الوصول إلى الشبكة الخاصة باستخدام تكامل الشبكة الظاهرية لقاعدة بيانات Azure ل MySQL - خادم مرن
ينطبق على: 
قاعدة بيانات Azure ل MySQL - خادم مرن
توضح هذه المقالة خيار الاتصال الخاص لقاعدة بيانات Azure لخادم MySQL المرن. يمكنك التعرف بالتفصيل على مفاهيم الشبكة الظاهرية لقاعدة بيانات Azure لخادم MySQL المرن لإنشاء خادم بشكل آمن في Azure.
الوصول الخاص (تكامل الشبكة الظاهرية)
شبكة Azure الظاهرية) هي اللبنة الأساسية لشبكتك الخاصة في Azure. يوفر تكامل الشبكة الظاهرية مع قاعدة بيانات Azure لخادم MySQL المرن فوائد Azure من أمان الشبكة وعزلها.
يتيح لك تكامل الشبكة الظاهرية لقاعدة بيانات Azure لمثيل خادم MySQL المرن تأمين الوصول إلى الخادم إلى البنية الأساسية للشبكة الظاهرية فقط. يمكن أن تتضمن شبكتك الظاهرية جميع موارد التطبيق وقاعدة البيانات في شبكة ظاهرية واحدة أو يمكن أن تمتد عبر شبكات ظاهرية مختلفة في نفس المنطقة أو منطقة مختلفة. يمكن إنشاء اتصال سلس بين الشبكات الظاهرية المختلفة من خلال التناظر، والذي يستخدم البنية الأساسية الخاصة ذات زمن الانتقال المنخفض والنطاق الترددي العالي من Microsoft. تظهر الشبكات الظاهرية كشبكة واحدة لأغراض الاتصال.
تدعم قاعدة بيانات Azure لخادم MySQL المرن اتصال العميل من:
- الشبكات الظاهرية داخل نفس منطقة Azure (الشبكات الظاهرية المتناظرة محليا)
- الشبكات الظاهرية عبر مناطق Azure (الشبكات الظاهرية العالمية النظيرة)
تمكنك الشبكات الفرعية من تقسيم الشبكة الظاهرية إلى شبكة فرعية واحدة أو أكثر وتخصيص جزء من مساحة عنوان الشبكة الظاهرية التي يمكنك بعد ذلك توزيع موارد Azure إليها. تتطلب قاعدة بيانات Azure لخادم MySQL المرن شبكة فرعية مفوضة. الشبكة الفرعية المفوضة هي معرف صريح يمكن للشبكة الفرعية استضافة قاعدة بيانات Azure لمثيلات خادم MySQL المرن فقط. من خلال تفويض الشبكة الفرعية، تحصل الخدمة على أذونات مباشرة لإنشاء موارد خاصة بالخدمة لإدارة قاعدة بيانات Azure لمثيل خادم MySQL المرن بسلاسة.
إشعار
أصغر نطاق CIDR يمكنك تحديده للشبكة الفرعية لاستضافة قاعدة بيانات Azure لخادم MySQL المرن هو /29، والذي يوفر ثمانية عناوين IP. ومع ذلك، لا يمكن تعيين العنوان الأول والأخير في أي شبكة أو شبكة فرعية إلى أي مضيف فردي. يحتفظ Azure بخمسة عناوين IP للاستخدام الداخلي بواسطة شبكة Azure، بما في ذلك عنواني IP اللذين لا يمكن تعيينهما إلى مضيف. هذا يترك ثلاثة عناوين IP متوفرة لنطاق CIDR /29. بالنسبة إلى Azure Database for MySQL Flexible Server، يلزم تخصيص عنوان IP واحد لكل عقدة من الشبكة الفرعية المفوضة عند تمكين الوصول الخاص. تتطلب الخوادم التي تدعم قابلية الوصول العالية عنواني IP، ويتطلب خادم Non-HA عنوان IP واحدا. يوصى بحجز عنواني IP على الأقل لكل مثيل خادم مرن لقاعدة بيانات Azure ل MySQL، حيث يمكن تمكين خيارات التوفر العالي لاحقا. تتكامل قاعدة بيانات Azure لخادم MySQL المرن مع مناطق Azure Private DNS لتوفير خدمة DNS موثوقة وآمنة لإدارة أسماء المجالات وحلها في شبكة ظاهرية دون الحاجة إلى إضافة حل DNS مخصص. يمكن ربط منطقة DNS خاصة بشبكة ظاهرية واحدة أو أكثر عن طريق إنشاء ارتباطات شبكة ظاهرية
في الرسم التخطيطي أعلاه،
- يتم إدخال قواعد بيانات Azure لمثيلات خادم MySQL المرن في شبكة فرعية مفوضة - 10.0.1.0/24 للشبكة الظاهرية VNet-1.
- يمكن للتطبيقات المنشورة على شبكات فرعية مختلفة داخل نفس الشبكة الظاهرية الوصول إلى قاعدة بيانات Azure لمثيلات خادم MySQL المرن مباشرة.
- لا تتمتع التطبيقات المنشورة على شبكة ظاهرية مختلفة VNet-2 بالوصول المباشر إلى قاعدة بيانات Azure لمثيلات خادم MySQL المرن. قبل أن يتمكنوا من الوصول إلى مثيل، يجب إجراء شبكة ظاهرية خاصة بمنطقة DNS.
مفاهيم الشبكة الظاهرية
فيما يلي بعض المفاهيم التي يجب أن تكون على دراية بها عند استخدام الشبكات الظاهرية مع قاعدة بيانات Azure لمثيلات خادم MySQL المرن.
الشبكة الظاهرية -
تحتوي شبكة Azure الظاهرية على مساحة عنوان IP خاصة تم تكوينها للاستخدام الخاص بك. تفضل بزيارة نظرة عامة على شبكة Azure الظاهرية لمعرفة المزيد حول شبكة Azure الظاهرية.
يجب أن تكون شبكتك الظاهرية في نفس منطقة Azure مثل مثيل Azure Database for MySQL Flexible Server.
الشبكة الفرعية المفوضة -
تحتوي الشبكة الظاهرية على شبكات فرعية (شبكات فرعية). تمكنك الشبكات الفرعية من تقسيم شبكتك الظاهرية إلى مساحات عناوين أصغر. يتم توزيع موارد Azure في شبكات فرعية معينة داخل شبكة ظاهرية.
يجب أن يكون مثيل Azure Database for MySQL Flexible Server في شبكة فرعية مفوضة لاستخدام قاعدة بيانات Azure لخادم MySQL المرن فقط. يعني هذا التفويض أنه يمكن فقط لمثيلات Azure Database for MySQL Flexible Server استخدام تلك الشبكة الفرعية. لا يمكن أن توجد أنواع موارد Azure أخرى في الشبكة الفرعية المفوضة. يمكنك تفويض شبكة فرعية عن طريق تعيين خاصية التفويض الخاصة بها على أنها Microsoft.DBforMySQL/flexibleServers.
مجموعات أمان الشبكة (NSG)
تتيح لك قواعد الأمان تصفية نوع نسبة استخدام الشبكة التي يمكن أن تتدفق لداخل وخارج الشبكات الظاهرية وواجهات الشبكة. للحصول على مزيد من المعلومات، راجع نظرة عامة حول مجموعة أمان الشبكة.
تكامل منطقة DNS الخاصة
يسمح لك تكامل منطقة DNS الخاصة في Azure بحل DNS الخاص داخل الشبكة الظاهرية الحالية أو أي شبكة ظاهرية نظيرة داخل المنطقة حيث يتم ربط منطقة DNS الخاصة.
تناظر الشبكة الظاهرية
يتيح لك نظير الشبكة الظاهرية توصيل شبكتين ظاهريتين أو أكثر في Azure بسلاسة. تظهر الشبكات الظاهرية النظيرة كشبكة لأغراض الاتصال. تستخدم نسبة استخدام الشبكة بين الأجهزة الظاهرية في الشبكات الظاهرية النظيرة بنية Microsoft الأساسية الرئيسية. يتم توجيه نسبة استخدام الشبكة بين تطبيق العميل ومثيل Azure Database for MySQL Flexible Server في الشبكات الظاهرية النظيرة فقط من خلال شبكة Microsoft الخاصة ويتم عزلها إلى تلك الشبكة.
