Přístup pro flexibilní server Azure Database for MySQL přes privátní síť s využitím integrace virtuální sítě
PLATÍ PRO: Flexibilní server Azure Database for MySQL
Tento článek popisuje možnost privátního připojení flexibilního serveru Azure Database for MySQL. Podrobně se dozvíte o konceptech virtuální sítě pro flexibilní server Azure Database for MySQL, abyste mohli bezpečně vytvořit server v Azure.
Privátní přístup (integrace virtuální sítě)
Azure Virtual Network) je základní stavební blok vaší privátní sítě v Azure. Integrace virtuální sítě s flexibilním serverem Azure Database for MySQL přináší výhody zabezpečení a izolace sítě v Azure.
Integrace virtuální sítě pro instanci flexibilního serveru Azure Database for MySQL umožňuje uzamknout přístup k serveru pouze k infrastruktuře virtuální sítě. Vaše virtuální síť může zahrnovat všechny prostředky vaší aplikace a databáze v jedné virtuální síti nebo se můžou roztáhnout napříč různými virtuálními sítěmi ve stejné oblasti nebo v jiné oblasti. Bezproblémové připojení mezi různými virtuálními sítěmi je možné vytvořit pomocí partnerského vztahu, který využívá nízkou latenci a privátní páteřní infrastrukturu Microsoftu s velkou šířkou pásma. Virtuální sítě se zobrazují jako virtuální sítě pro účely připojení.
Flexibilní server Azure Database for MySQL podporuje připojení klientů z:
- Virtuální sítě ve stejné oblasti Azure (místně partnerské virtuální sítě)
- Virtuální sítě napříč oblastmi Azure (globální partnerské virtuální sítě)
Podsítě umožňují segmentovat virtuální síť do jedné nebo více podsítí a přidělit část adresního prostoru virtuální sítě, do které pak můžete nasadit prostředky Azure. Flexibilní server Azure Database for MySQL vyžaduje delegovanou podsíť. Delegovaná podsíť je explicitní identifikátor, který může podsíť hostovat pouze instance flexibilního serveru Azure Database for MySQL. Delegováním podsítě získá služba přímá oprávnění k vytvoření prostředků specifických pro službu pro bezproblémovou správu instance flexibilního serveru Azure Database for MySQL.
Poznámka:
Nejmenší rozsah CIDR, který můžete zadat pro podsíť pro hostování flexibilního serveru Azure Database for MySQL, je /29, což poskytuje osm IP adres. První a poslední adresa v žádné síti nebo podsíti se ale nedá přiřadit k žádnému jednotlivému hostiteli. Azure si vyhrazuje pět IP adres pro interní použití sítěmi Azure, včetně dvou IP adres, které se nedají přiřadit k hostiteli. Tím zůstanou tři dostupné IP adresy pro rozsah CIDR /29. U flexibilního serveru Azure Database for MySQL je potřeba přidělit jednu IP adresu na uzel z delegovaných podsítí, pokud je povolený privátní přístup. Servery s podporou vysoké dostupnosti vyžadují dvě IP adresy a server bez vysoké dostupnosti vyžaduje jednu IP adresu. Doporučujeme rezervovat alespoň dvě IP adresy na instanci flexibilního serveru Azure Database for MySQL, protože možnosti vysoké dostupnosti je možné povolit později. Flexibilní server Azure Database for MySQL se integruje s zónami Azure Privátní DNS a poskytuje spolehlivou zabezpečenou službu DNS pro správu a překlad názvů domén ve virtuální síti bez nutnosti přidat vlastní řešení DNS. Privátní zónu DNS je možné propojit s jednou nebo více virtuálními sítěmi vytvořením propojení virtuálních sítí.
Ve výše uvedeném diagramu:
- Instance flexibilního serveru Azure Database for MySQL se vloží do delegované podsítě – 10.0.1.0/24 virtuální sítě VNet-1.
- Aplikace nasazené v různých podsítích ve stejné virtuální síti mají přímý přístup k instancím flexibilního serveru Azure Database for MySQL.
- Aplikace nasazené v jiné virtuální síti VNet-2 nemají přímý přístup k instancím flexibilního serveru Azure Database for MySQL. Než budou mít přístup k instanci, musíte provést partnerský vztah virtuální sítě privátní zóny DNS.
Koncepty virtuální sítě
Tady je několik konceptů, které je potřeba znát při používání virtuálních sítí s instancemi flexibilního serveru Azure Database for MySQL.
Virtuální síť -
Virtuální síť Azure obsahuje privátní adresní prostor IP adres nakonfigurovaný pro vaše použití. Další informace o virtuálních sítích Azure najdete v přehledu služby Azure Virtual Network.
Vaše virtuální síť musí být ve stejné oblasti Azure jako instance flexibilního serveru Azure Database for MySQL.
Delegovaná podsíť -
Virtuální síť obsahuje podsítě (podsítě). Podsítě umožňují segmentovat virtuální síť do menších adresních prostorů. Prostředky Azure se nasazují do konkrétních podsítí v rámci virtuální sítě.
Vaše instance flexibilního serveru Azure Database for MySQL musí být v podsíti, která je delegovaná jenom pro flexibilní server Azure Database for MySQL. Toto delegování znamená, že tuto podsíť můžou používat jenom instance flexibilního serveru Azure Database for MySQL. V delegované podsíti nemůžou být žádné jiné typy prostředků Azure. Podsíť delegujete přiřazením jeho vlastnosti delegování jako Microsoft.DBforMySQL/flexibleServers.
Skupiny zabezpečení sítě (NSG)
Pravidla zabezpečení ve skupinách zabezpečení sítě umožňují filtrovat typ síťového provozu, který může přicházet do podsítí virtuálních sítí a síťových rozhraní a odcházet z nich. Další informace najdete v přehledu skupiny zabezpečení sítě.
integrace zóny Privátní DNS
Integrace privátní zóny DNS Azure umožňuje přeložit privátní DNS v rámci aktuální virtuální sítě nebo jakékoli partnerské virtuální sítě v oblasti, kde je privátní zóna DNS propojená.
Partnerský vztah virtuální sítě
Partnerský vztah virtuálních sítí umožňuje bezproblémově propojit dvě nebo více virtuálních sítí v Azure. Partnerské virtuální sítě se zobrazují jako virtuální sítě pro účely připojení. Provoz mezi virtuálními počítači v partnerských virtuálních sítích využívá páteřní infrastrukturu Microsoftu. Provoz mezi klientskou aplikací a instancí flexibilního serveru Azure Database for MySQL v partnerských virtuálních sítích se směruje pouze přes privátní síť Microsoftu a je izolovaný do této sítě.
Použití zóny Privátní DNS
Pokud k vytvoření instancí flexibilního serveru Azure Database for MySQL s virtuální sítí používáte Azure Portal nebo Azure CLI, nová privátní zóna DNS končící
mysql.database.azure.com
na server ve vašem předplatném se automaticky zřadí pomocí zadaného názvu serveru. Případně pokud chcete nastavit vlastní privátní zónu DNS s instancí flexibilního serveru Azure Database for MySQL, prohlédněte si dokumentaci k přehledu privátního DNS.Pokud používáte rozhraní Azure API, šablonu Azure Resource Manageru (šablonu ARM) nebo Terraform, vytvořte privátní zóny DNS, které končí
mysql.database.azure.com
, a použijte je při konfiguraci instancí flexibilního serveru Azure Database for MySQL s privátním přístupem. Další informace najdete v přehledu privátní zóny DNS.Důležité
Privátní DNS názvy zón musí končit .
mysql.database.azure.com
Pokud se připojujete k instanci flexibilního serveru Azure Database for MySQL pomocí protokolu SSL a používáte možnost provést úplné ověření (sslmode=VERIFY_IDENTITY) s názvem subjektu certifikátu, použijte <ve svém připojovací řetězec název_serveru.mysql.database.azure.com>.
Zjistěte, jak vytvořit instanci flexibilního serveru Azure Database for MySQL s privátním přístupem (integrace virtuální sítě) na webu Azure Portal nebo v Azure CLI.
Integrace s vlastním serverem DNS
Pokud používáte vlastní server DNS, musíte k překladu plně kvalifikovaného názvu domény instance flexibilního serveru Azure Database for MySQL použít předávač DNS. IP adresa služby předávání by měla být 168.63.129.16. Vlastní server DNS by měl být uvnitř virtuální sítě nebo dosažitelný prostřednictvím nastavení serveru DNS virtuální sítě. Další informace najdete v tématu překladu názvů, který používá váš server DNS.
Důležité
Pokud chcete úspěšně zřídit instanci flexibilního serveru Azure Database for MySQL, i když používáte vlastní server DNS, nesmíte blokovat provoz DNS do AzurePlatformDNS pomocí skupiny zabezpečení sítě.
Privátní DNS zón a partnerské vztahy virtuálních sítí
Privátní DNS nastavení zóny a partnerský vztah virtuálních sítí jsou navzájem nezávislé. Další informace o vytváření a používání Privátní DNS zón najdete v části Použití Privátní DNS zóny.
Pokud se chcete připojit k instanci flexibilního serveru Azure Database for MySQL z klienta zřízeného v jiné virtuální síti ze stejné oblasti nebo jiné oblasti, musíte propojit privátní zónu DNS s virtuální sítí. Podívejte se, jak propojit dokumentaci k virtuální síti .
Poznámka:
Propojit lze pouze názvy privátních zón DNS, které končí na mysql.database.azure.com
.
Připojení z místního serveru k instanci flexibilního serveru Azure Database for MySQL ve virtuální síti pomocí ExpressRoute nebo VPN
Pro úlohy vyžadující přístup k instanci flexibilního serveru Azure Database for MySQL ve virtuální síti z místní sítě potřebujete ExpressRoute nebo VPN a virtuální síť připojenou k místnímu prostředí. Pokud se chcete připojit z klientských aplikací (jako je MySQL Workbench) spuštěných v místních virtuálních sítích, potřebujete k překladu názvu serveru flexibilního serveru Azure Database for MySQL. Tento modul pro předávání DNS zodpovídá za vyřešení všech dotazů DNS přes modul pro předávání na úrovni serveru do služby DNS zřízené v Azure (168.63.129.16).
Ke správné konfiguraci potřebujete následující zdroje informací:
- Místní síť.
- Instance flexibilního serveru Azure Database for MySQL zřízená s privátním přístupem (integrace virtuální sítě).
- Virtuální síť připojená k místnímu prostředí.
- Služba předávání DNS 168.63.129.16 nasazená v Azure.
Pak se můžete pomocí názvu serveru flexibilního serveru Azure Database for MySQL připojit z klientské aplikace v partnerské virtuální síti nebo místní síti k instanci flexibilního serveru Azure Database for MySQL.
Poznámka:
Při připojování k instanci flexibilního serveru Azure Database for MySQL doporučujeme použít plně kvalifikovaný název domény (FQDN) <servername>.mysql.database.azure.com
v připojovací řetězec. IP adresa serveru není zaručená, že zůstane statická. Použití plně kvalifikovaného názvu domény vám pomůže vyhnout se změnám připojovací řetězec.
Nepodporované scénáře virtuálních sítí
- Veřejný koncový bod (nebo veřejná IP adresa nebo DNS) – Instance flexibilního serveru Azure Database for MySQL nasazená do virtuální sítě nemůže mít veřejný koncový bod.
- Po nasazení instance flexibilního serveru Azure Database for MySQL do virtuální sítě a podsítě ji nemůžete přesunout do jiné virtuální sítě nebo podsítě. Virtuální síť nemůžete přesunout do jiné skupiny prostředků ani předplatného.
- Privátní DNS konfiguraci integrace nelze po nasazení změnit.
- Jakmile v podsíti existují prostředky, není možné zvětšit velikost podsítě (adresní prostory).
Přechod ze sítě privátního přístupu (integrovaná virtuální síť) na veřejný přístup nebo privátní propojení
Flexibilní server Azure Database for MySQL je možné převést z privátního přístupu (integrované virtuální sítě) na veřejný přístup s možností použití služby Private Link. Tato funkce umožňuje serverům bez problémů přepnout z virtuální sítě na infrastrukturu Private Link/Public, aniž by bylo nutné měnit název serveru nebo migrovat data, což zjednodušuje proces pro zákazníky.
Poznámka:
Jakmile je přechod proveden, nelze jej vrátit zpět. Přechod zahrnuje výpadek přibližně 5 až 10 minut pro servery bez vysoké dostupnosti a přibližně 20 minut pro servery s podporou vysoké dostupnosti.
Proces se provádí v offline režimu a skládá se ze dvou kroků:
- Odpojení serveru od infrastruktury virtuální sítě
- Vytvoření služby Private Link nebo povolení veřejného přístupu
- Pokyny k přechodu ze sítě privátního přístupu na veřejný přístup nebo službu Private Link najdete v tématu Přechod z privátního přístupu (integrované virtuální sítě) na veřejný přístup nebo službu Private Link pomocí webu Azure Portal. Tento prostředek nabízí podrobné pokyny pro usnadnění procesu.