Kapcsolati és hálózatkezelési fogalmak az Azure Database for MySQL-hez – rugalmas kiszolgáló
Ez a cikk bemutatja a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való kapcsolódás szabályozásának alapelveit. Részletesen megismerheti a rugalmas Azure Database for MySQL-kiszolgáló hálózatkezelési alapelveit, amelyek segítségével biztonságosan hozhat létre és érhet el egy kiszolgálót az Azure-ban.
A rugalmas Azure Database for MySQL-kiszolgáló három módon konfigurálja a kiszolgálókhoz való kapcsolódást:
Nyilvános hálózati hozzáférés az Azure Database for MySQL-hez – Rugalmas kiszolgáló A rugalmas kiszolgáló nyilvános végponton keresztül érhető el. A nyilvános végpont egy nyilvánosan feloldható DNS-cím. Az "engedélyezett IP-címek" kifejezés olyan IP-címtartományra utal, amely engedélyt ad a kiszolgáló elérésére. Ezeket az engedélyeket tűzfalszabályoknak nevezzük.
Privát végpontokkal engedélyezheti a virtuális hálózati virtuális hálózaton lévő gazdagépek számára, hogy biztonságosan hozzáférjenek az adatokhoz privát kapcsolaton keresztül.
Privát hálózati hozzáférés az Azure Database for MySQL virtuális hálózati integrációjával – Rugalmas kiszolgáló : A rugalmas kiszolgálót üzembe helyezheti az Azure-beli virtuális hálózatban. Az Azure-beli virtuális hálózatok privát és biztonságos hálózati kommunikációt biztosítanak. A virtuális hálózatok erőforrásai magánhálózati IP-címeken keresztül kommunikálhatnak.
Feljegyzés
Miután üzembe helyez egy nyilvános vagy privát hozzáférésű kiszolgálót (VNet-integrációval), nem módosíthatja a kapcsolati módot. Nyilvános hozzáférési módban azonban szükség szerint engedélyezheti vagy letilthatja a privát végpontokat, és szükség esetén letilthatja a nyilvános hozzáférést is.
Válasszon egy hálózati lehetőséget
Ha a következő képességeket szeretné használni, válassza a Nyilvános hozzáférés (engedélyezett IP-címek) és a Privát végpont metódust:
- Csatlakozás Azure-erőforrásokból virtuális hálózati támogatás nélkül
- Csatlakozás olyan Azure-on kívüli erőforrásokból, amelyekhez nem csatlakozik VPN vagy ExpressRoute
- A rugalmas kiszolgáló nyilvános végponton keresztül érhető el, és engedélyezett internetes erőforrásokon keresztül érhető el. Szükség esetén a nyilvános hozzáférés le is tiltható.
- Privát végpontok konfigurálása a kiszolgáló virtuális hálózaton (VNet) lévő gazdagépekről való elérésére
Válassza a Privát hozzáférés (VNet-integráció) lehetőséget, ha a következő képességekre van szüksége:
- Csatlakozzon a rugalmas kiszolgálóhoz az ugyanazon a virtuális hálózaton vagy egy társhálózaton belüli Azure-erőforrásokból anélkül, hogy privát végpontot kellene konfigurálnia
- Vpn vagy ExpressRoute használata nem Azure-erőforrásokból a rugalmas kiszolgálóhoz való csatlakozáshoz
- Nincs nyilvános végpont
A következő jellemzők vonatkoznak arra, hogy a privát vagy a nyilvános hozzáférési lehetőséget választja-e:
- Az engedélyezett IP-címekről származó kapcsolatoknak hitelesíteni kell a rugalmas Azure Database for MySQL-kiszolgálópéldányt érvényes hitelesítő adatokkal
- A kapcsolattitkosítás elérhető a hálózati forgalom számára
- A kiszolgáló teljes tartománynévvel (fqdn) rendelkezik. Azt javasoljuk, hogy a teljes tartománynevet használja ip-cím helyett a gazdagépnév tulajdonsághoz kapcsolati sztring.
- Mindkét beállítás a kiszolgáló szintjén szabályozza a hozzáférést, nem az adatbázis vagy a tábla szintjén. A MySQL szerepkör-tulajdonságaival szabályozhatja az adatbázis, a tábla és az egyéb objektumok hozzáférését.
Nem támogatott virtuális hálózati forgatókönyvek
- Nyilvános végpont (vagy nyilvános IP-cím vagy DNS) – A virtuális hálózaton üzembe helyezett rugalmas kiszolgálók nem rendelkezhetnek nyilvános végpontokkal.
- Miután a rugalmas kiszolgálót üzembe helyezte egy virtuális hálózaton és alhálózaton, nem helyezheti át egy másik virtuális hálózatra vagy alhálózatra.
- A rugalmas kiszolgáló üzembe helyezése után nem helyezheti át a rugalmas kiszolgáló által használt virtuális hálózatot egy másik erőforráscsoportba vagy előfizetésbe.
- Az alhálózat mérete (címtartományok) nem növelhető, ha az erőforrások már létrejöttek az alhálózaton.
- A kiszolgáló létrehozása után nem lehet nyilvánosról privát hozzáférésre váltani. Az ajánlott módszer az időponthoz kötött visszaállítás használata.
Feljegyzés
Ha egyéni DNS-kiszolgálót használ, egy DNS-továbbítót kell használnia a rugalmas Azure Database for MySQL-kiszolgálópéldány teljes tartománynevének feloldásához. További információért tekintse meg a DNS-kiszolgálót használó névfeloldásokat.
