Regras de firewall do servidor da Base de Dados do Azure para MySQL

APLICA-SE A: Banco de Dados do Azure para MySQL - Servidor Único

Importante

O servidor único do Banco de Dados do Azure para MySQL está no caminho de desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para o servidor flexível MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para servidor flexível MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único MySQL?

Os firewalls impedem todo o acesso ao servidor de banco de dados até que você especifique quais computadores têm permissão. A firewall concede acesso ao servidor com base no endereço IP de origem de cada pedido.

Para configurar um firewall, crie regras de firewall que especifiquem intervalos de endereços IP aceitáveis. Pode criar regras da firewall ao nível do servidor.

Regras de firewall: essas regras permitem que os clientes acessem todo o seu Banco de Dados do Azure para o servidor MySQL, ou seja, todos os bancos de dados dentro do mesmo servidor lógico. As regras de firewall no nível de servidor podem ser configuradas usando o portal do Azure ou os comandos da CLI do Azure. Para criar regras da firewall ao nível do servidor, tem de ser o proprietário da subscrição ou um contribuinte da subscrição.

Descrição geral das firewalls

Todo o acesso ao banco de dados do Azure para seu servidor MySQL é, por padrão, bloqueado pelo firewall. Para começar a usar o servidor de outro computador, você precisa especificar uma ou mais regras de firewall no nível do servidor para habilitar o acesso ao servidor. Use as regras de firewall para especificar quais endereços IP variam da Internet para permitir. O acesso ao próprio site do portal do Azure não é afetado pelas regras de firewall.

As tentativas de conexão da Internet e do Azure devem primeiro passar pelo firewall antes de poderem acessar seu Banco de Dados do Azure para banco de dados MySQL, conforme mostrado no diagrama a seguir:

Ligar a partir da Internet

As regras de firewall no nível de servidor se aplicam a todos os bancos de dados no Banco de Dados do Azure para o servidor MySQL.

Se o endereço IP da solicitação estiver dentro de um dos intervalos especificados nas regras de firewall no nível do servidor, a conexão será concedida.

Se o endereço IP da solicitação estiver fora dos intervalos especificados em qualquer uma das regras de firewall no nível do banco de dados ou no nível do servidor, a solicitação de conexão falhará.

Ligar a partir do Azure

É recomendável que você encontre o endereço IP de saída de qualquer aplicativo ou serviço e permita explicitamente o acesso a esses endereços IP individuais ou intervalos. Por exemplo, você pode encontrar o endereço IP de saída de um Serviço de Aplicativo do Azure ou usar um IP público vinculado a uma máquina virtual ou outro recurso (veja abaixo para obter informações sobre como se conectar com o IP privado de uma máquina virtual sobre pontos de extremidade de serviço).

Se um endereço IP de saída fixo não estiver disponível para seu serviço do Azure, você poderá considerar habilitar conexões de todos os endereços IP do datacenter do Azure. Essa configuração pode ser habilitada no portal do Azure definindo a opção Permitir acesso aos serviços do Azure como ATIVADA no painel de segurança Conexão e pressionando Salvar. Na CLI do Azure, uma configuração de regra de firewall com endereço inicial e final igual a 0.0.0.0 faz o equivalente. Se a tentativa de conexão não for permitida, a solicitação não chegará ao Banco de Dados do Azure para o servidor MySQL.

Importante

A opção Allow access to Azure services (Permitir acesso aos serviços do Azure) configura a firewall para permitir todas as ligações a partir do Azure, incluindo ligações de subscrições de outros clientes. Quando selecionar esta opção, certifique-se de que as suas permissões de início de sessão e de utilizador limitam o acesso apenas a utilizadores autorizados.

Conectando-se a partir de uma rede virtual

Para se conectar com segurança ao seu Banco de Dados do Azure para servidor MySQL a partir de uma VNet, considere usar pontos de extremidade de serviço VNet.

Gerir regras de firewall programaticamente

Além do portal do Azure, as regras de firewall podem ser gerenciadas programaticamente usando a CLI do Azure. Consulte também Criar e gerenciar o Banco de Dados do Azure para regras de firewall do MySQL usando a CLI do Azure

Resolver problemas da firewall

Considere os seguintes pontos quando o acesso ao serviço de servidor Banco de Dados do Microsoft Azure para MySQL não se comportar conforme o esperado:

• As alterações na lista de permissões ainda não entraram em vigor: pode haver um atraso de até cinco minutos para que as alterações no Banco de Dados do Azure para que a configuração do firewall do MySQL Server entre em vigor.

• O logon não está autorizado ou uma senha incorreta foi usada: se um logon não tiver permissões no Banco de Dados do Azure para o servidor MySQL ou se a senha usada estiver incorreta, a conexão com o Banco de Dados do Azure para o servidor MySQL será negada. Criar uma definição de firewall só proporciona aos clientes uma oportunidade para tentar ligar ao seu servidor; cada cliente tem de indicar as credenciais de segurança necessárias.

• Endereço IP dinâmico: Se tiver uma ligação à Internet com endereçamento IP dinâmico e estiver a ter problemas para passar pela firewall, pode tentar uma das seguintes soluções:

  • Peça ao seu Provedor de Serviços de Internet (ISP) o intervalo de endereços IP atribuído aos computadores clientes que acessam o Banco de Dados do Azure para o servidor MySQL e adicione o intervalo de endereços IP como uma regra de firewall.

  • Em alternativa, obtenha o endereçamento IP estático para os computadores cliente e adicione os endereços IP como regras de firewall.

• O IP do servidor parece ser público: as conexões com o Banco de Dados do Azure para o servidor MySQL são roteadas por meio de um gateway do Azure acessível publicamente. No entanto, o IP real do servidor está protegido pela firewall. Para obter mais informações, veja o artigo sobre a arquitetura de conectividade.

• Não é possível conectar-se a partir do recurso do Azure com IP permitido: verifique se o ponto de extremidade do serviço Microsoft.Sql está habilitado para a sub-rede a partir da qual você está se conectando. Se o Microsoft.Sql estiver habilitado, isso indica que você deseja usar apenas as regras de ponto de extremidade do serviço VNet nessa sub-rede.

  Por exemplo, você pode ver o seguinte erro se estiver se conectando de uma VM do Azure em uma sub-rede que tenha o Microsoft.Sql habilitado, mas não tenha nenhuma regra de VNet correspondente:FATAL: Client from Azure Virtual Networks is not allowed to access the server

• A regra de firewall não está disponível para o formato IPv6: as regras de firewall devem estar no formato IPv4. Se especificar as regras da firewall no formato IPv6, é apresentado o erro de validação.

Próximos passos

• Criar e gerenciar regras de firewall do Banco de Dados do Azure para MySQL usando o portal do Azure
• Criar e gerenciar regras de firewall do Banco de Dados do Azure para MySQL usando a CLI do Azure
• Pontos de extremidade do serviço VNet no Banco de Dados do Azure para MySQL