Konsep konektivitas dan jaringan untuk Azure Database for MySQL - Flexible Server
Artikel ini memperkenalkan konsep untuk mengontrol konektivitas ke instans Server Fleksibel Azure Database for MySQL Anda. Anda mempelajari secara rinci konsep jaringan untuk Azure Database for MySQL Flexible Server untuk membuat dan mengakses server dengan aman di Azure.
Server Fleksibel Azure Database for MySQL mendukung tiga cara untuk mengonfigurasi konektivitas ke server Anda:
Akses Jaringan Publik untuk Azure Database for MySQL - Server Fleksibel Server Fleksibel Anda diakses melalui titik akhir publik. Titik akhir publik adalah alamat DNS yang dapat diselesaikan secara publik. Frasa "alamat IP yang diizinkan" mengacu pada rentang IP yang Anda pilih untuk memberikan izin untuk mengakses server Anda. Izin ini disebut aturan firewall.
Titik Akhir Privat Anda dapat menggunakan titik akhir privat untuk memungkinkan host di VNet jaringan virtual mengakses data dengan aman melalui Private Link.
Akses Jaringan Privat menggunakan integrasi jaringan virtual untuk Azure Database for MySQL - Server Fleksibel Anda dapat menyebarkan Server Fleksibel ke Azure Virtual Network Anda. Jaringan virtual Azure menyediakan komunikasi jaringan privat dan aman. Sumber daya dalam jaringan virtual dapat dikomunikasikan melalui alamat IP privat.
Catatan
Setelah menyebarkan server dengan akses publik atau privat (melalui integrasi VNet), Anda tidak dapat mengubah mode konektivitas. Tetapi dalam mode akses publik, Anda dapat mengaktifkan atau menonaktifkan titik akhir privat sesuai kebutuhan dan juga menonaktifkan akses publik jika diperlukan.
Pilih opsi jaringan
Pilih Akses publik (alamat IP yang diizinkan) dan Metode titik akhir privat jika Anda menginginkan kemampuan berikut:
- Menyambungkan dari sumber daya Azure tanpa dukungan jaringan virtual
- Menyambungkan dari sumber daya di luar Azure yang tidak terhubung oleh VPN atau ExpressRoute
- Server Fleksibel dapat diakses melalui titik akhir publik dan dapat diakses melalui sumber daya internet resmi. Akses publik dapat dinonaktifkan jika diperlukan.
- Kemampuan untuk mengonfigurasi titik akhir Privat untuk mengakses server dari host di jaringan virtual (VNet)
Pilih Akses privat (integrasi VNet) jika Anda menginginkan kemampuan berikut:
- Menyambungkan ke Server Fleksibel Anda dari sumber daya Azure dalam jaringan virtual yang sama atau jaringan virtual yang di-peering tanpa perlu mengonfigurasi titik akhir privat
- Menggunakan VPN atau ExpressRoute untuk menyambungkan dari sumber daya non-Azure ke Server Fleksibel Anda
- Tanpa titik akhir publik
Karakteristik berikut berlaku baik Anda memilih untuk menggunakan akses pribadi atau opsi akses publik:
- Koneksi dari alamat IP yang diizinkan perlu diautentikasi ke instans Server Fleksibel Azure Database for MySQL dengan kredensial yang valid
- Enkripsi koneksi tersedia untuk lalu lintas jaringan Anda
- Server memiliki nama domain yang sepenuhnya memenuhi syarat (fqdn). Sebaiknya gunakan fqdn alih-alih alamat IP untuk properti nama host di string koneksi.
- Kedua opsi mengontrol akses di tingkat server, bukan di tingkat database atau tabel. Anda akan menggunakan properti peran MySQL untuk mengontrol database, tabel, dan akses objek lainnya.
Skenario jaringan virtual tidak didukung
- Titik akhir publik (atau IP publik atau DNS) - Server Fleksibel yang disebarkan ke jaringan virtual tidak dapat memiliki titik akhir publik.
- Setelah Server Fleksibel disebarkan ke jaringan virtual dan subnet, Anda tidak dapat memindahkannya ke jaringan virtual atau subnet lain.
- Setelah Server Fleksibel disebarkan, Anda tidak dapat memindahkan jaringan virtual yang digunakan Server Fleksibel ke grup sumber daya atau langganan lain.
- Ukuran subnet (spasi alamat) tidak dapat ditingkatkan setelah sumber daya ada di subnet.
- Perubahan dari akses Publik ke Privat tidak diizinkan setelah server dibuat. Cara yang disarankan adalah dengan menggunakan pemulihan titik waktu.
Catatan
Jika Anda menggunakan server DNS kustom, Anda harus menggunakan penerus DNS untuk mengatasi FQDN instans Server Fleksibel Azure Database for MySQL. Lihat resolusi nama yang menggunakan server DNS Anda untuk mempelajari selengkapnya.
