Service-eindpunten en -regels voor virtuele netwerken gebruiken voor Azure Database for MariaDB

  • Artikel
  • 7 minuten om te lezen

Regels voor virtuele netwerken zijn een firewallbeveiligingsfunctie waarmee wordt bepaald of uw Azure Database for MariaDB-server communicatie accepteert die vanuit bepaalde subnetten in virtuele netwerken wordt verzonden. In dit artikel wordt uitgelegd waarom de regelfunctie voor virtuele netwerken soms de beste optie is om veilig communicatie met uw Azure Database for MariaDB server toe te staan.

Als u een regel voor een virtueel netwerk wilt maken, moet er eerst een virtueel netwerk (VNet) en een service-eindpunt voor een virtueel netwerk zijn waarnaar de regel moet verwijzen. In de volgende afbeelding ziet u hoe een Virtual Network service-eindpunt werkt met Azure Database for MariaDB:

Voorbeeld van hoe een VNet-service-eindpunt werkt

Notitie

Deze functie is beschikbaar in alle Regio's van Azure waar Azure Database for MariaDB is geïmplementeerd voor Algemeen servers en servers die zijn geoptimaliseerd voor geheugen.

U kunt ook overwegen om Private Link verbindingen te gebruiken. Private Link biedt een privé-IP-adres in uw VNet voor de Azure Database for MariaDB server.

Terminologie en beschrijving

Virtueel netwerk: U kunt virtuele netwerken hebben die zijn gekoppeld aan uw Azure-abonnement.

Subnet: Een virtueel netwerk bevat subnetten. Alle virtuele Azure-machines (VM's) die u hebt toegewezen aan subnetten. Het ene subnet kan meerdere VM's of andere rekenknooppunten bevatten. Rekenknooppunten buiten uw virtuele netwerk hebben geen toegang tot uw virtuele netwerk, tenzij u uw beveiliging zo configureert dat toegang wordt toegestaan.

Virtual Network service-eindpunt: Een Virtual Network service-eindpunt is een subnet waarvan de eigenschapswaarden een of meer formele Namen van Azure-servicetypes bevatten. In dit artikel zijn we geïnteresseerd in de typenaam Microsoft.Sql, die verwijst naar de Azure-service met de naam SQL Database. Deze servicetag is ook van toepassing op Azure Database for MariaDB-, MySQL- en PostgreSQL-services. Het is belangrijk te weten dat bij het toepassen van de Microsoft.Sql-servicetag op een VNet-service-eindpunt het service-eindpuntverkeer wordt geconfigureerd voor alle Azure SQL Database-, Azure Database for MariaDB-, Azure Database for MySQL- en Azure Database for PostgreSQL-servers in het subnet.

Regel voor virtueel netwerk: Een virtuele netwerkregel voor uw Azure Database for MariaDB-server is een subnet dat wordt vermeld in de toegangsbeheerlijst (ACL) van uw Azure Database for MariaDB server. Als u zich in de ACL voor uw Azure Database for MariaDB server wilt, moet het subnet de naam van het Microsoft.Sql-type bevatten.

Een regel voor een virtueel netwerk vertelt Azure Database for MariaDB server communicatie moet accepteren vanaf elk knooppunt in het subnet.

Voordelen van een regel voor een virtueel netwerk

Totdat u actie onderneemt, kunnen de VM's in uw subnetten niet communiceren met Azure Database for MariaDB server. Een actie die de communicatie tot leven brengt, is het maken van een regel voor een virtueel netwerk. De logica voor het kiezen van de benadering van VNet-regels vereist een vergelijkings- en contrastdiscussie met betrekking tot de concurrerende beveiligingsopties die door de firewall worden aangeboden.

A. Toegang tot Azure-services toestaan

Het deelvenster Verbindingsbeveiliging heeft een aan/uit-knop met het label Toegang tot Azure-services toestaan. De instelling ON staat communicatie toe van alle Azure IP-adressen en alle Azure-subnetten. Deze Azure-IP's of subnetten zijn mogelijk niet van u. Deze ON-instelling is waarschijnlijk opener dan u wilt dat uw Azure Database for MariaDB Database is. De functie voor regels voor virtuele netwerken biedt een veel gedetailleerdere controle.

B. IP-regels

Met Azure Database for MariaDB firewall kunt u IP-adresbereiken opgeven van waaruit communicatie wordt geaccepteerd in Azure Database for MariaDB server. Deze aanpak is prima voor stabiele IP-adressen die zich buiten het particuliere Azure-netwerk verplaatsen. Maar veel knooppunten in het particuliere Azure-netwerk zijn geconfigureerd met dynamische IP-adressen. Dynamische IP-adressen kunnen worden gewijzigd, bijvoorbeeld wanneer uw VM opnieuw wordt opgestart. Het is geen probleem om een dynamisch IP-adres op te geven in een firewallregel, in een productieomgeving.

U kunt de IP-optie resteren door een statisch IP-adres voor uw VM te verkrijgen. Zie Privé-IP-adressen configureren vooreen virtuele machine met behulp van de Azure Portal.

De statische IP-benadering kan echter moeilijk te beheren zijn en is duur wanneer dit op schaal wordt gedaan. Regels voor virtuele netwerken zijn eenvoudiger vast te stellen en te beheren.

Details over regels voor virtuele netwerken

In deze sectie worden verschillende details over regels voor virtuele netwerken beschreven.

Slechts één geografische regio

Elk Virtual Network service-eindpunt is van toepassing op slechts één Azure-regio. Met het eindpunt kunnen andere regio's geen communicatie van het subnet accepteren.

Een regel voor een virtueel netwerk is beperkt tot de regio waar het onderliggende eindpunt van toepassing is.