Hostname (Gazdanév)
A hálózati beállítástól függetlenül javasoljuk, hogy a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való csatlakozáskor használja a teljes tartománynevet (FQDN) <servername>.mysql.database.azure.com a kapcsolati sztring. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosításait.
A teljes tartománynevet gazdagépnévként használó példa a hostname = servername.mysql.database.azure.com. Ha lehetséges, kerülje a gazdanév = 10.0.0.4 (magáncím) vagy a gazdagépnév = 40.2.45.67 (nyilvános cím) használatát.
TLS és SSL
A rugalmas Azure Database for MySQL-kiszolgáló támogatja az ügyfélalkalmazások rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való csatlakoztatását a Secure Sockets Layer (SSL) és a Transport Layer Security (TLS) titkosítás használatával. A TLS egy iparági szabványnak megfelelő protokoll, amely titkosított hálózati kapcsolatokat biztosít az adatbázis-kiszolgáló és az ügyfélalkalmazások között, így kielégítheti a megfelelőségi követelményeket.
A rugalmas Azure Database for MySQL-kiszolgáló alapértelmezés szerint a Transport Layer Security (TLS 1.2) használatával támogatja a titkosított kapcsolatokat, és alapértelmezés szerint minden TLS 1.0- és TLS 1.1-es bejövő kapcsolatot elutasít. A rugalmas kiszolgálón a titkosított kapcsolat kényszerítése vagy TLS-verziókonfigurációja konfigurálható és módosítható.
Az alábbiakban a rugalmas kiszolgálóhoz használható SSL- és TLS-beállítások különböző konfigurációit találja:
Fontos
A TLS 1.0 és a TLS 1.1 protokoll támogatásának 2024. szeptember elejétől kezdődő eltávolítása szerint az új kiszolgálók már nem használhatják a TLS 1.0-s vagy 1.1-es verzióját, és a meglévő kiszolgálók nem léphetnek vissza ezekre a verziókra. 2024. szeptember közepétől kezdeményezzük az összes jelenleg TLS 1.0-t vagy 1.1-et használó kiszolgáló kötelező frissítését a TLS 1.2-re. A frissítési folyamat várhatóan 2024 szeptemberének végéig fejeződik be. Határozottan javasoljuk, hogy az ügyfelek szeptember vége előtt győződjenek meg arról, hogy alkalmazásaik teljes mértékben kompatibilisek a TLS 1.2-vel.
| Eset | Kiszolgálóparaméter-beállítások | Leírás |
|---|---|---|
| SSL letiltása (titkosított kapcsolatok) | require_secure_transport = KI | Ha az örökölt alkalmazás nem támogatja a rugalmas Azure Database for MySQL-kiszolgálópéldány titkosított kapcsolatait, a require_secure_transport=OFF beállítással letilthatja a rugalmas kiszolgálóhoz való titkosított kapcsolatok kényszerítésének letiltását. |
| SSL kényszerítése a TLS 1.2-es verziójával < (2024 szeptemberében megszűnik) | require_secure_transport = BE és tls_version = TLS 1.0 vagy TLS 1.1 | Ha az örökölt alkalmazás támogatja a titkosított kapcsolatokat, de a TLS 1.2-es verzióját < igényli, engedélyezheti a titkosított kapcsolatokat, de konfigurálhatja a rugalmas kiszolgálót, hogy engedélyezze az alkalmazás által támogatott TLS-verzióval (1.0-s vagy 1.1-es verzió) való kapcsolatokat |
| SSL kényszerítése TLS-verzióval = 1.2 (Alapértelmezett konfiguráció) | require_secure_transport = BE és tls_version = TLS 1.2 | Ez egy rugalmas kiszolgáló ajánlott és alapértelmezett konfigurációja. |
| SSL kényszerítése TLS-verzióval = 1.3 (a MySQL 8.0-s vagy újabb verziójával támogatott) | require_secure_transport = BE és tls_version = TLS 1.3 | Ez hasznos és ajánlott új alkalmazások fejlesztéséhez |
Feljegyzés
A rugalmas kiszolgálón az SSL-titkosítás módosítása nem támogatott. A FIPS-titkosítási csomagok alapértelmezés szerint akkor lesznek kényszerítve, ha tls_version TLS 1.2-es verzióra van állítva. Az 1.2-es verziótól eltérő TLS-verziók esetén az SSL-titkosítás a MySQL-közösség telepítésével járó alapértelmezett beállításokra van beállítva.
Tekintse át a csatlakozást SSL/TLS használatával, és ismerje meg, hogyan azonosíthatja a használt TLS-verziót.
Kapcsolódó tartalom
- Virtuális hálózatok létrehozása és kezelése az Azure Database for MySQL-hez – Rugalmas kiszolgáló az Azure Portal használatával
- Virtuális hálózatok létrehozása és kezelése az Azure Database for MySQL-hez – Rugalmas kiszolgáló az Azure CLI használatával
- Az Azure Database for MySQL tűzfalszabályainak kezelése – Rugalmas kiszolgáló az Azure Portal használatával
- Az Azure Database for MySQL tűzfalszabályainak kezelése – Rugalmas kiszolgáló az Azure CLI használatával
- privát kapcsolat konfigurálása rugalmas Azure Database for MySQL-kiszolgálóhoz az Azure Portalról