Reguły zapory serwera Azure Database for MariaDBAzure Database for MariaDB server firewall rules

Zapory uniemożliwiają dostęp do serwera bazy danych do momentu określenia komputerów, które mają uprawnienia.Firewalls prevent all access to your database server until you specify which computers have permission. Zapora przyznaje dostęp do serwera na podstawie źródłowego adresu IP każdego żądania.The firewall grants access to the server based on the originating IP address of each request.

Aby skonfigurować zaporę, należy utworzyć reguły zapory określające zakresy akceptowalnych adresów IP.To configure a firewall, create firewall rules that specify ranges of acceptable IP addresses. Reguły zapory można tworzyć na poziomie serwera.You can create firewall rules at the server level.

Reguły zapory: Te reguły umożliwiają klientom dostęp do całego serwera Azure Database for MariaDB, czyli wszystkich baz danych na tym samym serwerze logicznym.Firewall rules: These rules enable clients to access your entire Azure Database for MariaDB server, that is, all the databases within the same logical server. Reguły zapory na poziomie serwera można skonfigurować za pomocą poleceń Azure Portal lub interfejsu wiersza polecenia platformy Azure.Server-level firewall rules can be configured by using the Azure portal or Azure CLI commands. Aby utworzyć reguły zapory na poziomie serwera, musisz być właścicielem subskrypcji lub współautorem subskrypcji.To create server-level firewall rules, you must be the subscription owner or a subscription contributor.

Omówienie zaporyFirewall overview

Dostęp wszystkich baz danych do serwera Azure Database for MariaDB jest blokowany domyślnie przez zaporę.All database access to your Azure Database for MariaDB server is by default blocked by the firewall. Aby rozpocząć korzystanie z serwera z innego komputera, należy określić co najmniej jedną regułę zapory na poziomie serwera, aby umożliwić dostęp do serwera.To begin using your server from another computer, you need to specify one or more server-level firewall rules to enable access to your server. Użyj reguł zapory, aby określić, które zakresy adresów IP z Internetu mają być dozwolone.Use the firewall rules to specify which IP address ranges from the Internet to allow. Reguły zapory nie wpływają na dostęp do samej witryny sieci Web Azure Portal.Access to the Azure portal website itself is not impacted by the firewall rules.

Próby połączenia z Internetu i platformy Azure muszą być przekazywane przez zaporę przed uzyskaniem dostępu do bazy danych Azure Database for MariaDB, jak pokazano na poniższym diagramie:Connection attempts from the Internet and Azure must first pass through the firewall before they can reach your Azure Database for MariaDB database, as shown in the following diagram:

Przykładowy przepływ działania zapory

Łączenie się z InternetuConnecting from the Internet

Reguły zapory na poziomie serwera mają zastosowanie do wszystkich baz danych na serwerze Azure Database for MariaDB.Server-level firewall rules apply to all databases on the Azure Database for MariaDB server.

Jeśli adres IP żądania należy do jednego z zakresów określonych w regułach zapory na poziomie serwera, nawiązanie połączenia zostanie nadane.If the IP address of the request is within one of the ranges specified in the server-level firewall rules, then the connection is granted.

Jeśli adres IP żądania wykracza poza zakresy określone w regułach zapory na poziomie bazy danych lub na poziomie serwera, żądanie połączenia kończy się niepowodzeniem.If the IP address of the request is outside the ranges specified in any of the database-level or server-level firewall rules, then the connection request fails.

Łączenie z platformy AzureConnecting from Azure

Aby umożliwić aplikacjom z platformy Azure Łączenie się z serwerem Azure Database for MariaDB, należy włączyć połączenia platformy Azure.To allow applications from Azure to connect to your Azure Database for MariaDB server, Azure connections must be enabled. Na przykład w celu hostowania aplikacji Web Apps platformy Azure lub aplikacji działającej na maszynie wirtualnej platformy Azure lub w celu nawiązania połączenia z Azure Data Factory bramy zarządzania danymi.For example, to host an Azure Web Apps application, or an application that runs in an Azure VM, or to connect from an Azure Data Factory data management gateway. Zasoby nie muszą znajdować się w tej samej Virtual Network (VNet) lub grupie zasobów dla reguły zapory w celu włączenia tych połączeń.The resources do not need to be in the same Virtual Network (VNet) or Resource Group for the firewall rule to enable those connections. Gdy aplikacja platformy Azure próbuje połączyć się z serwerem bazy danych, zapora sprawdza, czy połączenia platformy Azure są dozwolone.When an application from Azure attempts to connect to your database server, the firewall verifies that Azure connections are allowed. Istnieje kilka metod włączania tych typów połączeń.There are a couple of methods to enable these types of connections. Ustawienie zapory z początkowym i końcowym adresem równym 0.0.0.0 wskazuje, że te połączenia są dozwolone.A firewall setting with starting and ending address equal to 0.0.0.0 indicates these connections are allowed. Alternatywnie możesz ustawić opcję Zezwalaj na dostęp do usług platformy Azure w portalu w okienku zabezpieczenia połączenia i kliknąć przycisk Zapisz.Alternatively, you can set the Allow access to Azure services option to ON in the portal from the Connection security pane and hit Save. Jeśli próba połączenia nie jest dozwolona, żądanie nie dociera do serwera Azure Database for MariaDB.If the connection attempt is not allowed, the request does not reach the Azure Database for MariaDB server.