Serverniveau, niet op databaseniveau

Elke regel voor een virtueel netwerk is van toepassing op Azure Database for MariaDB server, niet alleen op één bepaalde database op de server. Met andere woorden, de regel voor virtuele netwerken is van toepassing op serverniveau, niet op databaseniveau.

Beveiligingsbeheerrollen

Er is een scheiding tussen beveiligingsrollen in het beheer van Virtual Network service-eindpunten. Actie is vereist voor elk van de volgende rollen:

  • Netwerkbeheerder:   Schakel het eindpunt in.
  • Databasebeheerder:   Werk de toegangsbeheerlijst (ACL) bij om het opgegeven subnet toe te voegen aan Azure Database for MariaDB server.

Alternatief voor Azure RBAC:

De rollen Netwerkbeheerder en Databasebeheerder hebben meer mogelijkheden dan nodig zijn voor het beheren van regels voor virtuele netwerken. Er is slechts een subset van hun mogelijkheden nodig.

U hebt de mogelijkheid om op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) in Azure te gebruiken om één aangepaste rol te maken die alleen de benodigde subset van mogelijkheden heeft. De aangepaste rol kan worden gebruikt in plaats van de netwerkbeheerder of de databasebeheerder. Het surface area van uw beveiligingsblootstelling is lager als u een gebruiker toevoegt aan een aangepaste rol, in plaats van de gebruiker toe te voegen aan de andere twee hoofdbeheerdersrollen.

Notitie

In sommige gevallen Azure Database for MariaDB en het VNet-subnet zich in verschillende abonnementen. In deze gevallen moet u de volgende configuraties controleren:

  • Beide abonnementen moeten zich in dezelfde tenant Azure Active Directory maken.
  • De gebruiker beschikt over de vereiste machtigingen om bewerkingen te starten, zoals het inschakelen van service-eindpunten en het toevoegen van een VNet-subnet aan de opgegeven server.
  • Zorg ervoor dat voor beide abonnementen de resourceprovider Microsoft.Sql en Microsoft.DBforMariaDB is geregistreerd. Raadpleeg resource-manager-registration voor meer informatie

Beperkingen

Voor Azure Database for MariaDB heeft de functie regels voor virtuele netwerken de volgende beperkingen:

  • Een web-app kan worden toe te staan aan een privé-IP-adres in een VNet/subnet. Zelfs als service-eindpunten zijn ingeschakeld vanuit het opgegeven VNet/subnet, hebben verbindingen van de web-app naar de server een openbare IP-bron van Azure, geen VNet/subnetbron. Als u connectiviteit wilt inschakelen van een web-app naar een server met VNet-firewallregels, moet u Toestaan dat Azure-services toegang hebben tot de server op de server.

  • In de firewall voor uw Azure Database for MariaDB verwijst elke regel van het virtuele netwerk naar een subnet. Al deze subnetten waarnaar wordt verwezen, moeten worden gehost in dezelfde geografische regio die als host voor de Azure Database for MariaDB.

  • Elke Azure Database for MariaDB server kan maximaal 128 ACL-vermeldingen hebben voor elk virtueel netwerk.

  • Regels voor virtuele netwerken zijn alleen van toepassing Azure Resource Manager virtuele netwerken; en niet naar klassieke implementatiemodelnetwerken.

  • Als u SERVICE-eindpunten voor virtuele netwerken in Azure Database for MariaDB in te Azure Database for MariaDB met behulp van de Microsoft.Sql-servicetag, worden ook de eindpunten voor alle Azure Database-services mogelijk: Azure Database for MariaDB, Azure Database for MySQL, Azure Database for PostgreSQL, Azure SQL Database en Azure Synapse Analytics.

  • Ondersteuning voor VNet-service-eindpunten is alleen van Algemeen servers die zijn geoptimaliseerd voor geheugen.

  • Als Microsoft.Sql is ingeschakeld in een subnet, geeft dit aan dat u alleen VNet-regels wilt gebruiken om verbinding te maken. Niet-VNet-firewallregels van resources in dat subnet werken niet.

  • Op de firewall gelden IP-adresbereiken wel voor de volgende netwerkitems, maar regels voor virtuele netwerken niet:

ExpressRoute

Als uw netwerk is verbonden met het Azure-netwerk via ExpressRoute,wordt elk circuit geconfigureerd met twee openbare IP-adressen op Microsoft Edge. De twee IP-adressen worden gebruikt om verbinding te maken met Microsoft-services, Azure Storage, met behulp van openbare Azure-peering.

Als u communicatie tussen uw circuit en Azure Database for MariaDB, moet u IP-netwerkregels maken voor de openbare IP-adressen van uw circuits. Als u de openbare IP-adressen van uw ExpressRoute-circuit wilt vinden, opent u een ondersteuningsticket met ExpressRoute met behulp van de Azure Portal.

Een VNET-firewallregel toevoegen aan uw server zonder VNET-service-eindpunten in te zetten

Het instellen van een VNet-firewallregel helpt niet om de server naar het VNet te beveiligen. U moet ook VNet-service-eindpunten aan zetten om de beveiliging van kracht te laten worden. Wanneer u service-eindpunten aan zet, ervaart uw VNet-subnet downtime totdat de overgang van Uit naar Aan is voltooid. Dit is met name relevant voor grote VNets. U kunt de vlag IgnoreMissingServiceEndpoint gebruiken om de downtime tijdens de overgang te verminderen of te elimineren.

U kunt de vlag IgnoreMissingServiceEndpoint instellen met behulp van de Azure CLI of portal.

Volgende stappen

Zie voor artikelen over het maken van VNet-regels: