مشاركة عبر

ارتباط خاص لقاعدة بيانات Azure لـ MySQL

  • مقالة

ينطبق على: قاعدة بيانات Azure ل MySQL - خادم واحد

هام

قاعدة بيانات Azure لخادم MySQL الفردي على مسار الإيقاف. نوصي بشدة بالترقية إلى قاعدة بيانات Azure لخادم MySQL المرن. لمزيد من المعلومات حول الترحيل إلى خادم Azure Database for MySQL المرن، راجع ما الذي يحدث لقاعدة بيانات Azure لخادم MySQL الفردي؟

يسمح لك Private Link بالاتصال بخدمات PaaS المختلفة في Azure عبر نقطة نهاية خاصة. رابط Azure الخاص يجلب خدمات Azure بشكل أساسي داخل الشبكة الظاهرية الخاصة بك (VNet). يمكن الوصول إلى موارد PaaS باستخدام عنوان IP الخاص تمامًا مثل أي مورد آخر في الشبكة الظاهرية.

للحصول على قائمة خدمات منصة العمل كخدمة التي تدعم مهمة الارتباط الخاص ومراجعة وثائق الارتباط الخاص. نقطة النهاية الخاصة هي عنوان IP خاص داخل شبكة ظاهرية وشبكة فرعية مُحددة.

إشعار

تتوفر ميزة الارتباط الخاص فقط لـ Azure Database for MySQL في طبقات الأسعار للأغراض العامة أو الذاكرة المحسنة. تأكد من أن خادم قاعدة البيانات في أحد مستويات الأسعار هذه.

منع النقل غير المصرح للبيانات

يُسمح بترشيح البيانات في قاعدة بيانات Azure لـ MySQL للمستخدم المعتمد مثل مسرول قاعدة البيانات الذي بإمكانه استخراج البيانات من نظام واحد ونقله إلى موقع آخر أو نظام خارج المؤسسة. على سبيل المثال، ينقل المستخدم البيانات إلى حساب تخزين يملكه طرف ثالث.

ضع في اعتبارك سيناريو مع مستخدم يقوم بتشغيلMySQL Workbench داخل جهاز Azure الظاهري الذي يتصل بقاعدة بيانات Azure لخادم MySQL المتوفر في غرب الولايات المتحدة. يوضح المثال المذكور أدناه طريقة الحد من الوصول باستخدام نقاط النهاية العامة في قاعدة بيانات Azure لـ MySQL باستخدام التحكم بالوصول إلى الشبكة.

  • تعطيل جميع حركات مرور خدمة Azure إلى قاعدة بيانات MySQL عبر نقطة النهاية العامة من خلال وضع إعدادAllow Azure Services على OFF. تأكد من عدم السماح لأي عناوين IP أو نطاقات بالوصول إلى الخادم إما عبر قواعد جدار الحماية أو نقاط نهاية خدمة الشبكة الظاهرية.

  • لا تسمح إلا بحركة المرور إلى قاعدة البيانات في قاعدة بيانات MySQL باستخدام عنوان IP الخاص لجهاز ظاهري. للمزيد من المعلومات، راجع مقالات حول Service Endpoint و VNet firewall rules.

  • على جهاز Azure الظاهري، قم بتضييق نطاق الاتصال الصادر باستخدام مجموعات أمان الشبكة (NSGs) وعلامات الخدمة كما يلي

    • حدد قاعدة مجموعة أمان الشبكة للسماح بحركة المرور لعلامات الخدمة = SQL. WestUs - وعدم السماح إلا للاتصال بقاعدة بيانات MySQL في غرب الولايات المتحدة
    • حدد قاعدة مجموعة أمان الشبكة (ذات أولوية أعلى) لمنع حركة المرور لعلامات الخدمة = لغة الاستعلامات المركبة- رفض الاتصالات بتحديث لقاعدة بيانات Azure لـ MySQL في كاقة المناطق

في نهاية هذا الإعداد، لا يمكن لجهاز Azure الظاهري إلا الاتصال بقاعدة بيانات في قاعدة بيانات Azure لـ MySQL في منطقة غرب الولايات المتحدة. ومع ذلك، لا يقتصر الاتصال على قاعدة بيانات واحدة في قاعدة بيانات MySQL. لا يزال بإمكان الجهاز الظاهري الاتصال بأي قاعدة بيانات Azure لـ MySQL في منطقة غرب الولايات المتحدة، بما في ذلك قواعد البيانات التي ليست جزءًا من الاشتراك. بينما قمنا بتقليص نطاق النقل غير المصرح للبيانات في السيناريو أعلاه إلى منطقة معينة، لم نلغها تماما.

باستخدام الارتباط الخاص، يمكن للعملاء الآن إعداد ضوابط الوصول إلى الشبكة مثل مجموعات أمان الشبكة لتقييد الوصول إلى نقطة النهاية الخاصة. ثم يتم تعيين موارد Azure PaaS الفردية إلى نقاط نهاية خاصة معينة. لا يمكن لبرنامج ضار داخلي إلا الوصول إلى مورد PaaS المعين (على سبيل المثال قاعدة بيانات في قاعدة بيانات Azure لـ MySQL) وليس إلى مورد آخر.

الاتصال الداخلي عبر التناظر الخاص

عندما يتصل العملاء بنقطة النهاية العامة من الأجهزة الداخلية، يجب إضافة عنوان IP الخاص بك إلى جدار الحماية المستند إلى عنوان IP باستخدام قاعدة جدار حماية على مستوى الخادم. في حين أن هذا النموذج يعمل بشكل جيد للسماح بالوصول إلى الأجهزة الفردية لأحمال العمل التطوير أو اختبار، فإنه من الصعب إدارة في بيئة الإنتاج.

باستخدام الارتباط الخاص، يمكن للعملاء تمكين الوصول الداخلي إلى نقطة النهاية الخاصة باستخدام Express Route أو التناظر الخاص أو نفق VPN. ويمكنهم بعد ذلك تعطيل كافة الوصول عبر نقطة النهاية العامة وعدم استخدام جدار الحماية المستند على الـ IP.

إشعار

في بعض الحالات، تكون قاعدة بيانات Azure لـ MySQL والشبكة الفرعية للشبكة الظاهرية في اشتراكات مختلفة. في هذه الحالات، يجب عليك التأكد من التكوينات التالية:

  • تأكد من أن كلا الاشتراكين لديه موفر موارد Microsoft.DBforMySQL مسجل. للمزيد من المعلومات، راجع تسجيل مدير الموارد

عملية الإنشاء

نِقاط النهاية الخاصة مطلوبة لتمكين الارتباط الخاص. يُمكن القيام بذلك باستخدام الإرشادات التالية.

عملية الموافقة

بمجرد أن ينشئ مسؤول الشبكة نقطة النهاية الخاصة (PE)، يمكن لمسؤول MySQL إدارة اتصال نقطة النهاية الخاصة (PEC) بقاعدة بيانات Azure لـ MySQL. هذا الفصل بين الواجبات بين مسؤول الشبكة وDBA مفيد لإدارة اتصالية قاعدة بيانات Azure لاتصال MySQL.

  • انتقل إلى مورد خادم قاعدة بيانات Azure لـ MySQL في مدخل Microsoft Azure.
    • حدد اتصالات نقطة النهاية الخاصة في الجزء الأيسر
    • يعرض قائمة بجميع اتصالات نقطة النهاية الخاصة
    • تم إنشاء نقطة النهاية الخاصة المقابلة

تحديد مدخل نقطة النهاية الخاصة

  • حدد اتصالاً فرديًا لنقطة النهاية الخاصة من القائمة عن طريق تحديده.

حدد الموافقة المعلقة لنقطة النهاية الخاصة

  • يمكن لمسؤول خادم MySQL اختيار الموافقة على اتصال نقطة النهاية الخاصة أو رفضه وإضافة رد نصي قصير.

تحديد رسالة نقطة النهاية الخاصة

  • بعد الموافقة أو الرفض، سوف تعكس القائمة الحالة المناسبة مع نص الرد

تحديد الحالة النهائية لنقطة النهاية الخاصة

يمكن للعملاء الاتصال بنقطة النهاية الخاصة من نفس الشبكة الظاهرية، أو الشبكة الظاهرية المتناظرة في نفس المنطقة أو عبر المناطق، أو عبر اتصال شبكة ظاهرية بشبكة ظاهرية عبر المناطق. بالإضافة إلى ذلك، يمكن للعملاء الاتصال من الداخل الموقع باستخدام ExpressRoute أو التناظر الخاص أو نفق VPN. وفيما يلي مخطط مبسط يوضح حالات الاستخدام الشائعة.