Ważne

Ta opcja konfiguruje zaporę w celu zezwalania na wszystkie połączenia z platformy Azure, w tym połączenia z subskrypcji innych klientów.This option configures the firewall to allow all connections from Azure including connections from the subscriptions of other customers. W przypadku wybrania tej opcji upewnij się, że uprawnienia logowania i użytkownika zezwalają na dostęp tylko uprawnionym użytkownikom.When selecting this option, make sure your login and user permissions limit access to only authorized users.

Konfigurowanie zezwalania na dostęp do usług platformy Azure w portalu

Łączenie z sieci wirtualnejConnecting from a VNet

Aby bezpiecznie połączyć się z serwerem Azure Database for MariaDB z sieci wirtualnej, należy rozważyć użycie punktów końcowych usługi sieci wirtualnej.To connect securely to your Azure Database for MariaDB server from a VNet, consider using VNet service endpoints.

Programowe zarządzanie regułami zaporyProgrammatically managing firewall rules

Oprócz Azure Portal reguły zapory można zarządzać programowo przy użyciu interfejsu wiersza polecenia platformy Azure.In addition to the Azure portal, firewall rules can be managed programmatically by using the Azure CLI.

Zobacz też Tworzenie reguł zapory Azure Database for MariaDB przy użyciu interfejsu wiersza polecenia platformy Azure i zarządzanie nimi.See also Create and manage Azure Database for MariaDB firewall rules using Azure CLI.

Rozwiązywanie problemów z zaporąTroubleshooting firewall issues

Należy wziąć pod uwagę następujące kwestie, gdy dostęp do usługi Microsoft Azure Database for MariaDB Server nie zachowuje się zgodnie z oczekiwaniami:Consider the following points when access to the Microsoft Azure Database for MariaDB server service does not behave as expected:

  • Zmiany na liście dozwolonych nie zostały jeszcze zastosowane: Aby zmiany w konfiguracji zapory serwera Azure Database for MariaDB zaczęły obowiązywać, może wystąpić nawet pięć minut.Changes to the allow list have not taken effect yet: There may be as much as a five-minute delay for changes to the Azure Database for MariaDB Server firewall configuration to take effect.

  • Logowanie nie jest autoryzowane lub użyto nieprawidłowego hasła: Jeśli logowanie nie ma uprawnień na serwerze Azure Database for MariaDB lub użyte hasło jest nieprawidłowe, nastąpiło odmowa połączenia z serwerem Azure Database for MariaDB.The login is not authorized or an incorrect password was used: If a login does not have permissions on the Azure Database for MariaDB server or the password used is incorrect, the connection to the Azure Database for MariaDB server is denied. Utworzenie ustawień zapory zapewnia klientom jedynie możliwość próby nawiązania połączenia z serwerem, ale każdy klient musi podać niezbędne poświadczenia zabezpieczeń.Creating a firewall setting only provides clients with an opportunity to attempt connecting to your server; each client must provide the necessary security credentials.

  • Dynamiczny adres IP: Jeśli masz połączenie internetowe z dynamicznym adresem IP i masz problemy z uzyskaniem przez zaporę, możesz wypróbować jedno z następujących rozwiązań:Dynamic IP address: If you have an Internet connection with dynamic IP addressing and you are having trouble getting through the firewall, you can try one of the following solutions:

    • Poproszenie usługodawcy internetowego (ISP) o zakres adresów IP przypisany do komputerów klienckich, które uzyskują dostęp do serwera Azure Database for MariaDB, a następnie Dodaj zakres adresów IP jako regułę zapory.Ask your Internet Service Provider (ISP) for the IP address range assigned to your client computers that access the Azure Database for MariaDB server, and then add the IP address range as a firewall rule.

    • Pobierz statyczne adresy IP dla komputerów klienckich, a następnie dodaj te adresy IP jako reguły zapory.Get static IP addressing instead for your client computers, and then add the IP addresses as firewall rules.

  • Adres IP serwera wydaje się być publiczny: Połączenia z serwerem Azure Database for MariaDB są kierowane za pomocą publicznie dostępnej bramy platformy Azure.Server's IP appears to be public: Connections to the Azure Database for MariaDB server are routed through a publicly accessible Azure gateway. Rzeczywisty adres IP serwera jest jednak chroniony przez zaporę.However, the actual server IP is protected by the firewall. Aby uzyskać więcej informacji, zapoznaj się z artykułem dotyczącym architektury łączności.For more information, visit the connectivity architecture article.

Następne krokiNext steps