Använda tjänstslutpunkter för virtuellt nätverk och regler för Azure Database for MariaDB

  • Artikel
  • 6 minuter för att läsa

Regler för virtuella nätverk är en brandväggssäkerhetsfunktion som styr Azure Database for MariaDB servern accepterar kommunikation som skickas från specifika undernät i virtuella nätverk. Den här artikeln förklarar varför funktionen för regler för virtuellt nätverk ibland är det bästa alternativet för att på ett säkert sätt tillåta kommunikation Azure Database for MariaDB servern.

Om du vill skapa en regel för virtuellt nätverk måste det först finnas ett virtuellt nätverk (VNet) och en tjänstslutpunkt för virtuellt nätverk som regeln ska referera till. Följande bild illustrerar hur en Virtual Network-tjänstslutpunkt fungerar med Azure Database for MariaDB:

Exempel på hur en VNet-tjänstslutpunkt fungerar

Anteckning

Den här funktionen är tillgänglig i alla regioner i Azure där Azure Database for MariaDB distribueras för Generell användning och minnesoptimerade servrar.

Du kan också överväga att använda Private Link för anslutningar. Private Link en privat IP-adress i ditt VNet för Azure Database for MariaDB servern.

Terminologi och beskrivning

Virtuellt nätverk: Du kan ha virtuella nätverk som är associerade med din Azure-prenumeration.

Undernät: Ett virtuellt nätverk innehåller undernät. Alla virtuella Azure-datorer (VM) som du har tilldelats till undernät. Ett undernät kan innehålla flera virtuella datorer eller andra beräkningsnoder. Beräkningsnoder utanför ditt virtuella nätverk kan inte komma åt ditt virtuella nätverk om du inte konfigurerar din säkerhet för att tillåta åtkomst.

Virtual Network tjänstslutpunkt: En Virtual Network tjänstslutpunkt är ett undernät vars egenskapsvärden innehåller ett eller flera formella namn på Azure-tjänsttyper. I den här artikeln är vi intresserade av typnamnet Microsoft.Sql, som refererar till Azure-tjänsten med namnet SQL Database. Den här tjänsttaggen gäller även för Azure Database for MariaDB-, MySQL- och PostgreSQL-tjänster. Det är viktigt att observera att när du tillämpar Microsoft.Sql-tjänsttaggen på en VNet-tjänstslutpunkt konfigureras tjänstslutpunktstrafik för alla Azure SQL Database-, Azure Database for MariaDB-, Azure Database for MySQL- och Azure Database for PostgreSQL-servrar i undernätet.

Regel för virtuellt nätverk: En regel för virtuellt nätverk för Azure Database for MariaDB-servern är ett undernät som listas i åtkomstkontrollista (ACL) för din Azure Database for MariaDB server. För att vara i ACL för din Azure Database for MariaDB måste undernätet innehålla typnamnet Microsoft.Sql.

En regel för virtuellt nätverk uppmanar Azure Database for MariaDB servern att acceptera kommunikation från varje nod som finns i undernätet.

Fördelar med en regel för virtuellt nätverk

Innan du har vidta åtgärder kan de virtuella datorerna i dina undernät inte kommunicera med din Azure Database for MariaDB server. En åtgärd som upprättar kommunikationen är att skapa en regel för virtuellt nätverk. Logiken för att välja VNet-regel tillvägagångssätt kräver en jämförelse och kontrast-diskussion som rör de konkurrerande säkerhetsalternativ som erbjuds av brandväggen.

A. Tillåt åtkomst till Azure-tjänster

Fönstret Anslutningssäkerhet har en PÅ/AV-knapp med etiketten Tillåt åtkomst till Azure-tjänster. Inställningen tillåter kommunikation från alla Azure IP-adresser och alla Azure-undernät. Dessa Azure-IP-adresser eller undernät kanske inte ägs av dig. Den här INSTÄLLNINGEN är förmodligen mer öppen än du vill att Azure Database for MariaDB Database ska vara. Funktionen för regler för virtuellt nätverk ger mycket finare detaljerad kontroll.

B. IP-regler

Med Azure Database for MariaDB brandväggen kan du ange IP-adressintervall från vilka kommunikation godkänns till Azure Database for MariaDB servern. Den här metoden fungerar bra för stabila IP-adresser som ligger utanför det privata Azure-nätverket. Men många noder i det privata Azure-nätverket konfigureras med dynamiska IP-adresser. Dynamiska IP-adresser kan ändras, till exempel när den virtuella datorn startas om. Det skulle vara då att ange en dynamisk IP-adress i en brandväggsregel i en produktionsmiljö.

Du kan använda IP-alternativet för att få en statisk IP-adress för den virtuella datorn. Mer information finns i Konfigurera privata IP-adresser för en virtuell dator med hjälp av Azure Portal.

Den statiska IP-metoden kan dock bli svår att hantera och det är dyrt när den görs i stor skala. Regler för virtuella nätverk är enklare att upprätta och hantera.

Information om regler för virtuellt nätverk

I det här avsnittet beskrivs flera detaljer om regler för virtuella nätverk.

Endast ett geografiskt område

Varje Virtual Network tjänstslutpunkt gäller endast för en Azure-region. Slutpunkten gör det inte möjligt för andra regioner att acceptera kommunikation från undernätet.