استخدام منطقة DNS الخاصة
إذا كنت تستخدم مدخل Azure أو Azure CLI لإنشاء قاعدة بيانات Azure لمثيلات خادم MySQL المرن مع شبكة ظاهرية، يتم توفير منطقة DNS خاصة جديدة تنتهي ب
mysql.database.azure.comتلقائيا لكل خادم في اشتراكك باستخدام اسم الخادم المتوفر. بدلا من ذلك، إذا كنت تريد إعداد منطقة DNS الخاصة بك باستخدام قاعدة بيانات Azure لمثيل خادم MySQL المرن، فشاهد وثائق نظرة عامة على DNS الخاصة.إذا كنت تستخدم Azure API أو قالب Azure Resource Manager (قالب ARM) أو Terraform، فقم بإنشاء مناطق DNS خاصة تنتهي
mysql.database.azure.comبها وتستخدمها أثناء تكوين قاعدة بيانات Azure لمثيلات خادم MySQL المرن مع وصول خاص. لمزيد من المعلومات، راجع نظرة عامة على منطقة DNS الخاصة .هام
يجب أن تنتهي أسماء مناطق DNS الخاصة بـ
mysql.database.azure.com. إذا كنت تتصل بمثيل Azure Database for MySQL Flexible Server باستخدام SSL وكنت تستخدم خيارا لإجراء التحقق الكامل (sslmode=VERIFY_IDENTITY) مع اسم موضوع الشهادة، فاستخدم <servername.mysql.database.azure.com> في سلسلة الاتصال.
تعرف على كيفية إنشاء مثيل Azure Database for MySQL Flexible Server مع الوصول الخاص (تكامل الشبكة الظاهرية) في مدخل Azure أو Azure CLI.
التكامل مع خادم DNS مخصص
إذا كنت تستخدم خادم DNS المخصص، فيجب عليك استخدام معيد توجيه DNS لحل FQDN لمثيل Azure Database for MySQL Flexible Server. يجب أن يكون عنوان IP الخاص بمعيد التوجيه هو 168.63.129.16. يجب أن يكون خادم DNS المخصص داخل الشبكة الظاهرية أو يمكن الوصول إليه عبر إعداد خادم DNS للشبكة الظاهرية. راجع تحليل الاسم الذي يستخدم خادم DNS لمعرفة المزيد.
هام
للتزويد الناجح لمثيل Azure Database for MySQL Flexible Server، حتى إذا كنت تستخدم خادم DNS مخصصا، يجب عدم حظر حركة مرور DNS إلى AzurePlatformDNS باستخدام NSG.
منطقة DNS الخاصة وتناظر الشبكة الظاهرية
إعدادات منطقة DNS الخاصة وتنظير الشبكة الظاهرية مستقلان عن بعضهما البعض. لمزيد من المعلومات حول إنشاء مناطق DNS الخاصة واستخدامها، راجع قسم استخدام منطقة DNS الخاصة.
إذا كنت ترغب في الاتصال بمثيل Azure Database for MySQL Flexible Server من عميل تم توفيره في شبكة ظاهرية أخرى من نفس المنطقة أو منطقة مختلفة، يجب عليك ربط منطقة DNS الخاصة بالشبكة الظاهرية. راجع كيفية ربط وثائق الشبكة الظاهرية.
إشعار
يمكن فقط ربط أسماء مناطق DNS الخاصة التي تنتهي بـ mysql.database.azure.com.
