MySQL için Azure Veritabanı’na Yönelik Özel Bağlantı

ŞUNLAR IÇIN GEÇERLIDIR: MySQL için Azure Veritabanı - Tek Sunucu

Önemli

MySQL için Azure Veritabanı tek sunucu kullanımdan kaldırma yolundadır. Esnek MySQL için Azure Veritabanı sunucuya yükseltmenizi kesinlikle öneririz. MySQL için Azure Veritabanı esnek sunucuya geçiş hakkında daha fazla bilgi için bkz. MySQL için Azure Veritabanı Tek Sunucu'ya neler oluyor?

Özel Bağlantı Azure’daki çeşitli PaaS hizmetlerine özel bir uç nokta üzerinden bağlanmanızı sağlar. Azure Özel Bağlantı, Azure hizmetlerini özel sanal ağınıza (VNet) getirir. Sanal ağdaki diğer kaynaklar gibi PaaS kaynaklarına da özel IP adresini kullanarak erişebilirsiniz.

Özel Bağlantı işlevselliği destekleyen PaaS hizmetlerinin listesi için Özel Bağlantı belgelerini gözden geçirin. Özel uç nokta, belirli bir Sanal Ağ veya Alt Ağ içinde yer alan özel IP adresidir.

Dekont

Özel bağlantı özelliği yalnızca Genel Amaçlı veya Bellek için İyileştirilmiş fiyatlandırma katmanlarındaki MySQL için Azure Veritabanı sunucularda kullanılabilir. Veritabanı sunucusunun bu fiyatlandırma katmanlarından birinde olduğundan emin olun.

Veri sızdırmayı önleme

MySQL için Azure Veritabanı veri sızdırma, veritabanı yöneticisi gibi yetkili bir kullanıcının verileri bir sistemden ayıklayıp kuruluş dışındaki başka bir konuma veya sisteme taşıyabilmesidir. Örneğin, kullanıcı verileri üçüncü bir tarafa ait bir depolama hesabına taşır.

Kullanıcının Batı ABD'de sağlanan bir MySQL için Azure Veritabanı sunucusuna bağlanan bir Azure Sanal Makinesi (VM) içinde MySQL Workbench çalıştırdığını düşünün. Aşağıdaki örnekte, ağ erişim denetimlerini kullanarak MySQL için Azure Veritabanı üzerinde genel uç noktalarla erişimin nasıl sınırlandırılması gösterilmektedir.

• Azure Hizmetlerine İzin Ver ayarını KAPALI olarak ayarlayarak genel uç nokta üzerinden MySQL için Azure Veritabanı tüm Azure hizmet trafiğini devre dışı bırakın. Güvenlik duvarı kuralları veya sanal ağ hizmet uç noktaları aracılığıyla sunucuya hiçbir IP adresinin veya aralığın erişmesine izin verilmediğinden emin olun.

• Yalnızca VM'nin Özel IP adresini kullanarak MySQL için Azure Veritabanı trafiğe izin verin. Daha fazla bilgi için Hizmet Uç Noktası ve sanal ağ güvenlik duvarı kuralları makalelerine bakın.

• Azure VM'de, Ağ Güvenlik Grupları (NSG) ve Hizmet Etiketleri'ni kullanarak giden bağlantı kapsamını aşağıda gösterildiği gibi daraltın

  • Hizmet Etiketi = SQL trafiğine izin vermek için bir NSG kuralı belirtin. WestU'lar - yalnızca Batı ABD'deki MySQL için Azure Veritabanı bağlantılarına izin verme
  • Hizmet Etiketi = SQL için trafiği reddetmek için bir NSG kuralı (daha yüksek öncelikli) belirtin - Tüm bölgelerdeki MySQL için Azure Veritabanı güncelleştirme bağlantılarını reddetme
    
    

Bu kurulumun sonunda Azure VM yalnızca Batı ABD bölgesindeki MySQL için Azure Veritabanı bağlanabilir. Ancak, bağlantı tek bir MySQL için Azure Veritabanı ile sınırlı değildir. VM, aboneliğin parçası olmayan veritabanları da dahil olmak üzere Batı ABD bölgesindeki herhangi bir MySQL için Azure Veritabanı bağlanmaya devam edebilir. Yukarıdaki senaryoda veri sızdırma kapsamını belirli bir bölgeye indirgemiş olsak da, bunu tamamen ortadan kaldırmadık.