Alla regler för virtuella nätverk är begränsade till den region som dess underliggande slutpunkt gäller för.

Servernivå, inte databasnivå

Varje regel för virtuellt nätverk gäller för hela Azure Database for MariaDB, inte bara för en viss databas på servern. Med andra ord gäller regeln för virtuellt nätverk på servernivå, inte på databasnivå.

Säkerhetsadministrationsroller

Det finns en uppdelning av säkerhetsroller i administrationen Virtual Network tjänstslutpunkter. Åtgärd krävs från var och en av följande roller:

  • Nätverksadministratör:   Aktivera slutpunkten.
  • Databasadministratör:   Uppdatera åtkomstkontrollista (ACL) för att lägga till det angivna undernätet till Azure Database for MariaDB servern.

Azure RBAC-alternativ:

Rollerna nätverksadministratör och databasadministratör har fler funktioner än vad som behövs för att hantera regler för virtuella nätverk. Endast en delmängd av deras funktioner behövs.

Du kan välja att använda rollbaserad åtkomstkontroll i Azure (Azure RBAC) i Azure för att skapa en enda anpassad roll som bara har den nödvändiga delmängden funktioner. Den anpassade rollen kan användas i stället för att involvera antingen nätverksadministratören eller databasadministratören. Ytan för din säkerhetsexponering är lägre om du lägger till en användare i en anpassad roll, jämfört med att lägga till användaren i de andra två större administratörsrollerna.

Anteckning

I vissa fall Azure Database for MariaDB och VNet-undernätet i olika prenumerationer. I dessa fall måste du se till att följande konfigurationer:

  • Båda prenumerationerna måste finnas i samma Azure Active Directory klientorganisation.
  • Användaren har de behörigheter som krävs för att initiera åtgärder, till exempel aktivera tjänstslutpunkter och lägga till ett VNet-undernät till den angivna servern.
  • Se till att både prenumerationen har resursprovidern Microsoft.Sql och Microsoft.DBforPoolaDB registrerad. Mer information finns i resource-manager-registration

Begränsningar

För Azure Database for MariaDB har funktionen regler för virtuella nätverk följande begränsningar:

  • En webbapp kan mappas till en privat IP-adress i ett VNet/undernät. Även om tjänstslutpunkter är påslagna från det angivna virtuella nätverket/undernätet har anslutningar från webbappen till servern en offentlig IP-källa i Azure, inte en VNet/undernätskälla. Om du vill aktivera anslutning från en webbapp till en server som har VNet-brandväggsregler måste du tillåta Azure-tjänster att komma åt servern på servern.

  • I brandväggen för din Azure Database for MariaDB refererar varje regel för virtuellt nätverk till ett undernät. Alla dessa refererade undernät måste finnas i samma geografiska region som är värd för Azure Database for MariaDB.

  • Varje Azure Database for MariaDB server kan ha upp till 128 ACL-poster för ett visst virtuellt nätverk.

  • Regler för virtuellt nätverk gäller endast för Azure Resource Manager virtuella nätverk. och inte till klassiska distributionsmodellnätverk.

  • Om du aktiverar tjänstslutpunkter för virtuellt nätverk till Azure Database for MariaDB med tjänsttaggen Microsoft.Sql aktiveras även slutpunkterna för alla Azure Database-tjänster: Azure Database for MariaDB, Azure Database for MySQL, Azure Database for PostgreSQL, Azure SQL Database och Azure Synapse Analytics.

  • Stöd för VNet-tjänstslutpunkter gäller endast för Generell användning och minnesoptimerade servrar.

  • Om Microsoft.Sql är aktiverat i ett undernät indikerar det att du bara vill använda VNet-regler för att ansluta. Icke-VNet-brandväggsregler för resurser i det undernätet fungerar inte.

  • IP-adressintervall i brandväggen gäller för följande nätverksobjekt, men regler för virtuella nätverk gäller inte:

ExpressRoute

Om ditt nätverk är anslutet till Azure-nätverket via ExpressRoutekonfigureras varje krets med två offentliga IP-adresser på Microsoft Edge. De två IP-adresserna används för att ansluta till Microsoft-tjänster, till exempel för Azure Storage, med hjälp av Azures offentliga peering.

Om du vill tillåta kommunikation från kretsen Azure Database for MariaDB måste du skapa IP-nätverksregler för de offentliga IP-adresserna för dina kretsar. För att hitta de offentliga IP-adresserna för din ExpressRoute-krets öppnar du en supportbiljett med ExpressRoute med hjälp av Azure Portal.

Lägga till en VNET-brandväggsregel på servern utan att aktivera VNET-tjänstslutpunkter

Att bara ange en VNet-brandväggsregel hjälper inte att skydda servern mot det virtuella nätverket. Du måste också aktivera VNet-tjänstslutpunkter för att säkerheten ska gälla. När du aktiverar tjänstslutpunkter upplever ditt VNet-undernät avbrott tills övergången från Av tillär klar. Detta gäller särskilt för stora virtuella nätverk. Du kan använda flaggan IgnoreMissingServiceEndpoint för att minska eller eliminera avbrottstiden under övergången.

Du kan ange flaggan IgnoreMissingServiceEndpoint med hjälp av Azure CLI eller portalen.

Nästa steg

Artiklar om hur du skapar VNet-regler finns i: