MariaDB için Azure Veritabanı'nda Sanal Ağ hizmet uç noktalarını ve kuralları kullanma

  • Makale
  • Okumak için 6 dakika

Sanal ağ kuralları, sanal sunucunuzda sanal ağlarda belirli alt ağlardan gönderilen MariaDB için Azure Veritabanı kabul edip etmeyişini kontrol eden bir güvenlik duvarı özelliğidir. Bu makalede, sanal ağ kuralı özelliğinin bazen sanal sunucunuzla güvenli bir şekilde iletişim sağlamak için neden en iyi MariaDB için Azure Veritabanı açıklanmıştır.

Bir sanal ağ kuralı oluşturmak için öncelikle kuralın başvur başvurarak bir sanal ağ (VNet) ve bir sanal ağ hizmet uç noktası olması gerekir. Aşağıdaki resimde Sanal Ağ hizmet uç noktasının sanal ağ ile nasıl MariaDB için Azure Veritabanı:

Sanal Ağ Hizmet Uç Noktasının nasıl çalıştığının örneği

Not

Bu özellik Azure'ın tüm bölgelerinde kullanılabilir ve MariaDB için Azure Veritabanı ve Bellek için Genel Amaçlı için dağıtılır.

Bağlantılar için Özel Bağlantı kullanmayı da düşünebilirsiniz. Özel Bağlantı, sanal ağ sunucunuz için sanal ağ üzerinde özel MariaDB için Azure Veritabanı sağlar.

Terminoloji ve açıklama

Sanal ağ: Azure aboneliğiniz ile ilişkili sanal ağlara sahip olabilirsiniz.

Alt ağ: Sanal ağ alt ağları içerir. Sahip olduğunuz tüm Azure sanal makineleri (VM) alt ağlara atanır. Bir alt ağ birden çok VM veya başka işlem düğümü içerebilir. Güvenliğinizi erişime izin verecek şekilde yapılandırmadıkça, sanal ağ dışından işlem düğümleri sanal ağınıza erişamaz.

Sanal Ağ hizmet uç noktası: Sanal Ağ hizmet uç noktası, özellik değerleri bir veya daha fazla resmi Azure hizmet türü adı içeren bir alt ağdır. Bu makalede, microsoft.sql adlı Azure hizmetine başvuran Microsoft.Sql türü adı SQL Veritabanı. Bu hizmet etiketi MariaDB için Azure Veritabanı, MySQL ve PostgreSQL hizmetleri için de geçerlidir. Microsoft.Sql hizmet etiketini bir sanal ağ hizmet uç noktasına uygularken, alt ağ üzerinde tüm Azure SQL Veritabanı, MariaDB için Azure Veritabanı, MySQL için Azure Veritabanı ve PostgreSQL için Azure Veritabanı sunucuları için hizmet uç noktası trafiğini yapılandıracak olması önemlidir.

Sanal ağ kuralı: MariaDB için Azure Veritabanı sunucunuz için bir sanal ağ kuralı, ağ sunucunuzda erişim denetimi listesinde (ACL) listelenen MariaDB için Azure Veritabanı alt ağdır. Ağ sunucunuz için ACL'de MariaDB için Azure Veritabanı alt ağın Microsoft.Sql tür adını içermesi gerekir.

Sanal ağ kuralı, MariaDB için Azure Veritabanı sunucunuza alt ağ üzerinde yer alan her düğümden gelen iletişimi kabul etmelerini söyler.

Sanal ağ kuralının avantajları

Siz eyleme geçene kadar alt ağlarınız üzerinde yer alan VM'ler, MariaDB için Azure Veritabanı iletişim kuramaz. İletişimi kuran eylemlerden biri, sanal ağ kuralının oluşturulmasıdır. Sanal ağ kuralı yaklaşımını seçme gerekçesi, güvenlik duvarı tarafından sunulan rakip güvenlik seçeneklerini içeren karşılaştırma ve karşıtlıklı bir tartışma gerektirir.