Nama host
Terlepas dari opsi jaringan Anda, kami sarankan Anda menggunakan nama domain yang sepenuhnya memenuhi syarat (FQDN) <servername>.mysql.database.azure.com di string koneksi saat menyambungkan ke instans Server Fleksibel Azure Database for MySQL Anda. Tidak ada jaminan alamat IP server akan tetap statis. Menggunakan FQDN akan membantu Anda menghindari perubahan pada string koneksi Anda.
Contoh yang menggunakan FQDN sebagai nama host adalah nama host = servername.mysql.database.azure.com. Jika memungkinkan, hindari menggunakan nama host = 10.0.0.4 (alamat privat) atau nama host = 40.2.45.67 (alamat publik).
TLS dan SSL
Server Fleksibel Azure Database for MySQL mendukung menghubungkan aplikasi klien Anda ke instans Azure Database for MySQL Flexible Server menggunakan Secure Sockets Layer (SSL) dengan enkripsi Keamanan lapisan transportasi (TLS). TLS adalah protokol standar industri yang memastikan koneksi jaringan terenkripsi antara server database dan aplikasi klien Anda, memungkinkan Anda mematuhi persyaratan kepatuhan.
Azure Database for MySQL Flexible Server mendukung koneksi terenkripsi menggunakan Keamanan Lapisan Transportasi (TLS 1.2) secara default, dan semua koneksi masuk dengan TLS 1.0 dan TLS 1.1 ditolak secara default. Penerapan koneksi terenkripsi atau konfigurasi versi TLS di Server Fleksibel Anda dapat dikonfigurasi dan diubah.
Berikut ini adalah berbagai konfigurasi pengaturan SSL dan TLS yang dapat Anda miliki untuk Server Fleksibel Anda:
Penting
Menurut Penghapusan Dukungan untuk Protokol TLS 1.0 dan TLS 1.1, mulai awal September 2024, server baru tidak akan lagi diizinkan untuk menggunakan TLS 1.0 atau 1.1, dan server yang ada tidak akan diizinkan untuk menurunkan ke versi ini. Mulai pertengahan September 2024, kami akan memulai peningkatan wajib semua server yang saat ini menggunakan TLS 1.0 atau 1.1 ke TLS 1.2. Proses peningkatan ini diharapkan selesai pada akhir September 2024. Kami sangat menyarankan agar pelanggan memastikan aplikasi mereka sepenuhnya kompatibel dengan TLS 1.2 sebelum akhir September.
| Skenario | Pengaturan parameter server | Deskripsi |
|---|---|---|
| Menonaktifkan SSL (koneksi terenkripsi) | require_secure_transport = OFF | Jika aplikasi warisan Anda tidak mendukung koneksi terenkripsi ke instans Server Fleksibel Azure Database for MySQL, Anda dapat menonaktifkan penerapan koneksi terenkripsi ke Server Fleksibel Anda dengan mengatur require_secure_transport=OFF. |
| Menerapkan SSL dengan TLS versi < 1.2 (Akan ditolak pada Bulan September 2024) | require_secure_transport = ON dan tls_version = TLS 1.0 atau TLS 1.1 | Jika aplikasi warisan Anda mendukung koneksi terenkripsi tetapi memerlukan TLS versi < 1.2, Anda dapat mengaktifkan koneksi terenkripsi, tetapi mengonfigurasi Server Fleksibel Anda untuk mengizinkan koneksi dengan versi TLS (v1.0 atau v1.1) yang didukung oleh aplikasi Anda |
| Menerapkan SSL dengan versi TLS = 1.2 (Konfigurasi default) | require_secure_transport = ON dan tls_version = TLS 1.2 | Ini adalah konfigurasi yang direkomendasikan dan default untuk Server Fleksibel. |
| Menerapkan SSL dengan versi TLS = 1.3 (Didukung dengan MySQL v8.0 dan yang lebih tinggi) | require_secure_transport = ON dan tls_version = TLS 1.3 | Pengaturan ini berguna dan direkomendasikan untuk pengembangan aplikasi baru |
Catatan
Perubahan pada Cipher SSL di Server Fleksibel tidak didukung. Suite sandi FIPS diberlakukan secara default saat tls_version diatur ke TLS versi 1.2. Untuk TLS selain versi 1.2, SSL Cipher diatur ke pengaturan default yang dilengkapi dengan penginstalan komunitas MySQL.
Tinjau koneksi menggunakan SSL/TLS untuk mempelajari cara mengidentifikasi versi TLS yang Anda gunakan .
Konten terkait
- Membuat dan mengelola jaringan virtual untuk Azure Database for MySQL - Server Fleksibel menggunakan portal Azure
- Membuat dan mengelola jaringan virtual untuk Azure Database for MySQL - Server Fleksibel menggunakan Azure CLI
- Mengelola aturan firewall untuk Azure Database for MySQL - Server Fleksibel menggunakan portal Azure
- Mengelola aturan firewall untuk Azure Database for MySQL - Server Fleksibel menggunakan Azure CLI
- mengonfigurasi tautan privat untuk Server Fleksibel Azure Database for MySQL dari portal Azure