Link Privado para Banco de Dados do Azure para MariaDB

  • Artigo

Importante

O Banco de Dados do Azure para MariaDB está a caminho da desativação. É altamente recomendável que você migre para o Banco de Dados do Azure para MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para MariaDB?.

O Link Privado permite criar pontos de extremidade privados para o Banco de Dados do Azure para MariaDB e, portanto, traz os serviços do Azure para dentro de sua VNet (rede virtual privada). O ponto de extremidade privado expõe um IP privado que você pode usar para se conectar ao seu servidor de banco de dados do Banco de Dados do Azure para MariaDB, assim como qualquer outro recurso na VNet.

Para obter uma lista dos serviços de PaaS que permitem a funcionalidade do Link Privado, leia a documentação do Link Privado. Um ponto de extremidade privado é um endereço IP privado em uma VNET e sub-rede específicas.

Observação

O recurso de link privado está disponível apenas para servidores do Banco de Dados do Azure para MariaDB nos tipos de preço de Uso geral ou Otimizado para Memória. Assegure-se de que o servidor de banco de dados esteja em um desses níveis de preços.

Prevenção contra exportação de dados

A exportação de dados no Banco de Dados do Azure para MariaDB ocorre quando um usuário autorizado, como um administrador de banco de dados, tem a capacidade de extrair dados de um sistema e movê-los para outra localização ou outro sistema fora da organização. Por exemplo, o usuário move os dados para uma conta de armazenamento pertencente a terceiros.

Considere um cenário com um usuário executando o workbench do MariaDB dentro de uma VM do Azure conectando-se a uma instância do Banco de Dados do Azure para MariaDB. A instância do MariaDB está no data center do Oeste dos EUA. O exemplo abaixo mostra como limitar o acesso com pontos de extremidade públicos no Banco de Dados do Azure para MariaDB usando controles de acesso à rede.

  • Desabilite todo o tráfego de serviço do Azure para o Banco de Dados do Azure para MariaDB por meio do ponto de extremidade público. Para isso, configure Permitir Serviços do Azure como DESATIVADO. Certifique-se de que nenhum endereço IP ou intervalo tenha permissão para acessar o servidor por meio de regras de firewall ou pontos de extremidade de serviço de rede virtual.

  • Só permita o tráfego para o Banco de Dados do Azure para MariaDB que usa o endereço IP privado da VM. Para obter mais informações, confira os artigos sobre o ponto de extremidade de serviço e as regras de firewall da VNet.

  • Na VM do Azure, restrinja o escopo da conexão de saída usando NSGs (grupos de segurança de rede) e Marcas de Serviço, conforme mostrado a seguir:

    • Especifique uma regra NSG para permitir o tráfego para Tag de serviço = SQL.WestUs, só permitindo a conexão com o Banco de Dados do Azure para MariaDB no Oeste dos EUA
    • Especifique uma regra de NSG (com uma prioridade mais alta) para negar o tráfego para a Tag de Serviço = SQL, negando as conexões com o Banco de Dados MariaDB em todas as regiões

Ao final desta configuração, a VM do Azure só poderá se conectar ao Banco de Dados do Azure para MariaDB na região Oeste dos EUA. No entanto, a conectividade não é restrita a um único Banco de Dados do Azure para MariaDB. A VM ainda pode se conectar a qualquer Banco de Dados do Azure para MariaDB na região Oeste dos EUA, incluindo os bancos de dados que não fazem parte da assinatura. Embora tenhamos reduzido o escopo da exportação de dados no cenário acima a uma região específica, não o eliminamos por completo.

Com o Link Privado, agora você pode configurar controles de acesso à rede, como NSGs, para restringir o acesso ao ponto de extremidade privado. Os recursos de PaaS individuais do Azure são então mapeados para pontos de extremidade privados específicos. Um usuário interno mal-intencionado só pode acessar o recurso de PaaS mapeado (por exemplo, um Banco de Dados do Azure para MariaDB) e nenhum outro recurso.

Conectividade local no emparelhamento privado

Quando você se conecta ao ponto de extremidade público a partir de computadores locais, seu endereço IP precisa ser adicionado ao firewall baseado em IP usando uma regra de firewall no nível de servidor. Embora esse modelo funcione bem para permitir o acesso a computadores individuais para cargas de trabalho de desenvolvimento ou teste, é difícil gerenciá-lo em um ambiente de produção.

Com o Link Privado, você pode habilitar o acesso entre instalações ao ponto de extremidade privado usando o Express Route (ER), o emparelhamento privado ou o túnel de VPN. Em seguida, eles poderão desabilitar todo o acesso por meio do ponto de extremidade público e não usar o firewall baseado em IP.

