Share via

Приватный канал для Гибкого сервера Базы данных Azure для MySQL

  • Статья

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для MySQL — гибкий сервер

Приватный канал позволяет подключаться к различным службам PaaS, таким как База данных Azure для MySQL гибкий сервер в Azure через частную конечную точку. Приватный канал Azure, по сути, предоставляет службы Azure в частной виртуальной сети (VNet). Используя частный IP-адрес, гибкий сервер MySQL доступен так же, как и любой другой ресурс в виртуальной сети.

Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети.

Примечание.

  • Включение Приватный канал можно исключительно для База данных Azure для MySQL гибких экземпляров сервера, созданных с открытым доступом. Узнайте, как включить частную конечную точку с помощью портал Azure или Azure CLI.

Ниже приведены некоторые преимущества использования функции приватного сетевого канала с База данных Azure для MySQL гибким сервером.

Предотвращение кражи данных

Утечка данных в База данных Azure для MySQL гибком сервере заключается в том, что авторизованный пользователь, например администратор базы данных, может извлекать данные из одной системы и перемещать их в другое расположение или систему за пределами организации. Например, пользователь перемещает данные в учетную запись хранения, принадлежащую третьей стороне.

Теперь, используя Приватный канал, вы можете настроить элементы управления доступом к сети, например группы безопасности сети, чтобы ограничить доступ к частной конечной точке. При сопоставлении отдельных ресурсов Azure PaaS с определенными частными конечными точками доступ ограничен исключительно указанным ресурсом PaaS. Это позволяет злоумышленнику получить доступ к любому другому ресурсу за пределами авторизованного область.

Локальные подключения через частный пиринг

При подключении к общедоступной конечной точке с локальных компьютеров ip-адрес необходимо добавить в брандмауэр на основе IP-адресов с помощью правила брандмауэра на уровне сервера. Хотя эта модель позволяет получить доступ к отдельным компьютерам для разработки или тестирования рабочих нагрузок, трудно управлять в рабочей среде.

С помощью Приватный канал можно включить междоменный доступ к частной конечной точке с помощью Express Route (ER), частного пиринга или VPN-туннеля. Затем они могут отключить весь доступ через общедоступную конечную точку и не использовать брандмауэр на основе IP-адресов.

Примечание.

В некоторых случаях гибкий экземпляр сервера База данных Azure для MySQL и подсеть виртуальной сети находятся в разных подписках. В этих случаях необходимо обеспечить указанную ниже конфигурацию.

  • Убедитесь, что обе подписки зарегистрированы поставщиком ресурсов Microsoft.DBforMySQL/flexibleServers . Дополнительные сведения см. в разделе resource-manager-registration.

Клиенты могут подключаться к частной конечной точке из одной виртуальной сети, пиринговой виртуальной сети в одном регионе или между регионами или через подключение между виртуальными сетями в разных регионах. Кроме того, клиенты могут подключаться из локальной среды с помощью ExpressRoute, частного пиринга или VPN-туннелирования. Ниже приведена упрощенная схема, на которой показаны распространенные варианты использования.

Diagram of private link.

Подключение из виртуальной машины Azure в одноранговой виртуальной сети (виртуальная сеть)

Настройте пиринг виртуальных сетей, чтобы установить подключение к Базе данных Azure для MySQL из виртуальной машины Azure в одноранговой виртуальной сети.

Подключение из виртуальной машины Azure в среде виртуальной сети и виртуальной сети

Настройте подключение VPN-шлюза "виртуальная сеть — виртуальная сеть", чтобы установить подключение к гибкому экземпляру сервера База данных Azure для MySQL из виртуальной машины Azure в другом регионе или подписке.

Подключение из локальной среды через VPN

Чтобы установить подключение из локальной среды к База данных Azure для MySQL гибкому экземпляру сервера, выберите один из вариантов:

Объединение Приватный канал с правилами брандмауэра может привести к нескольким сценариям и результатам:

  • База данных Azure для MySQL гибкий экземпляр сервера недоступен без правил брандмауэра или частной конечной точки. Сервер становится недоступным, если все утвержденные частные конечные точки удаляются или отклоняются, а общедоступный доступ не настроен.

  • Частные конечные точки являются единственным средством доступа к База данных Azure для MySQL гибкому экземпляру сервера, если общедоступный трафик запрещен.

  • Различные формы входящего трафика авторизованы на основе соответствующих правил брандмауэра, если общедоступный доступ включен с частными конечными точками.

Запрет общедоступного доступа

Вы можете отключить общедоступный доступ на База данных Azure для MySQL гибком экземпляре сервера, если вы предпочитаете полагаться исключительно на частные конечные точки для доступа.

Screenshot of public access checkbox.

Клиенты могут подключаться к серверу на основе конфигурации брандмауэра, если этот параметр включен. Если этот параметр отключен, разрешены только подключения через частные конечные точки, и пользователи не могут изменять правила брандмауэра.

Примечание.

Этот параметр не влияет на конфигурации SSL и TLS для вашего База данных Azure для MySQL гибкого экземпляра сервера.

Сведения о настройке запрета доступа к общедоступной сети для База данных Azure для MySQL гибкого экземпляра сервера из портал Azure см. в статье "Запрет доступа к общедоступной сети" с помощью портал Azure.

Ограничение

Когда пользователь пытается удалить гибкий экземпляр сервера База данных Azure для MySQL и частную конечную точку одновременно, он может столкнуться с ошибкой внутреннего сервера. Чтобы избежать этой проблемы, сначала рекомендуется удалить частные конечные точки, а затем продолжить удаление База данных Azure для MySQL гибкого экземпляра сервера после короткой паузы.

Следующие шаги

Дополнительные сведения о База данных Azure для MySQL гибких функциях безопасности сервера см. в следующих статьях: