Private Link pro službu Azure Database for MariaDB
Důležité
Azure Database for MariaDB je na cestě vyřazení. Důrazně doporučujeme migrovat do služby Azure Database for MySQL. Další informace o migraci na Azure Database for MySQL najdete v tématu Co se děje se službou Azure Database for MariaDB?.
Private Link umožňuje vytvářet privátní koncové body pro Službu Azure Database for MariaDB a tak přináší služby Azure do vaší privátní virtuální sítě. Privátní koncový bod zveřejňuje privátní IP adresu, kterou můžete použít k připojení k databázovému serveru Azure Database for MariaDB stejně jako jakýkoli jiný prostředek ve virtuální síti.
Seznam služeb PaaS, které podporují funkce služby Private Link, najdete v dokumentaci ke službě Private Link. Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě.
Poznámka:
Funkce privátního propojení je dostupná jenom pro servery Azure Database for MariaDB na cenových úrovních Pro obecné účely nebo Optimalizováno pro paměť. Ujistěte se, že databázový server je v některé z těchto cenových úrovní.
Prevence exfiltrace dat
Filtrace ex-filtrace dat ve službě Azure Database for MariaDB je, když autorizovaný uživatel, například správce databáze, dokáže extrahovat data z jednoho systému a přesunout je do jiného umístění nebo systému mimo organizaci. Uživatel například přesune data do účtu úložiště vlastněného třetí stranou.
Představte si scénář s uživatelem, na kterém běží aplikace MariaDB Workbench uvnitř virtuálního počítače Azure, který se připojuje k instanci Azure Database for MariaDB. Tato instance MariaDB je v datacentru USA – západ. Následující příklad ukazuje, jak omezit přístup s veřejnými koncovými body ve službě Azure Database for MariaDB pomocí řízení přístupu k síti.
Zakažte veškerý provoz služby Azure do služby Azure Database for MariaDB prostřednictvím veřejného koncového bodu nastavením Povolit službám Azure vypnuto. Zajistěte, aby k serveru neměly přístup žádné IP adresy ani rozsahy prostřednictvím pravidel brány firewall nebo koncových bodů služby virtuální sítě.
Povolte provoz pouze do služby Azure Database for MariaDB pomocí privátní IP adresy virtuálního počítače. Další informace najdete v článcích o pravidlech brány firewall koncového bodu služby a virtuální sítě.
Na virtuálním počítači Azure zpřesníte rozsah odchozího připojení pomocí skupin zabezpečení sítě (NSG) a značek služeb následujícím způsobem:
- Zadejte pravidlo NSG, které povolí provoz pro značku služby = SQL. Usa – západ – povolení připojení ke službě Azure Database for MariaDB v oblasti USA – západ
- Zadejte pravidlo NSG (s vyšší prioritou) pro odepření provozu pro značku služby = SQL – odepření připojení ke službě MariaDB Database ve všech oblastech.
Na konci tohoto nastavení se virtuální počítač Azure může připojit pouze ke službě Azure Database for MariaDB v oblasti USA – západ. Připojení ale není omezeno na jednu službu Azure Database for MariaDB. Virtuální počítač se stále může připojit k jakékoli službě Azure Database for MariaDB v oblasti USA – západ, včetně databází, které nejsou součástí předplatného. I když jsme omezili rozsah exfiltrace dat ve výše uvedeném scénáři na konkrétní oblast, úplně jsme ho neodstranili.
Pomocí služby Private Link teď můžete nastavit řízení přístupu k síti, jako jsou skupiny zabezpečení sítě, a omezit tak přístup k privátnímu koncovému bodu. Jednotlivé prostředky Azure PaaS se pak mapují na konkrétní privátní koncové body. Insider se zlými úmysly má přístup jenom k mapovanému prostředku PaaS (například Azure Database for MariaDB) a k žádnému jinému prostředku.
Místní připojení přes privátní partnerský vztah
Když se připojíte k veřejnému koncovému bodu z místních počítačů, musí se vaše IP adresa přidat do brány firewall založené na PROTOKOLU IP pomocí pravidla brány firewall na úrovni serveru. I když tento model funguje dobře pro povolení přístupu k jednotlivým počítačům pro vývojové nebo testovací úlohy, je obtížné je spravovat v produkčním prostředí.
Pomocí služby Private Link můžete povolit přístup mezi místy k privátnímu koncovému bodu pomocí Express Route (ER), privátního partnerského vztahu nebo tunelu VPN. Následně můžou zakázat veškerý přístup přes veřejný koncový bod a nepoužívat bránu firewall založenou na PROTOKOLU IP.
Poznámka:
V některých případech se azure Database for MariaDB a podsíť virtuální sítě nacházejí v různých předplatných. V těchto případech musíte zajistit následující konfigurace:
- Ujistěte se, že je v předplatném zaregistrovaný poskytovatel prostředků Microsoft.DBforMariaDB . Další informace najdete v tématu registrace resource-manageru.
Konfigurace služby Private Link pro Azure Database for MariaDB
Proces vytvoření
K povolení služby Private Link se vyžadují privátní koncové body. Můžete to provést pomocí následujících návodů.
Proces schválení
Jakmile správce sítě vytvoří privátní koncový bod (PE), může správce spravovat privátní koncový bod Připojení ion (PEC) do služby Azure Database for MariaDB. Toto oddělení povinností mezi správcem sítě a DBA je užitečné pro správu připojení Azure Database for MariaDB.
- Na webu Azure Portal přejděte k prostředku serveru Azure Database for MariaDB.
- Výběr připojení privátního koncového bodu v levém podokně
- Zobrazuje seznam všech Připojení privátních koncových bodů (PEC).
- Vytvořil se odpovídající privátní koncový bod (PE)
- Vyberte jednotlivou pec ze seznamu tak, že ji vyberete.
- Správce serveru MariaDB se může rozhodnout schválit nebo odmítnout pec a volitelně přidat krátkou textovou odpověď.
- Po schválení nebo zamítnutí bude seznam odrážet odpovídající stav spolu s textem odpovědi.
Případy použití služby Private Link pro Azure Database for MariaDB
Klienti se můžou připojit k privátnímu koncovému bodu ze stejné virtuální sítě, partnerské virtuální sítě ve stejné oblasti nebo napříč oblastmi nebo prostřednictvím připojení typu VNet-to-VNet napříč oblastmi. Klienti se navíc můžou připojit z místního prostředí pomocí ExpressRoute, privátního partnerského vztahu nebo tunelového propojení VPN. Níže je zjednodušený diagram znázorňující běžné případy použití.
Připojení z virtuálního počítače Azure v partnerské virtuální síti (VNet)
Nakonfigurujte VNet Peering tak, aby navazoval připojení ke službě Azure Database for MariaDB z virtuálního počítače Azure v partnerské virtuální síti.
Připojení z virtuálního počítače Azure v prostředí VNet-to-VNet
Nakonfigurujte připojení brány VPN typu VNet-to-VNet k navázání připojení ke službě Azure Database for MariaDB z virtuálního počítače Azure v jiné oblasti nebo předplatném.
Připojení z místního prostředí přes síť VPN
Pokud chcete navázat připojení z místního prostředí ke službě Azure Database for MariaDB, zvolte a implementujte jednu z možností:
Private Link v kombinaci s pravidly firewallu
Při použití služby Private Link v kombinaci s pravidly brány firewall jsou možné následující situace a výsledky:
Pokud nenakonfigurujete žádná pravidla brány firewall, ve výchozím nastavení nebude mít žádný provoz přístup ke službě Azure Database for MariaDB.
Pokud nakonfigurujete veřejný provoz nebo koncový bod služby a vytvoříte privátní koncové body, budou různé typy příchozího provozu autorizované odpovídajícím typem pravidla brány firewall.
Pokud nenakonfigurujete žádný veřejný provoz nebo koncový bod služby a vytváříte privátní koncové body, bude služba Azure Database for MariaDB přístupná jenom prostřednictvím privátních koncových bodů. Pokud nekonfigurujete veřejný provoz ani koncový bod služby, po zamítnutí nebo odstranění všech schválených privátních koncových bodů nebude mít žádný provoz přístup ke službě Azure Database for MariaDB.
Odepření veřejného přístupu ke službě Azure Database for MariaDB
Pokud chcete pro přístup ke službě Azure Database for MariaDB zcela spoléhat jenom na privátní koncové body, můžete zakázat nastavení všech veřejných koncových bodů (pravidel brány firewall a koncových bodů služby virtuální sítě) nastavením konfigurace odepření přístupu k veřejné síti na databázovém serveru.
Pokud je toto nastavení nastaveno na ANO, budou k vaší službě Azure Database for MariaDB povolena pouze připojení prostřednictvím privátních koncových bodů. Pokud je toto nastavení nastavené na NE, můžou se klienti připojit k vaší službě Azure Database for MariaDB na základě nastavení brány firewall nebo koncového bodu služby virtuální sítě. Po nastavení hodnoty přístupu k privátní síti navíc zákazníci nemůžou přidat nebo aktualizovat stávající pravidla brány firewall a pravidla koncového bodu služby virtuální sítě.
Poznámka:
Tato funkce je dostupná ve všech oblastech Azure, kde Azure Database for PostgreSQL – Single server podporuje cenové úrovně Pro obecné účely a Optimalizováno pro paměť.
Toto nastavení nemá žádný vliv na konfigurace SSL a TLS pro vaši službu Azure Database for MariaDB.
Informace o tom, jak nastavit přístup k veřejné síti pro službu Azure Database for MariaDB z webu Azure Portal, najdete v tématu Postup konfigurace odepření přístupu k veřejné síti.
Další kroky
Další informace o funkcích zabezpečení služby Azure Database for MariaDB najdete v následujících článcích:
Informace o konfiguraci brány firewall pro Službu Azure Database for MariaDB najdete v tématu Podpora brány firewall.
Informace o konfiguraci koncového bodu služby virtuální sítě pro službu Azure Database for MariaDB najdete v tématu Konfigurace přístupu z virtuálních sítí.
Přehled připojení ke službě Azure Database for MariaDB najdete v tématu Architektura Připojení ivity služby Azure Database for MariaDB.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro