مفاهيم الاتصال والشبكات لـ Azure Database for MySQL - Flexible Server
ينطبق على: 
قاعدة بيانات Azure لـMySQL - خادم مرن
تقدم هذه المقالة المفاهيم للتحكم في الاتصال بمثيل خادم Azure Database for MySQL المرن. تتعلم بالتفصيل مفاهيم الشبكات لقاعدة بيانات Azure لخادم MySQL المرن لإنشاء خادم والوصول إليه بأمان في Azure.
يدعم خادم Azure Database for MySQL المرن ثلاث طرق لتكوين الاتصال بخوادمك:
الوصول العام يتم الوصول إلى الخادم المرن من خلال نقطة نهاية عامة. نقطة النهاية العامة عنوان DNS عام قابل للحل. تشير عبارة "عناوين IP المسموح بها" إلى مجموعة من عناوين IP التي تختارها لمنح الإذن بالوصول إلى خادمك. تسمى هذه الأذونات قواعد جدار الحماية.
نقطة النهاية الخاصة يمكنك استخدام نقاط النهاية الخاصة للسماح للمضيفين على شبكة ظاهرية VNet بالوصول إلى البيانات بأمان عبر ارتباط خاص.
الوصول الخاص (تكامل VNet) يمكنك نشر الخادم المرن في شبكة Azure الظاهرية. تساعد شبكات Azure الظاهرية على توفير اتصال شبكة خاص وآمن. يمكن للموارد في شبكة ظاهرية الاتصال من خلال عناوين IP الخاصة.
إشعار
بعد نشر خادم مع وصول عام أو خاص (عبر تكامل VNet)، لا يمكنك تعديل وضع الاتصال. ولكن في وضع الوصول العام، يمكنك تمكين نقاط النهاية الخاصة أو تعطيلها كما هو مطلوب وأيضا تعطيل الوصول العام إذا لزم الأمر.
اختيار خيار الشبكات
اختر الوصول العام (عناوين IP المسموح بها) وطريقة نقطة النهاية الخاصة إذا كنت تريد الإمكانات التالية:
- الاتصال من موارد Azure دون دعم الشبكة الظاهرية
- الاتصال من موارد خارج Azure غير المتصلة بواسطة VPN أو ExpressRoute
- يمكن الوصول إلى الخادم المرن من خلال نقطة نهاية عامة ويمكن الوصول إليه عبر موارد الإنترنت المعتمدة. يمكن تعطيل الوصول العام إذا لزم الأمر.
- القدرة على تكوين نقاط النهاية الخاصة للوصول إلى الخادم من المضيفين على شبكة ظاهرية (VNet)
اختر الوصول الخاص (تكامل VNet) إذا كنت تريد الإمكانات التالية:
- الاتصال إلى الخادم المرن من موارد Azure داخل نفس الشبكة الظاهرية أو شبكة ظاهرية نظيرة دون الحاجة إلى تكوين نقطة نهاية خاصة
- استخدام VPN أو ExpressRoute للاتصال من الموارد غير التابعة لـ Azure إلى خادمك المرن
- عدم توفر نقاط النهاية العامة
تنطبق الخصائص التالية سواء اخترت استخدام الوصول الخاص أو خيار الوصول العام:
- تحتاج الاتصال من عناوين IP المسموح بها إلى المصادقة على مثيل خادم Azure Database for MySQL المرن مع بيانات اعتماد صالحة
- يتوفر تشفير الاتصال لنسبة استخدام الشبكة
- يحتوي الخادم على اسم مجال مؤهل بالكامل (fqdn). نوصي باستخدام fqdn بدلا من عنوان IP لخاصية اسم المضيف في سلسلة الاتصال.
- يتحكم كلا الخيارين في الوصول على مستوى الخادم، وليس على مستوى قاعدة البيانات أو الجدول. يمكنك استخدام خصائص أدوار MySQL للتحكم في قاعدة البيانات والجدول والوصول إلى الكائنات الأخرى.
سيناريوهات الشبكة الظاهرية غير المدعومة
- نقطة النهاية العامة (أو IP العام أو DNS) - لا يمكن أن يحتوي الخادم المرن المنشور على شبكة ظاهرية على نقطة نهاية عامة.
- بعد نشر الخادم المرن إلى شبكة ظاهرية وشبكة فرعية، لا يمكنك نقله إلى شبكة ظاهرية أو شبكة فرعية أخرى.
- بعد نشر الخادم المرن، لا يمكنك نقل الشبكة الظاهرية التي يستخدمها الخادم المرن إلى مجموعة موارد أخرى أو اشتراك آخر.
- لا يمكن زيادة حجم الشبكة الفرعية (مساحات العناوين) بمجرد وجود الموارد في الشبكة الفرعية.
