مفاهيم الاتصال والشبكات لـ Azure Database for MySQL - Flexible Server

تقدم هذه المقالة المفاهيم للتحكم في الاتصال بمثيل Azure Database for MySQL Flexible Server. تتعلم بالتفصيل مفاهيم الشبكات لقاعدة بيانات Azure لخادم MySQL المرن لإنشاء خادم والوصول إليه بأمان في Azure.

تدعم قاعدة بيانات Azure لخادم MySQL المرن ثلاث طرق لتكوين الاتصال بخوادمك:

• الوصول إلى الشبكة العامة لقاعدة بيانات Azure ل MySQL - خادم مرن يتم الوصول إلى الخادم المرن الخاص بك من خلال نقطة نهاية عامة. نقطة النهاية العامة عنوان DNS عام قابل للحل. تشير عبارة "عناوين IP المسموح بها" إلى مجموعة من عناوين IP التي تختارها لمنح الإذن بالوصول إلى خادمك. تسمى هذه الأذونات قواعد جدار الحماية.

• نقطة النهاية الخاصة يمكنك استخدام نقاط النهاية الخاصة للسماح للمضيفين على شبكة ظاهرية VNet بالوصول إلى البيانات بأمان عبر ارتباط خاص.

• الوصول إلى الشبكة الخاصة باستخدام تكامل الشبكة الظاهرية لقاعدة بيانات Azure ل MySQL - الخادم المرن يمكنك نشر الخادم المرن في شبكة Azure الظاهرية. تساعد شبكات Azure الظاهرية على توفير اتصال شبكة خاص وآمن. يمكن للموارد في شبكة ظاهرية الاتصال من خلال عناوين IP الخاصة.

Note

بعد نشر خادم مع وصول عام أو خاص (عبر تكامل الشبكة الظاهرية)، لا يمكنك تعديل وضع الاتصال. ولكن في وضع الوصول العام، يمكنك تمكين نقاط النهاية الخاصة أو تعطيلها كما هو مطلوب وأيضا تعطيل الوصول العام إذا لزم الأمر.

اختيار خيار الشبكات

اختر الوصول العام (عناوين IP المسموح بها) وطريقة نقطة النهاية الخاصة إذا كنت تريد الإمكانات التالية:

• الاتصال من موارد Azure دون دعم الشبكة الظاهرية
• الاتصال من موارد خارج Azure غير المتصلة بواسطة VPN أو ExpressRoute
• يمكن الوصول إلى الخادم المرن من خلال نقطة نهاية عامة ويمكن الوصول إليه عبر موارد الإنترنت المعتمدة. يمكن تعطيل الوصول العام إذا لزم الأمر.
• القدرة على تكوين نقاط النهاية الخاصة للوصول إلى الخادم من المضيفين على شبكة ظاهرية (VNet)

اختر الوصول الخاص (تكامل VNet) إذا كنت تريد الإمكانات التالية:

• الاتصال بالخادم المرن من موارد Azure داخل نفس الشبكة الظاهرية أو شبكة ظاهرية نظيرة دون الحاجة إلى تكوين نقطة نهاية خاصة
• استخدام VPN أو ExpressRoute للاتصال من موارد غير Azure بالخادم المرن
• عدم توفر نقاط النهاية العامة

تنطبق الخصائص التالية سواء اخترت استخدام الوصول الخاص أو خيار الوصول العام:

• تحتاج الاتصالات من عناوين IP المسموح بها إلى المصادقة على مثيل Azure Database for MySQL Flexible Server مع بيانات اعتماد صالحة
• يتوفر تشفير الاتصال لنسبة استخدام الشبكة
• يحتوي الخادم على اسم مجال مؤهل بالكامل (fqdn). نوصي باستخدام fqdn بدلا من عنوان IP لخاصية اسم المضيف في سلسلة الاتصال.
• يتحكم كلا الخيارين في الوصول على مستوى الخادم، وليس على مستوى قاعدة البيانات أو الجدول. يمكنك استخدام خصائص أدوار MySQL للتحكم في قاعدة البيانات والجدول والوصول إلى الكائنات الأخرى.

دعم المنفذ المخصص

يدعم Azure MySQL الآن القدرة على تحديد منفذ مخصص بين 250001 و26000 أثناء إنشاء الخادم للاتصال بالخادم. المنفذ الافتراضي للاتصال هو 3306.