Observação

Em alguns casos, o Banco de Dados do Azure para MariaDB e a sub-rede da VNet estão em assinaturas diferentes. Nesses casos, você deve garantir as seguintes configurações:

  • Verifique se as duas assinaturas têm o provedor de recursos Microsoft.DBforMariaDB registrado. Para obter mais informações, confira resource-manager-registration

Processo de criação

Pontos de extremidade privados são necessários para habilitar o Link Privado. Isso pode ser feito usando os guias de instruções a seguir.

Processo de aprovação

Depois que o administrador de rede criar o PE (ponto de extremidade privado), o administrador poderá gerenciar a PEC (conexão de ponto de extremidade privado) com o Banco de Dados do Azure para MariaDB. Essa separação de tarefas entre o administrador de rede e o DBA é útil para o gerenciamento da conectividade do Banco de Dados do Azure para MariaDB.

  • Navegue até o recurso do servidor do Banco de Dados do Azure para MariaDB no portal do Azure.
    • Selecione as conexões de ponto de extremidade privado no painel esquerdo
    • Mostra uma lista de todas as PECs (conexões de ponto de extremidade privado)
    • Ponto de extremidade privado correspondente (PE) criado

select the private endpoint portal

  • Selecione uma PEC individual na lista selecionando-a.

select the private endpoint pending approval

  • O administrador do servidor MariaDB pode optar por aprovar ou rejeitar uma PEC e, opcionalmente, adicionar uma resposta de texto curto.

select the private endpoint message

  • Após a aprovação ou a rejeição, a lista refletirá o estado apropriado junto com o texto de resposta

select the private endpoint final state

Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, da VNet emparelhada na mesma região ou por meio da conexão VNet a VNet nas regiões. Além disso, os clientes podem se conectar localmente usando o ExpressRoute, o emparelhamento privado ou o túnel de VPN. Veja abaixo um diagrama simplificado que mostra os casos de uso comuns.

select the private endpoint overview

Como se conectar por meio de uma VM do Azure na VNET (Rede Virtual) emparelhada

Configure o Emparelhamento VNet para estabelecer a conectividade com o Banco de Dados do Azure para MariaDB por meio de uma VM do Azure em uma VNet emparelhada.

Como se conectar por meio de uma VM do Azure no ambiente VNET a VNET

Configure a conexão de gateway VPN VNet-to-VNet para estabelecer conectividade com um Banco de Dados do Azure para MariaDB de uma VM do Azure em uma região ou assinatura diferente.

Como se conectar por meio de um ambiente local pela VPN

Para estabelecer a conectividade de um ambiente local com o banco de dados no Banco de Dados do Azure para MariaDB, escolha e implemente uma das opções:

As seguintes situações e resultados são possíveis quando você usa o Link Privado em combinação com regras de firewall:

  • Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego conseguirá acessar o Banco de Dados do Azure para MariaDB.

  • Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, os tipos diferentes de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.

  • Se você não configurar nenhum tráfego público ou ponto de extremidade de serviço e criar pontos de extremidades privados, o Banco de Dados do Azure para MariaDB poderá ser acessado somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidades privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o Banco de Dados do Azure para MariaDB.

Negar acesso público para o Banco de Dados do Azure para MariaDB

Se você quiser confiar completamente apenas nos pontos de extremidade privados para acessar o Banco de Dados do Azure para MariaDB deles, poderá desabilitar a configuração de todos os pontos de extremidade públicos (regras de firewall e pontos de extremidade de serviço de VNet) definindo a configuração Negar acesso à rede pública no servidor e banco de dados.

Quando essa configuração é definida como SIM, somente as conexões por meio de pontos de extremidade privados são permitidas para o Banco de Dados do Azure para MariaDB. Quando essa configuração é definida como NÃO, os clientes podem se conectar ao Banco de Dados do Azure para MariaDB com base em suas configurações de firewall ou de ponto de extremidade de serviço da VNet. Além disso, quando o valor do acesso à rede privada estiver definido, os clientes não poderão adicionar e/ou atualizar as existentes “regras de firewall” e “regras de ponto de extremidade de serviço de VNet”.

Observação

Esse recurso está disponível em todas as regiões do Azure nas quais o Banco de Dados do Azure para PostgreSQL - Servidor único dá suporte aos tipos de preço "Uso Geral" e "Otimizado para Memória".

Essa configuração não tem nenhum impacto sobre as configurações de SSL e TLS para o Banco de Dados do Azure para MariaDB.

Para saber como definir a opção Negar acesso à rede pública para seu Banco de Dados do Azure para MariaDB do portal do Azure, confira Como configurar a opção de negar acesso à rede pública.

Próximas etapas

Para saber mais sobre os recursos de segurança do Banco de Dados do Azure para MariaDB, confira os seguintes artigos: