قواعد جدار حماية خادم Azure Database for MariaDB

هام

قاعدة بيانات Azure ل MariaDB على مسار التقاعد. نوصي بشدة بالترحيل إلى قاعدة بيانات Azure ل MySQL. لمزيد من المعلومات حول الترحيل إلى قاعدة بيانات Azure ل MySQL، راجع ما يحدث لقاعدة بيانات Azure ل MariaDB؟.

تمنع جدران الحماية أي محاولة وصول إلى خادم قاعدة البيانات حتى تحدد أجهزة الكمبيوتر التي تمتلك إذن بالوصول. يمنح جدار الحماية حق الوصول إلى الملقم استنادا إلى عنوان IP الأصلي لكل طلب.

لتكوين جدار حماية، أنشئ قواعد جدار الحماية التي تحدد نطاقات عناوين IP المقبولة. يمكنك إنشاء قواعد جدار الحماية على مستوى الخادم.

قواعد جدار الحماية: تمكن هذه القواعد العملاء من الوصول إلى قاعدة بيانات Azure بأكملها لخادم MariaDB، أي جميع قواعد البيانات داخل نفس الخادم المنطقي. يمكن تكوين قواعد جدار الحماية على مستوى الخادم باستخدام مدخل Azure أو أوامر Azure CLI. لإنشاء قواعد جدار حماية على مستوى الخادم، يجب أن تكون مالك اشتراك أو أحد المساهمين في الاشتراك.

نظرة عامة على جدار الحماية

يتم حظر جميع الوصول إلى قاعدة البيانات إلى قاعدة بيانات Azure لخادم MariaDB بشكل افتراضي بواسطة جدار الحماية. لبدء استخدام الخادم من كمبيوتر آخر، تحتاج إلى تحديد قاعدة أو أكثر من قواعد جدار الحماية على مستوى الخادم لتمكين الوصول إلى خادمك. استخدم قواعد جدار الحماية لتحديد نطاقات عناوين IP من الإنترنت للسماح لها. الوصول إلى موقع مدخل Azure لا يتأثر بقواعد جدار الحماية.

يجب أن تمر محاولات الاتصال ion من الإنترنت وAzure أولا عبر جدار الحماية قبل أن تتمكن من الوصول إلى قاعدة بيانات Azure لقاعدة بيانات MariaDB، كما هو موضح في الرسم التخطيطي التالي:

الاتصال بالإنترنت

تنطبق قواعد جدار الحماية على مستوى الخادم على جميع قواعد البيانات على قاعدة بيانات Azure لخادم MariaDB.

إذا كان عنوان IP الطلب ضمن أحد النطاقات المحددة في قواعد جدار الحماية على مستوى الخادم، فسيتم منح إذن بالاتصال.

إذا كان عنوان IP للطلب خارج النطاقات المحددة في أي من قواعد جدار الحماية على مستوى قاعدة البيانات أو على مستوى الخادم، فسيفشل طلب الاتصال.

الاتصال من Azure

من المستحسن البحث عن عنوان IP الصادر لأي تطبيق أو خدمة وأن تسمح بالوصول مباشرة إلى عناوين IP الفردية أو النطاقات. على سبيل المثال، يمكنك العثور على عنوان IP الصادر لـAzure App Service أو استخدام IP عام مرتبط بجهاز ظاهري أو مورد آخر (انظر المعلومات الواردة بالأسفل حول الاتصال ب IP خاص لجهاز ظاهري عبر نقاط تقديم الخدمة).

إذا لم يتوفر عنوان IP صادر ثابت لخدمة Azure، يمكنك التفكير في تمكين الاتصالات من جميع عناوين IP لمركز بيانات Azure. يمكنك تمكين هذا الإعداد من مدخل Azure عن طريق تعيين الخيار Allow access to Azure services على ON من الجزء Connection security ثم الضغط على Save. من Azure CLI، إعداد قاعدة جدار حماية مع عنوان البداية والنهاية يساوي 0.0.0.0 يفعل ما يعادلها. إذا لم يتم السماح بمحاولة الاتصال، فلن يصل الطلب إلى قاعدة بيانات Azure لخادم MariaDB.

هام

يقوم الخيار Allow access to Azure services بتكوين جدار الحماية للسماح لكافة الاتصالات من Azure بما في ذلك الاتصالات من اشتراكات العملاء الآخرين. عند تحديد هذا الخيار، تأكد من تقييد أذونات تسجيل الدخول والمستخدم الوصول إلى المستخدمين المصرح لهم فقط.