- لا يسمح بالتغيير من الوصول العام إلى الخاص بعد إنشاء الخادم. الطريقة الموصى بها هي استخدام الاستعادة في نقطة زمنية.
إشعار
إذا كنت تستخدم خادم DNS المخصص، يجب استخدام معيد توجيه DNS لحل FQDN لمثيل الخادم المرن لقاعدة بيانات Azure ل MySQL. راجع تحليل الاسم الذي يستخدم خادم DNS لمعرفة المزيد.
اسم المضيف
بغض النظر عن خيار الشبكة الخاص بك، نوصي باستخدام اسم المجال المؤهل بالكامل (FQDN) <servername>.mysql.database.azure.com في سلسلة الاتصال عند الاتصال بمثيل خادم Azure Database for MySQL المرن. لا ضمان لبقاء عنوان IP الخاص بالخادم ثابتاً. سيساعدك استخدام FQDN في تجنب إجراء تغييرات على سلسلة الاتصال الخاصة بك.
مثال يستخدم FQDN كاسم مضيف هو اسم المضيف = servername.mysql.database.azure.com. حيثما أمكن، تجنب استخدام اسم المضيف = 10.0.0.4 (عنوان خاص) أو اسم المضيف = 40.2.45.67 (عنوان عام).
TLS وSSL
يدعم خادم Azure Database for MySQL المرن توصيل تطبيقات العميل بمثيل خادم Azure Database for MySQL المرن باستخدام طبقة مآخذ التوصيل الآمنة (SSL) مع تشفير أمان طبقة النقل (TLS). TLS هو بروتوكول قياسي في الصناعة يضمن اتصالات الشبكة المشفرة بين خادم قاعدة البيانات وتطبيقات العميل، ما يسمح لك بالالتزام بمتطلبات التوافق.
يدعم خادم Azure Database for MySQL المرن الاتصالات المشفرة باستخدام أمان طبقة النقل (TLS 1.2) بشكل افتراضي، ويتم رفض جميع الاتصالات الواردة مع TLS 1.0 وTLS 1.1 بشكل افتراضي. يمكن تكوين وتغيير فرض الاتصال المشفر أو تكوين إصدار TLS على الخادم المرن الخاص بك.
فيما يلي التكوينات المختلفة لإعدادات SSL وTLS التي يمكنك الحصول عليها للخادم المرن:
| السيناريو | إعدادات معلمات الخادم | الوصف |
|---|---|---|
| تعطيل SSL (الاتصالات المشفرة) | require_secure_transport = OFF | إذا كان تطبيقك القديم لا يدعم الاتصالات المشفرة بمثيل خادم Azure Database for MySQL المرن، يمكنك تعطيل فرض الاتصالات المشفرة بالخادم المرن عن طريق تعيين require_secure_transport=OFF. |
| فرض SSL مع الإصدار < 1.2 من TLS | require_secure_transport = ON و tls_version = TLS 1.0 أو TLS 1.1 | إذا كان تطبيقك القديم يدعم الاتصالات المشفرة ولكنه يتطلب الإصدار < 1.2 من TLS، فيمكنك تمكين الاتصالات المشفرة، ولكن تكوين الخادم المرن للسماح بالاتصالات بإصدار TLS (الإصدار 1.0 أو v1.1) الذي يدعمه تطبيقك |
| فرض SSL مع إصدار = 1.2 من TLS (التكوين الافتراضي) | require_secure_transport = ON و tls_version = TLS 1.2 | هذا هو التكوين الموصى به والافتراضي لخادم مرن. |
| فرض SSL مع إصدار = 1.3 من TLS (مدعوم مع MySQL v8.0 والإصدار الأحدث) | require_secure_transport = ON و tls_version = TLS 1.3 | هذا مفيد ويوصى به لتطوير التطبيقات الجديدة |
إشعار
التغييرات على تشفير SSL على الخادم المرن غير مدعومة. يتم فرض مجموعات تشفير FIPS بشكل افتراضي عند تعيين tls_version إلى الإصدار 1.2 من TLS. بالنسبة لإصدارات TLS بخلاف الإصدار 1.2، يتم تعيين SSL Cipher إلى الإعدادات الافتراضية التي تأتي مع تثبيت مجتمع MySQL.
راجع كيفية الاتصال باستخدام SSL/TLS لمعرفة المزيد.
الخطوات التالية
- تعرف على كيفية تمكين الوصول الخاص (تكامل VNet) باستخدام مدخل Azure أو Azure CLI
- تعرف على كيفية تمكين الوصول العام (عناوين IP المسموح بها) باستخدام مدخل Azure أو Azure CLI
- تعرف على كيفية تكوين ارتباط خاص لقاعدة بيانات Azure لخادم MySQL المرن من مدخل Microsoft Azure.