الاتصال من خادم محلي إلى مثيل Azure Database for MySQL Flexible Server في شبكة ظاهرية باستخدام ExpressRoute أو VPN
بالنسبة لأحمال العمل التي تتطلب الوصول إلى مثيل Azure Database for MySQL Flexible Server في شبكة ظاهرية من شبكة محلية، تحتاج إلى ExpressRoute أو VPN وشبكة ظاهرية متصلة محليا. مع هذا الإعداد في مكانه، تحتاج إلى معاد توجيه DNS لحل اسم خادم خادم Azure Database for MySQL Flexible Server إذا كنت تريد الاتصال من تطبيقات العميل (مثل MySQL Workbench) التي تعمل على الشبكات الظاهرية المحلية. يعد معبر إعادة توجيه DNS مسؤولًا عن حل كافة استعلامات DNS عبر معبر إعادة توجيه على مستوى الخادم إلى خدمة DNS التي توفرها Azure 168.63.129.16.
للتكوين بشكل صحيح، تحتاج إلى الموارد التالية:
- شبكة محلية.
- مثيل خادم مرن ل Azure Database for MySQL مزود بوصول خاص (تكامل الشبكة الظاهرية).
- شبكة ظاهرية متصلة محليا.
- معاد توجيه DNS 168.63.129.16 تم نشره في Azure.
يمكنك بعد ذلك استخدام قاعدة بيانات Azure ل MySQL Flexible Servername (FQDN) للاتصال من تطبيق العميل في الشبكة الظاهرية النظيرة أو الشبكة المحلية إلى مثيل Azure Database for MySQL Flexible Server.
إشعار
نوصي باستخدام اسم المجال المؤهل بالكامل (FQDN) <servername>.mysql.database.azure.com في سلسلة الاتصال عند الاتصال بقاعدة بيانات Azure لمثيل خادم MySQL المرن. لا ضمان لبقاء عنوان IP الخاص بالخادم ثابتاً. سيساعدك استخدام FQDN في تجنب إجراء تغييرات على سلسلة الاتصال الخاصة بك.
سيناريوهات الشبكة الظاهرية غير المدعومة
- نقطة النهاية العامة (أو IP العام أو DNS) - لا يمكن أن يكون لمثيل Azure Database for MySQL Flexible Server المنشور على شبكة ظاهرية نقطة نهاية عامة.
- بعد نشر مثيل Azure Database for MySQL Flexible Server إلى شبكة ظاهرية وشبكة فرعية، لا يمكنك نقلها إلى شبكة ظاهرية أو شبكة فرعية أخرى. لا يمكنك نقل الشبكة الظاهرية إلى مجموعة موارد أخرى أو اشتراك.
- لا يمكن تغيير تكوين تكامل DNS الخاص بعد النشر.
- لا يمكن زيادة حجم الشبكة الفرعية (مساحات العنوان) بعد وجود الموارد في الشبكة الفرعية.
الانتقال من شبكة الوصول الخاص (الشبكة الظاهرية المتكاملة) إلى الوصول العام أو الارتباط الخاص
يمكن نقل Azure Database for MySQL Flexible Server من الوصول الخاص (الشبكة الظاهرية المتكاملة) إلى الوصول العام، مع خيار استخدام Private Link. تمكن هذه الوظيفة الخوادم من التبديل من الشبكة الظاهرية المتكاملة إلى البنية الأساسية للارتباط الخاص/العام بسلاسة، دون الحاجة إلى تغيير اسم الخادم أو ترحيل البيانات، مما يبسط العملية للعملاء.
إشعار
أنه بمجرد إجراء الانتقال، لا يمكن عكسه. يتضمن الانتقال وقت تعطل من 5 إلى 10 دقائق تقريبا للخوادم غير HA وحوالي 20 دقيقة للخوادم التي تدعم قابلية الوصول العالية.
تتم العملية في وضع عدم الاتصال وتتألف من خطوتين:
- فصل الخادم عن البنية الأساسية للشبكة الظاهرية.
- إنشاء ارتباط خاص أو تمكين الوصول العام.
- للحصول على إرشادات حول الانتقال من شبكة الوصول الخاص إلى الوصول العام أو الارتباط الخاص، تفضل بزيارة الانتقال من الوصول الخاص (الشبكة الظاهرية المتكاملة) إلى الوصول العام أو الارتباط الخاص مع مدخل Microsoft Azure. يقدم هذا المورد إرشادات خطوة بخطوة لتسهيل العملية.