Pravidla brány firewall serveru Azure Database for MariaDB
Důležité
Azure Database for MariaDB je na cestě vyřazení. Důrazně doporučujeme migrovat do služby Azure Database for MySQL. Další informace o migraci na Azure Database for MySQL najdete v tématu Co se děje se službou Azure Database for MariaDB?.
Brány firewall brání veškerému přístupu k databázovému serveru, dokud nezadáte, které počítače mají oprávnění. Brána firewall uděluje přístup k serveru v závislosti na zdrojové IP adrese každého požadavku.
Pokud chcete nakonfigurovat bránu firewall, vytvořte pravidla brány firewall, která určují rozsahy přijatelných IP adres. Pravidla firewallu můžete vytvořit na úrovni serveru.
Pravidla brány firewall: Tato pravidla umožňují klientům přístup k celému serveru Azure Database for MariaDB, tj. ke všem databázím na stejném logickém serveru. Pravidla brány firewall na úrovni serveru je možné nakonfigurovat pomocí webu Azure Portal nebo příkazů Azure CLI. Pokud chcete vytvořit pravidla brány firewall na úrovni serveru, musíte být vlastníkem nebo přispěvatelem předplatného.
Přehled brány firewall
Brána firewall ve výchozím nastavení blokuje veškerý přístup k databázi k serveru Azure Database for MariaDB. Pokud chcete začít používat server z jiného počítače, musíte zadat jedno nebo více pravidel brány firewall na úrovni serveru, která umožní přístup k vašemu serveru. Pomocí pravidel brány firewall určete rozsahy IP adres z internetu, které chcete povolit. Pravidla brány firewall nemají vliv na přístup k samotnému webu Azure Portal.
Pokusy o připojení z internetu a Azure musí nejprve projít bránou firewall, než se dostanou k vaší databázi Azure Database for MariaDB, jak je znázorněno v následujícím diagramu:
Připojení z Internetu
Pravidla brány firewall na úrovni serveru platí pro všechny databáze na serveru Azure Database for MariaDB.
Pokud je IP adresa požadavku v jednom z rozsahů zadaných v pravidlech brány firewall na úrovni serveru, je připojení uděleno.
Pokud je IP adresa požadavku mimo rozsahy zadané v některém z pravidel brány firewall na úrovni databáze nebo serveru, požadavek na připojení se nezdaří.
Připojení z Azure
Doporučujeme najít odchozí IP adresu jakékoli aplikace nebo služby a explicitně povolit přístup k těmto jednotlivým IP adresám nebo rozsahům. Můžete například najít odchozí IP adresu služby Aplikace Azure nebo použít veřejnou IP adresu svázanou s virtuálním počítačem nebo jiným prostředkem (viz níže informace o připojení k privátní IP adrese virtuálního počítače přes koncové body služby).
Pokud pro vaši službu Azure není dostupná pevná odchozí IP adresa, můžete zvážit povolení připojení ze všech IP adres datacentra Azure. Toto nastavení je možné povolit na webu Azure Portal nastavením možnosti Povolit přístup ke službám Azure z podokna Zabezpečení připojení a stisknutím klávesy Uložit. Nastavení pravidla brány firewall s počáteční a koncovou adresou rovnající se hodnotě 0.0.0.0 z Azure CLI odpovídá. Pokud pokus o připojení není povolený, požadavek se nedostane na server Azure Database for MariaDB.
Důležité
Možností Povolit přístup ke službám Azure se brána firewall nakonfiguruje tak, aby povolovala všechna připojení z Azure, včetně připojení z předplatných ostatních zákazníků. Když vyberete tuto možnost, ujistěte se, že vaše přihlašovací a uživatelská oprávnění omezují přístup jenom na autorizované uživatele.
Připojení z virtuální sítě
Pokud se chcete bezpečně připojit k serveru Azure Database for MariaDB z virtuální sítě, zvažte použití koncových bodů služeb virtuální sítě.
Programová správa pravidel brány firewall
Kromě webu Azure Portal je možné pravidla brány firewall spravovat prostřednictvím kódu programu pomocí Azure CLI.
Viz také Vytvoření a správa pravidel brány firewall služby Azure Database for MariaDB pomocí Azure CLI.
Řešení potíží s bránou firewall
Při přístupu k serverové službě Microsoft Azure Database for MariaDB se nechová podle očekávání následující body:
Změny seznamu povolených změn se ještě neprojevily: Změny konfigurace brány firewall serveru Azure Database for MariaDB se můžou projevit až za pět minut.
Přihlášení není autorizované nebo se použilo nesprávné heslo: Pokud přihlášení nemá oprávnění k serveru Azure Database for MariaDB nebo je použité heslo nesprávné, připojení k serveru Azure Database for MariaDB se odepře. Vytvoření nastavení brány firewall klientům pouze poskytuje možnost pokusit se o připojení k vašemu serveru – každý klient musí dodat potřebné zabezpečené přihlašovací údaje.
Dynamická IP adresa: Pokud máte připojení k internetu s dynamickým přidělováním IP adres a máte potíže dostat se přes bránu firewall, můžete vyzkoušet jedno z následujících řešení:
Požádejte poskytovatele internetových služeb o rozsah IP adres přiřazený klientským počítačům, které přistupí k serveru Azure Database for MariaDB, a pak přidejte rozsah IP adres jako pravidlo brány firewall.
Získejte pro své klientské počítače statické přidělování IP adres a následně přidejte tyto IP adresy jako pravidla brány firewall.
Zdá se, že IP adresa serveru je veřejná: Připojení k serveru Azure Database for MariaDB se směrují přes veřejně přístupnou bránu Azure. Skutečná IP adresa serveru je však chráněná bránou firewall. Další informace najdete v článku věnovaném architektuře připojení.
Nejde se připojit z prostředku Azure s povolenou IP adresou: Zkontrolujte, jestli je pro podsíť, ze které se připojujete, povolený koncový bod služby Microsoft.Sql . Pokud je povolená služba Microsoft.Sql , znamená to, že v této podsíti chcete používat pouze pravidla koncového bodu služby virtuální sítě.
Pokud se například připojujete z virtuálního počítače Azure v podsíti s povolenou službou Microsoft.Sql, ale nemá žádné odpovídající pravidlo virtuální sítě, může se zobrazit následující chyba:
FATAL: Client from Azure Virtual Networks is not allowed to access the serverPravidlo brány firewall není dostupné pro formát IPv6: Pravidla brány firewall musí být ve formátu IPv4. Pokud zadáte pravidla brány firewall ve formátu IPv6, zobrazí se chyba ověření.