• يتم دعم منفذ مخصص واحد فقط لكل خادم.
• السيناريوهات المدعومة للمنفذ المخصص: إنشاء الخادم والاستعادة (الاستعادة عبر المنافذ المدعومة) وقراءة إنشاء النسخة المتماثلة وتمكين التوفر العالي.
• القيود الحالية:
  • لا يمكن تحديث المنفذ المخصص بعد إنشاء الخادم.
  • لا يتم دعم الاستعادة الجغرافية وإنشاء النسخ المتماثلة الجغرافية باستخدام منفذ مخصص.

سيناريوهات الشبكة الظاهرية غير المدعومة

• نقطة النهاية العامة (أو IP العام أو DNS) - لا يمكن أن يحتوي الخادم المرن المنشور على شبكة ظاهرية على نقطة نهاية عامة.
• بعد نشر الخادم المرن إلى شبكة ظاهرية وشبكة فرعية، لا يمكنك نقله إلى شبكة ظاهرية أو شبكة فرعية أخرى.
• بعد نشر الخادم المرن، لا يمكنك نقل الشبكة الظاهرية التي يستخدمها الخادم المرن إلى مجموعة موارد أو اشتراك آخر.
• لا يمكن زيادة حجم الشبكة الفرعية (مساحات العناوين) بمجرد وجود الموارد في الشبكة الفرعية.
• لا يسمح بالتغيير من الوصول العام إلى الخاص بعد إنشاء الخادم. الطريقة الموصى بها هي استخدام الاستعادة في نقطة زمنية.

Note

إذا كنت تستخدم خادم DNS المخصص، فيجب عليك استخدام معيد توجيه DNS لحل FQDN لقاعدة بيانات Azure لمثيل MySQL Flexible Server. راجع تحليل الاسم الذي يستخدم خادم DNS لمعرفة المزيد.

Hostname

بغض النظر عن خيار الشبكة الخاص بك، نوصي باستخدام اسم المجال المؤهل بالكامل (FQDN) <servername>.mysql.database.azure.com في سلسلة الاتصال عند الاتصال بقاعدة بيانات Azure لمثيل خادم MySQL المرن. عنوان IP الخاص بالخادم غير مضمون للبقاء ثابتا. سيساعدك استخدام FQDN في تجنب إجراء تغييرات على سلسلة الاتصال الخاصة بك.

مثال يستخدم FQDN كاسم مضيف هو اسم المضيف = servername.mysql.database.azure.com. حيثما أمكن، تجنب استخدام اسم المضيف = 10.0.0.4 (عنوان خاص) أو اسم المضيف = 40.2.45.67 (عنوان عام).

Note

إذا كانت قاعدة بيانات Azure ل MySQL Flexible Server تحتوي على كل من الوصول العام والارتباط الخاص، تحديث عناوين IP العامة للمثيل الخاص بك كجزء من التغيير المعماري لتحسين تجربة الشبكة. إذا كنت تستخدم عناوين IP العامة هذه في سلسلة الاتصال الخاصة بك، فيجب عليك استبدالها ب FQDN قبل 9 سبتمبر 2025 لتجنب أي انقطاع في اتصال الخادم. (ملاحظة: لا يتأثر عنوان IP الخاص للارتباط الخاص أو IP لتكامل الشبكة الظاهرية). الإجراء المطلوب - قم بتشغيل NSLookup من شبكتك العامة للحصول على عنوان IP العام الذي سيتغير ويجب عليك تحديث مرجعه في سلسلة الاتصال لاستخدام FQDN بدلا من ذلك.

TLS وSSL

يدعم Azure Database for MySQL Flexible Server توصيل تطبيقات العميل بمثيل Azure Database for MySQL Flexible Server باستخدام طبقة مآخذ التوصيل الآمنة (SSL) مع تشفير أمان طبقة النقل (TLS). TLS هو بروتوكول قياسي في الصناعة يضمن اتصالات الشبكة المشفرة بين خادم قاعدة البيانات وتطبيقات العميل، ما يسمح لك بالالتزام بمتطلبات التوافق.

تدعم قاعدة بيانات Azure لخادم MySQL المرن الاتصالات المشفرة باستخدام أمان طبقة النقل (TLS 1.2) بشكل افتراضي، ويتم رفض جميع الاتصالات الواردة مع TLS 1.0 وTLS 1.1 بشكل افتراضي. يمكن تكوين فرض الاتصال المشفر أو تكوين إصدار TLS على الخادم المرن وتغييره.

فيما يلي التكوينات المختلفة لإعدادات SSL وTLS التي يمكنك الحصول علىها للخادم المرن:

Important

وفقا لإزالة الدعم لبروتوكولات TLS 1.0 وTLS 1.1، خططنا مسبقا للإهمال الكامل ل TLS 1.0 و1.1 بحلول سبتمبر 2024. ومع ذلك، بسبب التبعيات التي حددها بعض العملاء، قررنا توسيع المخطط الزمني.

• بدءا من 31 أغسطس 2025، سنبدأ الترقية القسرية لجميع الخوادم التي لا تزال تستخدم TLS 1.0 أو 1.1. بعد هذا التاريخ، قد تتوقف أي اتصالات تعتمد على TLS 1.0 أو 1.1 عن العمل في أي وقت. لتجنب انقطاع الخدمة المحتمل، نوصي بشدة بأن يكمل العملاء ترحيلهم إلى TLS 1.2 قبل 31 أغسطس 2025.
• اعتبارا من سبتمبر 2024، لن يسمح للخوادم الجديدة باستخدام TLS 1.0 أو 1.1، ولن يسمح للخوادم الموجودة بالتراجع إلى هذه الإصدارات.

نوصي بشدة بأن يقوم العملاء بتحديث تطبيقاتهم لدعم TLS 1.2 في أقرب وقت ممكن لتجنب انقطاع الخدمة.

Scenario	إعدادات معلمات الخادم	Description
تعطيل SSL (الاتصالات المشفرة)	require_secure_transport = إيقاف التشغيل	إذا كان تطبيقك القديم لا يدعم الاتصالات المشفرة بمثيل Azure Database for MySQL Flexible Server، يمكنك تعطيل فرض الاتصالات المشفرة إلى الخادم المرن عن طريق تعيين require_secure_transport=OFF.
فرض طبقة المقابس الآمنة مع الإصدار < 1.2 من طبقة النقل الآمنة (تم إهمالها في سبتمبر 2024)	require_secure_transport = ON و tls_version = TLS 1.0 أو TLS 1.1	إذا كان تطبيقك القديم يدعم الاتصالات المشفرة ولكنه يتطلب الإصدار < 1.2 من TLS، يمكنك تمكين الاتصالات المشفرة، ولكن تكوين الخادم المرن للسماح بالاتصالات بإصدار TLS (الإصدار 1.0 أو v1.1) المدعوم من التطبيق الخاص بك
فرض SSL مع إصدار = 1.2 من TLS (التكوين الافتراضي)	require_secure_transport = ON و tls_version = TLS 1.2	هذا هو التكوين الموصى به والافتراضي لخادم مرن.
فرض SSL مع إصدار = 1.3 من TLS (مدعوم مع MySQL v8.0 والإصدار الأحدث)	require_secure_transport = ON و tls_version = TLS 1.3	هذا مفيد ويوصى به لتطوير التطبيقات الجديدة

Note

التغييرات التي تم إجراؤها على تشفير SSL على الخادم المرن غير مدعومة. يتم فرض مجموعة تشفير FIPS بشكل افتراضي عند تعيين tls_version إلى الإصدار 1.2 من TLS. بالنسبة لإصدارات TLS بخلاف الإصدار 1.2، يتم تعيين SSL Cipher إلى الإعدادات الافتراضية التي تأتي مع تثبيت مجتمع MySQL.

راجع الاتصال باستخدام طبقة المقابس الآمنة (SSL)/طبقة النقل الآمنة (TLS) للتعرف على كيفية تحديد إصدار طبقة النقل الآمنة التي تستخدمها.

المحتوى ذو الصلة

• إنشاء وإدارة الشبكات الظاهرية لقاعدة بيانات Azure ل MySQL - خادم مرن باستخدام مدخل Microsoft Azure
• إنشاء وإدارة الشبكات الظاهرية لقاعدة بيانات Azure ل MySQL - خادم مرن باستخدام Azure CLI
• إدارة قواعد جدار الحماية لقاعدة بيانات Azure ل MySQL - خادم مرن باستخدام مدخل Microsoft Azure
• إدارة قواعد جدار الحماية لقاعدة بيانات Azure ل MySQL - خادم مرن باستخدام Azure CLI
• تكوين ارتباط خاص لقاعدة بيانات Azure لخادم MySQL المرن من مدخل Microsoft Azure