تحديد النظرة العامة لنقطة النهاية الخاصة

الاتصال من جهاز Azure ظاهري في شبكة ظاهرية نظيرة

تكوين نظير الشبكة الافتراضية لتأسيس الاتصال بقاعدة بيانات Azure لـ MySQL من جهاز Azure الظاهري في شبكة ظاهرية نظيرة.

الاتصال من جهاز Azure الظاهري في بيئة شبكة ظاهرية لشبكة ظاهرية

تكوين اتصال بوابة VNet-to-VNet VPN لإنشاء اتصال بقاعدة بيانات Azure ل MySQL من جهاز Azure الظاهري في منطقة أو اشتراك مختلف.

الاتصال من بيئة محلية عبر VPN

لإنشاء اتصال من بيئة محلية إلى قاعدة البيانات في قاعدة بيانات Azure ل MySQL، اختر أحد الخيارات ونفذه:

من الممكن أن تحدث الحالات والنتائج التالية عندما تستخدم Private Link مع قواعد جدار الحماية:

  • إن لم تقم بتكوين أي قواعد جدار حماية، فلن تتمكن أي حركة مرور بشكل افتراضي من الوصول إلى قاعدة بيانات Azure ل MySQL.

  • إذا قمت بتكوين نسبة استخدام الشبكة العامة أو نقطة تقديم الخدمة وقمت بإنشاء نقاط نهاية خاصة، فسيتم ترخيص أنواع مختلفة من نسب استخدام الشبكة الواردة من خلال النوع المقابل لقاعدة جدار الحماية.

  • إذا لم تقم بتكوين نسبة استخدام الشبكة العامة أو نقطة تقديم الخدمة وأنشأت نقاط نهاية خاصة، فلن يمكنك الوصول إلى قاعدة بيانات Azure ل MySQL إلا من خلال نقاط النهاية الخاصة. إذا لم تقم بتكوين حركة المرور العامة أو نقطة نهاية الخدمة، بعد رفض كافة نقاط النهاية الخاصة المعتمدة أو حذفها، فلن تتمكن أي حركة مرور من الوصول إلى قاعدة بيانات Azure لـ MySQL.

رفض الوصول العام لقاعدة بيانات Azure لـ MySQL

إذا كنت تريد الاعتماد فقط على نقاط النهاية الخاصة للوصول إلى قاعدة بيانات Azure لـ MySQL، يمكنك تعطيل تعيين كافة نقاط النهاية العامة (أي قواعد جدار الحماية و نقاط نهاية خدمة VNet) عن طريق تعيين تكوين رفض الوصول إلى الشبكة العامة على خادم قاعدة البيانات.

عند تعيين هذا الإعداد إلى نعم، يسمح بالاتصالات عبر نقاط النهاية الخاصة فقط بقاعدة بيانات Azure لـ MySQL. عند تعيين هذا الإعداد إلى NO، يمكن للعملاء الاتصال بقاعدة بيانات Azure لـ MySQL استنادا إلى جدار الحماية أو إعدادات نقطة نهاية خدمة الشبكة الظاهرية. بالإضافة إلى ذلك، بمجرد تعيين قيمة الوصول إلى الشبكة الخاصة، لا يمكن للعملاء إضافة و/أو تحديث "قواعد جدار الحماية" و"قواعد نقطة نهاية خدمة الشبكة الظاهرية" الموجودة.

إشعار

تتوفر هذه الميزة في جميع مناطق Azure حيث تدعم Azure Database for MySQL - Single Server مستويات التسعير للأغراض العامة والذاكرة المحسنة.

لا يؤثر هذا الإعداد على تكوينات SSL وTLS لقاعدة بيانات Azure لـ MySQL.

لمعرفة كيفية تعيين رفض الوصول إلى الشبكة العامة لقاعدة بيانات Azure لـ MySQL من مدخل Microsoft Azure، راجع كيفية تكوين رفض الوصول إلى الشبكة العامة.

الخطوات التالية

للمزيد حول ميزات أمان قاعدة بيانات Azure لـ MySQL، راجع المقالات التالية: