszonyt az Azure Database for MySQL-hez való kapcsolódáshoz egy azure-beli virtuális gépről egy társhálózaton.

Csatlakozás azure-beli virtuális gépről virtuális hálózatok közötti környezetben

Konfigurálja a virtuális hálózatok közötti VPN-átjáró kapcsolatot , hogy kapcsolatot létesítsen egy Azure Database for MySQL-hez egy másik régióban vagy előfizetésben lévő Azure-beli virtuális gépről.

Helyszíni környezetből VPN-en keresztül történő csatlakozás

Ha helyszíni környezetből szeretne kapcsolatot létesíteni az Azure Database for MySQL-hez, válassza ki és implementálja az alábbi lehetőségek egyikét:

• Pont–hely kapcsolat
• Helyek közötti VPN-kapcsolat
• ExpressRoute-kapcsolatcsoport

Private Link tűzfalszabályokkal való együttes használata

A privát kapcsolat tűzfalszabályokkal való együttes használata esetén a következő helyzetek és eredmények lehetségesek:

• Ha nem konfigurál tűzfalszabályokat, akkor alapértelmezés szerint egyetlen forgalom sem férhet hozzá az Azure Database for MySQL-hez.

• Ha nyilvános forgalmat vagy szolgáltatásvégpontot konfigurál, és privát végpontokat hoz létre, a bejövő forgalom különböző típusait a megfelelő tűzfalszabály-típus engedélyezi.

• Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, és privát végpontokat hoz létre, akkor az Azure Database for MySQL csak a privát végpontokon keresztül érhető el. Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, a jóváhagyott privát végpontok elutasítása vagy törlése után egyetlen forgalom sem férhet hozzá az Azure Database for MySQL-hez.

Nyilvános hozzáférés megtagadása az Azure Database for MySQL-hez

Ha csak privát végpontokra szeretne támaszkodni az Azure Database for MySQL-hez való hozzáféréshez, letilthatja az összes nyilvános végpont (például tűzfalszabályok és VNet-szolgáltatásvégpontok) beállítását az adatbázis-kiszolgálón a Nyilvános hálózati hozzáférés megtagadása konfiguráció beállításával.

Ha ez a beállítás IGEN értékre van állítva, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek az Azure Database for MySQL-hez. Ha ez a beállítás NEM értékre van állítva, az ügyfelek a tűzfal vagy a VNet szolgáltatás végpontbeállításai alapján csatlakozhatnak az Azure Database for MySQL-hez. Emellett a privát hálózati hozzáférés értékének beállítása után az ügyfelek nem adhatnak hozzá és/vagy nem frissíthetik a meglévő "tűzfalszabályokat" és a "VNet-szolgáltatásvégpontszabályokat".

Megjegyzés:

Ez a funkció minden olyan Azure-régióban elérhető, ahol az Önálló Azure Database for MySQL támogatja az általános célú és memóriaoptimalizált tarifacsomagokat.

Ez a beállítás nincs hatással az Azure Database for MySQL SSL- és TLS-konfigurációira.

Ha tudni szeretné, hogyan állíthatja be az Azure Database for MySQL nyilvános hálózati hozzáférésének megtagadását az Azure Portalról, tekintse meg a Nyilvános hálózati hozzáférés megtagadása konfigurálását ismertető témakört.

További lépések

Az Azure Database for MySQL biztonsági funkcióival kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Az Azure Database for MySQL tűzfalának konfigurálásához tekintse meg a tűzfaltámogatást.

• Ha tudni szeretné, hogyan konfigurálhat virtuális hálózati szolgáltatásvégpontot az Azure Database for MySQL-hez, olvassa el a Hozzáférés konfigurálása virtuális hálózatokról című témakört.

• Az Azure Database for MySQL-kapcsolat áttekintését lásd: Azure Database for MySQL Csatlakozás ivity Architecture