pojęcia dotyczące Połączenie ivity i sieci dla usługi Azure Database for MySQL — serwer elastyczny

  • Artykuł

DOTYCZY: Azure Database for MySQL — serwer elastyczny

W tym artykule przedstawiono pojęcia dotyczące kontrolowania łączności z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Szczegółowo poznasz pojęcia dotyczące sieci dla elastycznego serwera usługi Azure Database for MySQL w celu bezpiecznego tworzenia serwera i uzyskiwania do nich dostępu na platformie Azure.

Serwer elastyczny usługi Azure Database for MySQL obsługuje trzy sposoby konfigurowania łączności z serwerami:

  • Dostęp publiczny Do serwera elastycznego uzyskuje się dostęp za pośrednictwem publicznego punktu końcowego. Publiczny punkt końcowy jest publicznie rozpoznawalnym adresem DNS. Fraza "dozwolone adresy IP" odnosi się do zakresu adresów IP, które chcesz udzielić uprawnień dostępu do serwera. Te uprawnienia są nazywane regułami zapory.

  • Prywatny punkt końcowy Możesz użyć prywatnych punktów końcowych, aby umożliwić hostom w sieciwirtualnej bezpieczny dostęp do danych za pośrednictwem usługi Private Link.

  • Dostęp prywatny (integracja z siecią wirtualną) Serwer elastyczny można wdrożyć w sieci wirtualnej platformy Azure. Sieci wirtualne platformy Azure zapewniają prywatną i bezpieczną komunikację sieci. Zasoby w sieci wirtualnej mogą komunikować się za pośrednictwem prywatnych adresów IP.

Uwaga

Po wdrożeniu serwera z dostępem publicznym lub prywatnym (za pośrednictwem integracji z siecią wirtualną) nie można zmodyfikować trybu łączności. Jednak w trybie dostępu publicznego można włączyć lub wyłączyć prywatne punkty końcowe zgodnie z potrzebami, a także wyłączyć dostęp publiczny w razie potrzeby.

Wybierz opcję sieci

Wybierz opcję Dostęp publiczny (dozwolone adresy IP) i Metodę prywatnego punktu końcowego , jeśli chcesz uzyskać następujące możliwości:

  • Połączenie z zasobów platformy Azure bez obsługi sieci wirtualnej
  • Połączenie z zasobów spoza platformy Azure, które nie są połączone za pomocą sieci VPN ani usługi ExpressRoute
  • Serwer elastyczny jest dostępny za pośrednictwem publicznego punktu końcowego i może być dostępny za pośrednictwem autoryzowanych zasobów internetowych. W razie potrzeby można wyłączyć dostęp publiczny.
  • Możliwość konfigurowania prywatnych punktów końcowych w celu uzyskania dostępu do serwera z hostów w sieci wirtualnej

Wybierz pozycję Dostęp prywatny (integracja z siecią wirtualną), jeśli chcesz uzyskać następujące możliwości:

  • Połączenie do serwera elastycznego z zasobów platformy Azure w tej samej sieci wirtualnej lub równorzędnej sieci wirtualnej bez konieczności konfigurowania prywatnego punktu końcowego
  • Nawiązywanie połączeń z serwerem elastycznym z poziomu zasobów spoza platformy Azure przy użyciu sieci VPN lub usługi ExpressRoute
  • Brak publicznego punktu końcowego

Następujące cechy mają zastosowanie, niezależnie od tego, czy chcesz użyć dostępu prywatnego, czy opcji dostępu publicznego:

  • Połączenie ions z dozwolonych adresów IP muszą uwierzytelnić się w wystąpieniu serwera elastycznego usługi Azure Database for MySQL z prawidłowymi poświadczeniami
  • Szyfrowanie Połączenie ion jest dostępne dla ruchu sieciowego
  • Serwer ma w pełni kwalifikowaną nazwę domeny (fqdn). Zalecamy użycie nazwy fqdn zamiast adresu IP dla właściwości hostname w parametry połączenia s.
  • Obie opcje kontrolują dostęp na poziomie serwera, a nie na poziomie bazy danych lub tabeli. Właściwości ról programu MySQL służą do kontrolowania dostępu do bazy danych, tabeli i innego obiektu.