Özel Bağlantı ile artık özel uç noktaya erişimi kısıtlamak için NSG'ler gibi ağ erişim denetimleri ayarlayabilirsiniz. Tek tek Azure PaaS kaynakları daha sonra belirli özel uç noktalara eşlenir. Kötü niyetli bir insider yalnızca eşlenen PaaS kaynağına (örneğin bir MySQL için Azure Veritabanı) erişebilir ve başka bir kaynağa erişemez.

Özel eşleme üzerinde şirket içi bağlantısı

Şirket içi makinelerden genel uç noktaya bağlandığınızda, IP adresinizin sunucu düzeyinde güvenlik duvarı kuralı kullanılarak IP tabanlı güvenlik duvarına eklenmesi gerekir. Bu model geliştirme veya test iş yükleri için tek tek makinelere erişime izin vermek için iyi çalışsa da, üretim ortamında yönetmek zordur.

Özel Bağlantı ile Express Route (ER), özel eşleme veya VPN tüneli kullanarak özel uç noktaya şirket içi çapraz erişimi etkinleştirebilirsiniz. Daha sonra genel uç nokta üzerinden tüm erişimi devre dışı bırakabilir ve IP tabanlı güvenlik duvarını kullanamazlar.

Dekont

Bazı durumlarda MySQL için Azure Veritabanı ve sanal ağ alt ağı farklı aboneliklerdedir. Bu durumlarda aşağıdaki yapılandırmalardan emin olmanız gerekir:

• Her iki abonelikte de Microsoft.DBforMySQL kaynak sağlayıcısının kayıtlı olduğundan emin olun. Daha fazla bilgi için bkz. resource-manager-registration

MySQL için Azure Veritabanı için Özel Bağlantı yapılandırma

Oluşturma İşlemi

Özel Bağlantı etkinleştirmek için özel uç noktalar gereklidir. Bu, aşağıdaki nasıl yapılır kılavuzları kullanılarak yapılabilir.

• Azure portalı
• CLI

Onay İşlemi

Ağ yöneticisi özel uç noktayı (PE) oluşturduktan sonra, MySQL yöneticisi özel uç nokta Bağlan ion'ı (PEC) MySQL için Azure Veritabanı yönetebilir. Ağ yöneticisi ile DBA arasındaki bu görev ayrımı, MySQL için Azure Veritabanı bağlantısının yönetimine yardımcı olur.

• Azure portalında MySQL için Azure Veritabanı sunucu kaynağına gidin.
  • Sol bölmede özel uç nokta bağlantılarını seçin
  • Tüm özel uç nokta Bağlan ionlarının (PEC) listesini gösterir
  • Karşılık gelen özel uç nokta (PE) oluşturuldu

• Listeden tek bir PEC'yi seçerek seçin.

• MySQL sunucu yöneticisi PEC'yi onaylamayı veya reddetmeyi seçebilir ve isteğe bağlı olarak kısa metin yanıtı ekleyebilir.

• Onay veya reddedildikten sonra, liste yanıt metniyle birlikte uygun durumu yansıtır

MySQL için Azure Veritabanı için Özel Bağlantı kullanım örnekleri

İstemciler aynı sanal ağdan, aynı bölgedeki eşlenmiş sanal ağdan veya bölgeler arasında sanal ağdan sanal ağa bağlantı yoluyla özel uç noktaya bağlanabilir. Ayrıca, istemciler ExpressRoute, özel eşleme veya VPN tüneli kullanarak şirket içinden bağlanabilir. Aşağıda yaygın kullanım örneklerini gösteren basitleştirilmiş bir diyagram yer almaktadır.

Eşlenmiş Sanal Ağ(VNet) içindeki bir Azure VM'den Bağlan

Eşlenmiş bir VNet'teki Azure VM'sinden MySQL için Azure Veritabanı bağlantı kurmak için sanal ağ eşlemesini yapılandırın.