A. Azure hizmetlerine erişim izni verme

Bağlantı güvenliği bölmesinde, Azure hizmetleri için erişime izin ver etiketli bir AÇ/KAPAT düğmesi vardır. ON ayarı, tüm Azure IP adreslerinden ve tüm Azure alt ağlarından gelen iletişimlere izin verir. Bu Azure IP'leri veya alt ağları size ait değildir. Bu ON ayarı büyük olasılıkla Veritabanınızı istediğinizden MariaDB için Azure Veritabanı açıktır. Sanal ağ kuralı özelliği çok daha ayrıntılı denetim sunar.

B. IP kuralları

Bu MariaDB için Azure Veritabanı güvenlik duvarı, iletişimlerin sunucuya kabul edilerek IP adresi aralıklarını MariaDB için Azure Veritabanı sağlar. Bu yaklaşım, Azure özel ağının dışındaki kararlı IP adresleri için uygun bir yaklaşımdır. Ancak Azure özel ağı içindeki birçok düğüm dinamik IP adresleriyle yapılandırılır. Vm'niz yeniden başlatıldığında olduğu gibi dinamik IP adresleri değişebilir. Üretim ortamında bir güvenlik duvarı kuralında dinamik IP adresi belirtmek çok iyi bir uygulamadır.

VM'niz için statik bir IP adresi edinerek IP seçeneğini kurtarabilirsiniz. Ayrıntılar için bkz. Sanal makine içinözel IP adreslerini yapılandırma Azure portal.

Ancak statik IP yaklaşımını yönetmek zor olabilir ve büyük ölçekte yapılması maliyetlidir. Sanal ağ kurallarını oluşturmak ve yönetmek daha kolaydır.

Sanal ağ kurallarıyla ilgili ayrıntılar

Bu bölümde sanal ağ kurallarıyla ilgili çeşitli ayrıntılar açıkılmıştır.

Yalnızca bir coğrafi bölge

Her Sanal Ağ hizmet uç noktası yalnızca bir Azure bölgesi için geçerlidir. Uç nokta, diğer bölgelerin alt ağdan iletişimi kabul etmelerini etkinleştirmez.

Tüm sanal ağ kuralları, temel uç noktasının geçerli olduğu bölgeyle sınırlıdır.

Veritabanı düzeyinde değil sunucu düzeyinde

Her sanal ağ kuralı yalnızca sunucu MariaDB için Azure Veritabanı veritabanı için değil, tüm sanal sunucunuz için geçerlidir. Başka bir deyişle, sanal ağ kuralı veritabanı düzeyinde değil sunucu düzeyinde uygulanır.

Güvenlik yönetimi rolleri

Sanal Ağ hizmet uç noktalarının yönetiminde güvenlik rollerinin ayrımı vardır. Aşağıdaki rollerin her biri için eylem gereklidir:

  • Ağ Yöneticisi:   Uç noktayı açma.
  • Veritabanı Yöneticisi:   Verilen alt ağı sunucuya eklemek için erişim denetim listesini (ACL) MariaDB için Azure Veritabanı güncelleştirin.

Azure RBAC alternatifi:

Ağ Yöneticisi ve Veritabanı Yöneticisi rollerinin, sanal ağ kurallarını yönetmek için gerekenden daha fazla özelliği vardır. Yeteneklerinin yalnızca bir alt kümesi gereklidir.

Yalnızca gerekli özellikler alt kümesine sahip tek bir özel rol oluşturmak için Azure'da Azure rol tabanlı erişim denetimi (Azure RBAC) kullanma seçeneğiniz vardır. Özel rol, Ağ Yöneticisini veya Veritabanı Yöneticisini dahil etmek yerine kullanılabilir. Özel bir role kullanıcı eklerseniz, güvenlik açıklarının yüzey alanı daha düşüktür ve diğer iki ana yönetici rolüne kullanıcı eklemek daha düşüktür.