Nieobsługiwane scenariusze sieci wirtualnej

  • Publiczny punkt końcowy (lub publiczny adres IP lub DNS) — serwer elastyczny wdrożony w sieci wirtualnej nie może mieć publicznego punktu końcowego.
  • Po wdrożeniu serwera elastycznego w sieci wirtualnej i podsieci nie można przenieść go do innej sieci wirtualnej lub podsieci.
  • Po wdrożeniu serwera elastycznego nie można przenieść sieci wirtualnej używanej przez serwer elastyczny do innej grupy zasobów lub subskrypcji.
  • Nie można zwiększyć rozmiaru podsieci (przestrzeni adresowych), gdy w podsieci istnieją zasoby.
  • Zmiana z dostępu publicznego na prywatny nie jest dozwolona po utworzeniu serwera. Zalecanym sposobem jest użycie przywracania do punktu w czasie.

Uwaga

Jeśli używasz niestandardowego serwera DNS, musisz użyć usługi przesyłania dalej DNS, aby rozpoznać nazwę FQDN wystąpienia serwera elastycznego usługi Azure Database for MySQL. Aby dowiedzieć się więcej, zapoznaj się z tematem rozpoznawania nazw używającym serwera DNS.

Hostname (Nazwa hosta)

Niezależnie od opcji sieci zaleca się użycie w pełni kwalifikowanej nazwy domeny (FQDN) <servername>.mysql.database.azure.com w parametry połączenia podczas nawiązywania połączenia z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Adres IP serwera nie ma gwarancji, że pozostanie statyczny. Użycie nazwy FQDN pomoże uniknąć wprowadzania zmian w parametry połączenia.

Przykładem, który używa nazwy FQDN jako nazwy hosta, jest nazwa hosta = servername.mysql.database.azure.com. Jeśli to możliwe, unikaj używania nazwy hosta = 10.0.0.4 (adresu prywatnego) lub nazwy hosta = 40.2.45.67 (adres publiczny).

Protokoły TLS i SSL

Serwer elastyczny usługi Azure Database for MySQL obsługuje łączenie aplikacji klienckich z wystąpieniem serwera elastycznego usługi Azure Database for MySQL przy użyciu protokołu SSL (Secure Sockets Layer) z szyfrowaniem TLS(Transport Layer). TLS to branżowy protokół będący standardem, który zapewnia szyfrowane połączenia sieciowe między serwerem bazy danych i aplikacjami klienckimi, co pozwala na spełnienie wymagań dotyczących zgodności.

Serwer elastyczny usługi Azure Database for MySQL obsługuje połączenia szyfrowane przy użyciu protokołu Transport Layer Security (TLS 1.2) domyślnie, a wszystkie połączenia przychodzące z protokołami TLS 1.0 i TLS 1.1 są domyślnie odrzucane. Konfigurację wymuszania szyfrowanego połączenia lub wersji protokołu TLS na serwerze elastycznym można skonfigurować i zmienić.

Poniżej przedstawiono różne konfiguracje ustawień protokołu SSL i TLS, które można mieć dla serwera elastycznego:

Scenariusz Ustawienia parametrów serwera opis
Wyłączanie protokołu SSL (szyfrowane połączenia) require_secure_transport = WYŁĄCZONE Jeśli starsza aplikacja nie obsługuje szyfrowanych połączeń z wystąpieniem serwera elastycznego usługi Azure Database for MySQL, możesz wyłączyć wymuszanie zaszyfrowanych połączeń z serwerem elastycznym przez ustawienie require_secure_transport=OFF.
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji < 1.2 require_secure_transport = ON and tls_version = TLS 1.0 lub TLS 1.1 Jeśli starsza aplikacja obsługuje połączenia szyfrowane, ale wymaga protokołu TLS w wersji < 1.2, można włączyć połączenia szyfrowane, ale skonfigurować serwer elastyczny tak, aby zezwalał na połączenia z wersją protokołu TLS (wersja 1.0 lub 1.1) obsługiwaną przez aplikację
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.2 (konfiguracja domyślna) require_secure_transport = ON and tls_version = TLS 1.2 Jest to zalecana i domyślna konfiguracja serwera elastycznego.
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.3 (obsługiwane w programie MySQL w wersji 8.0 lub nowszej) require_secure_transport = ON and tls_version = TLS 1.3 Jest to przydatne i zalecane w przypadku tworzenia nowych aplikacji

Uwaga

Zmiany szyfrowania SSL na serwerze elastycznym nie są obsługiwane. Zestawy szyfrowania FIPS są domyślnie wymuszane, gdy tls_version jest ustawiona na protokół TLS w wersji 1.2. W przypadku wersji protokołu TLS innych niż wersja 1.2 szyfrowanie SSL jest ustawione na ustawienia domyślne, które są dostarczane z instalacją społeczności mySQL.

Aby dowiedzieć się więcej, zobacz, jak nawiązać połączenie przy użyciu protokołu SSL/TLS .

Następne kroki