Sanal ağdan sanal ağa ortamda azure vm'sinden Bağlan

Farklı bir bölgedeki veya abonelikteki Bir Azure VM'sinden MySQL için Azure Veritabanı bağlantı kurmak için Sanal Ağdan Sanal Ağa VPN ağ geçidi bağlantısını yapılandırın.

VPN üzerinden şirket içi ortamdan Bağlanma

Şirket içi ortamdan MySQL için Azure Veritabanı bağlantı kurmak için seçeneklerden birini seçin ve uygulayın:

• Noktadan siteye bağlantı
• Siteler arası VPN bağlantısı
• ExpressRoute bağlantı hattı

Güvenlik duvarı kurallarıyla birlikte Özel Bağlantı

Güvenlik duvarı kurallarıyla birlikte Özel Bağlantı kullandığınızda aşağıdaki durumlar ve sonuçlar mümkündür:

• Herhangi bir güvenlik duvarı kuralı yapılandırmazsanız, varsayılan olarak hiçbir trafik MySQL için Azure Veritabanı erişemez.

• Genel trafiği veya bir hizmet uç noktasını yapılandırıp özel uç noktalar oluşturursanız, ilgili güvenlik duvarı kuralı türüne göre farklı gelen trafik türleri yetkilendirilmiş olur.

• Genel trafik veya hizmet uç noktası yapılandırmazsanız ve özel uç noktalar oluşturursanız, MySQL için Azure Veritabanı yalnızca özel uç noktalar üzerinden erişilebilir. Genel trafiği veya hizmet uç noktasını yapılandırmazsanız, onaylanan tüm özel uç noktalar reddedildikten veya silindikten sonra hiçbir trafik MySQL için Azure Veritabanı erişemez.

MySQL için Azure Veritabanı için genel erişimi reddetme

MySQL için Azure Veritabanı erişmek için yalnızca özel uç noktaları kullanmak istiyorsanız, veritabanı sunucusunda Genel Ağ Erişimini Reddet yapılandırmasını ayarlayarak tüm genel uç noktaları (güvenlik duvarı kuralları ve sanal ağ hizmet uç noktaları) ayarlamayı devre dışı bırakabilirsiniz.

Bu ayar EVET olarak ayarlandığında, MySQL için Azure Veritabanı yalnızca özel uç noktalar üzerinden bağlantılara izin verilir. Bu ayar HAYIR olarak ayarlandığında, istemciler güvenlik duvarınıza veya sanal ağ hizmet uç noktası ayarlarınıza göre MySQL için Azure Veritabanı bağlanabilir. Ayrıca, Özel ağ erişiminin değeri ayarlandıktan sonra müşteriler mevcut 'Güvenlik duvarı kuralları' ve 'VNet hizmet uç noktası kuralları' ekleyemez ve/veya güncelleştiremez.

Dekont

Bu özellik, MySQL için Azure Veritabanı - Tek Sunucunun Genel Amaçlı ve Bellek için İyileştirilmiş fiyatlandırma katmanlarını desteklediği tüm Azure bölgelerinde kullanılabilir.

Bu ayarın, MySQL için Azure Veritabanı ssl ve TLS yapılandırmaları üzerinde herhangi bir etkisi yoktur.

Azure portalından MySQL için Azure Veritabanı için Genel Ağ Erişimini Reddet'i ayarlamayı öğrenmek için Bkz. Genel Ağ Erişimini Reddet'i yapılandırma.

Sonraki adımlar

MySQL için Azure Veritabanı güvenlik özellikleri hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• MySQL için Azure Veritabanı için güvenlik duvarı yapılandırmak için bkz. Güvenlik duvarı desteği.

• MySQL için Azure Veritabanı için bir sanal ağ hizmet uç noktasını yapılandırmayı öğrenmek için bkz. Sanal ağlardan erişimi yapılandırma.

• MySQL için Azure Veritabanı bağlantısına genel bakış için bkz. MySQL için Azure Veritabanı Bağlan Ivity Architecture