الاتصال من شبكة ظاهرية

للاتصال بأمان بقاعدة بيانات Azure لخادم MariaDB من شبكة ظاهرية، ضع في اعتبارك استخدام نقاط نهاية خدمة VNet.

إدارة قواعد جدار الحماية برمجياً

بالإضافة إلى مدخل Azure، يمكن إدارة قواعد جدار الحماية برمجياً باستخدام Azure CLI.

راجع أيضا إنشاء قواعد جدار حماية Azure Database for MariaDB وإدارتها باستخدام Azure CLI.

استكشاف مشكلات جدار الحماية وإصلاحها

ضع في اعتبارك النقاط التالية عند عدم تصرف الوصول إلى قاعدة بيانات Microsoft Azure لخدمة خادم MariaDB كما هو متوقع:

• لم تصبح التغييرات في قائمة السماح سارية المفعول بعد: قد يكون هناك تأخير يصل إلى خمس دقائق حتى تصبح التغييرات في قاعدة بيانات Azure لتكوين جدار حماية خادم MariaDB سارية المفعول.

• تسجيل الدخول غير مصرح به أو تم استخدام كلمة مرور غير صحيحة: إذا لم يكن لتسجيل الدخول أذونات على قاعدة بيانات Azure لخادم MariaDB أو كانت كلمة المرور المستخدمة غير صحيحة، يتم رفض الاتصال بقاعدة بيانات Azure لخادم MariaDB. يمنح إنشاء إعداد لجدار الحماية للعملاء فرصة لعملائك للاتصال بخادمك؛ حيث يجب على كل عميل توفير بيانات اعتماد الأمان الضرورية.

• عنوان IP الديناميكي: إذا كان لديك اتصال بالإنترنت بعنوان IP ديناميكي وكنت تواجه مشكلة في الحصول على جدار الحماية، يمكنك تجربة أحد الحلول التالية:

  • اطلب من موفر خدمة الإنترنت (ISP) نطاق عناوين IP المعين لأجهزة الكمبيوتر العميلة التي تصل إلى قاعدة بيانات Azure لخادم MariaDB، ثم أضف نطاق عناوين IP كقاعدة جدار حماية.

  • احصل على عنوان IP ثابت بدلاً من ذلك لأجهزة الكمبيوتر العميلة، ثم أضف عناوين IP كقواعد جدار حماية.

• يبدو أن IP الخاص بالخادم عام: يتم توجيه الاتصال إلى قاعدة بيانات Azure لخادم MariaDB من خلال بوابة Azure يمكن الوصول إليها بشكل عام. ومع ذلك، تتم حماية IP للخادم الفعلي بواسطة جدار الحماية. لمزيد من المعلومات، تفضل بزيارة مقالة هندسة الاتصال.

• لا يمكن الاتصال من مورد Azure باستخدام IP المسموح به: تحقق مما إذا تم تمكين نقطة تقديم الخدمة Microsoft.Sql للشبكة الفرعية التي تتصل منها. إذا تم تمكين Microsoft.Sql، فإنه يشير إلى أنك تريد فقط استخدام قواعد نقاط تقديم خدمات الشبكات الظاهرية على تلك الشبكة الفرعية.

  على سبيل المثال، قد يظهر لك الخطأ التالي إذا كنت تتصل من جهاز ظاهري في Azure في شبكة فرعية تم تمكين Microsoft.Sql لها، ولكنها لا تتضمن قاعدة شبكة ظاهرية متوافقة: FATAL: Client from Azure Virtual Networks is not allowed to access the server

• قاعدة جدار الحماية غير متوفرة لتنسيق IPv6: يجب أن تكون قواعد جدار الحماية بتنسيق IPv4. إذا حددت قواعد جدار الحماية بتنسيق IPv6، فسيظهر خطأ التحقق من الصحة.

الخطوات التالية

• إنشاء قواعد جدار حماية Azure Database for MariaDB وإدارتها باستخدام مدخل Microsoft Azure
• إنشاء قواعد جدار حماية Azure Database for MariaDB وإدارتها باستخدام Azure CLI
• نقاط نهاية خدمة VNet في قاعدة بيانات Azure ل MariaDB