Not

Bazı durumlarda MariaDB için Azure Veritabanı alt ağı farklı aboneliklerdedir. Bu gibi durumlarda aşağıdaki yapılandırmalardan emin olmak gerekir:

  • Her iki abonelik de aynı kiracıda Azure Active Directory gerekir.
  • Kullanıcı, hizmet uç noktalarını etkinleştirme ve verilen Sunucuya sanal ağ alt ağı ekleme gibi işlemleri başlatmak için gerekli izinlere sahip olur.
  • Her iki abonelikte de Microsoft.Sql ve Microsoft.DBforMariaDB kaynak sağlayıcısının kayıtlı olduğundan emin olun. Daha fazla bilgi için bkz. resource-manager-registration

Sınırlamalar

Bu MariaDB için Azure Veritabanı sanal ağ kuralları özelliği aşağıdaki sınırlamalara sahiptir:

  • Web Uygulaması, sanal ağ/alt ağ içinde özel BIR IP ile eşlenmiş olabilir. Hizmet uç noktaları verilen sanal ağdan/alt ağdan AÇıK olsa bile, Web Uygulamasından sunucuya bağlantılarda sanal ağ/alt ağ kaynağı değil Azure genel IP kaynağı olur. Web Uygulamasından sanal ağ güvenlik duvarı kurallarına sahip bir sunucuya bağlantı sağlamak için Azure hizmetlerinin sunucuya erişmesine izin vermalısınız.

  • Sanal makinenizin güvenlik duvarında MariaDB için Azure Veritabanı her sanal ağ kuralı bir alt ağa başvurur. Başvurulan tüm bu alt ağlar, coğrafi bölgeyi barındıran aynı coğrafi bölgede MariaDB için Azure Veritabanı.

  • Her MariaDB için Azure Veritabanı herhangi bir sanal ağ için en fazla 128 ACL girdisi olabilir.

  • Sanal ağ kuralları yalnızca sanal Azure Resource Manager için geçerlidir; ve klasik dağıtım modeli ağlarına değil.

  • Microsoft.Sql hizmet etiketini kullanarak sanal MariaDB için Azure Veritabanı uç noktalarının açık olması, tüm Azure Veritabanı hizmetleri için uç noktaları da sağlar: MariaDB için Azure Veritabanı, MySQL için Azure Veritabanı, PostgreSQL için Azure Veritabanı, Azure SQL Veritabanı ve Azure Synapse Analytics.

  • Sanal ağ hizmet uç noktaları için destek yalnızca Genel Amaçlı ve Bellek için İyileştirilmiş sunuculara uygulanır.

  • Microsoft.Sql bir alt ağda etkinse, bağlanmak için yalnızca sanal ağ kurallarını kullanmak istediğinize işarettir. Bu alt ağda yer alan kaynakların sanal ağ dışı güvenlik duvarı kuralları çalışmaz.

  • Güvenlik duvarında IP adresi aralıkları aşağıdaki ağ öğeleri için geçerlidir, ancak sanal ağ kuralları geçerli değildir:

ExpressRoute

Ağınız ExpressRoutekullanarak Azure ağına bağlı ise, her bağlantı hattı, bağlantı hattında iki genel IP adresiyle Microsoft Edge. İki IP adresi, Azure Genel Eşlemesi kullanarak Azure Depolama Gibi Microsoft Hizmetleri'ne bağlanmak için kullanılır.

Bağlantı hattından bağlantı hattınıza MariaDB için Azure Veritabanı için bağlantı hatlarının genel IP adresleri için IP ağ kuralları oluşturmanız gerekir. ExpressRoute bağlantı hattınızı genel IP adreslerini bulmak için, ExpressRoute ile birlikte bir destek bileti açın ve Azure portal.

Sanal Ağ Hizmet Uç Noktalarını açmadan sunucunuza sanal ağ güvenlik duvarı kuralı ekleme

Yalnızca bir sanal ağ güvenlik duvarı kuralı ayarlama, sunucunun sanal ağ ile güvenliğinin güvenliğinin sağlamasını sağlamaz. Güvenliğin etkili olması için sanal ağ hizmet uç noktalarını Açık olarak da açabilirsiniz. Hizmet uç noktalarını Açık olarak kapatarak sanal ağ alt ağınız Kapalı'dan Açık'a geçişi tamamlayana kadar kapalı kalma süresiyle karşılanır. Bu durum özellikle büyük sanal ağlar bağlamında gerçekleşir. Geçiş sırasında kapalı kalma süresini azaltmak veya ortadan kaldırmak için IgnoreMissingServiceEndpoint bayrağını kullanabilirsiniz.

Azure CLI veya portalı kullanarak IgnoreMissingServiceEndpoint bayrağını ayarlayın.

Sonraki adımlar

Sanal ağ kuralları oluşturma makaleleri için bkz: