Pravidla firewallu serveru Azure Database for MySQL

PLATÍ PRO: Jednoúčelový server Azure Database for MySQL

Důležité

Jednoúčelový server Azure Database for MySQL je na cestě vyřazení. Důrazně doporučujeme upgradovat na flexibilní server Azure Database for MySQL. Další informace o migraci na flexibilní server Azure Database for MySQL najdete v tématu Co se děje s jednoúčelovým serverem Azure Database for MySQL?

Brány firewall brání veškerému přístupu k databázovému serveru, dokud nezadáte, které počítače mají oprávnění. Brána firewall uděluje přístup k serveru v závislosti na zdrojové IP adrese každého požadavku.

Pokud chcete nakonfigurovat bránu firewall, vytvořte pravidla brány firewall, která určují rozsahy přijatelných IP adres. Pravidla firewallu můžete vytvořit na úrovni serveru.

Pravidla brány firewall: Tato pravidla umožňují klientům přístup k celému serveru Azure Database for MySQL, tj. ke všem databázím na stejném logickém serveru. Pravidla brány firewall na úrovni serveru je možné nakonfigurovat pomocí webu Azure Portal nebo příkazů Azure CLI. Pokud chcete vytvořit pravidla brány firewall na úrovni serveru, musíte být vlastníkem nebo přispěvatelem předplatného.

Přehled brány firewall

Brána firewall ve výchozím nastavení blokuje veškerý přístup k databázi k vašemu serveru Azure Database for MySQL. Pokud chcete začít používat server z jiného počítače, musíte zadat jedno nebo více pravidel brány firewall na úrovni serveru, která umožní přístup k vašemu serveru. Pomocí pravidel brány firewall určete rozsahy IP adres z internetu, které chcete povolit. Pravidla brány firewall nemají vliv na přístup k samotnému webu Azure Portal.

Připojení pokusy o připojení z internetu a Azure musí nejprve projít bránou firewall, než se dostanou k vaší databázi Azure Database for MySQL, jak je znázorněno v následujícím diagramu:

Example flow of how the firewall works

Připojení z Internetu

Pravidla brány firewall na úrovni serveru platí pro všechny databáze na serveru Azure Database for MySQL.

Pokud je IP adresa požadavku v jednom z rozsahů zadaných v pravidlech brány firewall na úrovni serveru, je připojení uděleno.

Pokud je IP adresa požadavku mimo rozsahy zadané v některém z pravidel brány firewall na úrovni databáze nebo serveru, požadavek na připojení se nezdaří.

Připojení z Azure

Doporučujeme najít odchozí IP adresu jakékoli aplikace nebo služby a explicitně povolit přístup k těmto jednotlivým IP adresám nebo rozsahům. Můžete například najít odchozí IP adresu služby Aplikace Azure nebo použít veřejnou IP adresu svázanou s virtuálním počítačem nebo jiným prostředkem (viz níže informace o připojení k privátní IP adrese virtuálního počítače přes koncové body služby).

Pokud pro vaši službu Azure není dostupná pevná odchozí IP adresa, můžete zvážit povolení připojení ze všech IP adres datacentra Azure. Toto nastavení je možné povolit na webu Azure Portal nastavením možnosti Povolit přístup ke službám Azure z podokna zabezpečení Připojení ion a stisknutím klávesy Uložit. Nastavení pravidla brány firewall s počáteční a koncovou adresou rovnající se hodnotě 0.0.0.0 z Azure CLI odpovídá. Pokud pokus o připojení není povolený, požadavek se nedostane na server Azure Database for MySQL.

Důležité

Možností Povolit přístup ke službám Azure se brána firewall nakonfiguruje tak, aby povolovala všechna připojení z Azure, včetně připojení z předplatných ostatních zákazníků. Když vyberete tuto možnost, ujistěte se, že vaše přihlašovací a uživatelská oprávnění omezují přístup jenom na autorizované uživatele.

Configure Allow access to Azure services in the portal

Připojení z virtuální sítě

Pokud se chcete bezpečně připojit k serveru Azure Database for MySQL z virtuální sítě, zvažte použití koncových bodů služeb virtuální sítě.

Programová správa pravidel brány firewall

Kromě webu Azure Portal je možné pravidla brány firewall spravovat prostřednictvím kódu programu pomocí Azure CLI. Viz také Vytvoření a správa pravidel brány firewall služby Azure Database for MySQL pomocí Azure CLI

Řešení potíží s bránou firewall

Při přístupu k serverové službě Microsoft Azure Database for MySQL se nechová podle očekávání následující body:

  • Změny seznamu povolených změn se ještě neprojevily: Může to trvat až pět minut, než se projeví změny konfigurace brány firewall serveru Azure Database for MySQL.

  • Přihlášení není autorizované nebo se použilo nesprávné heslo: Pokud přihlášení nemá oprávnění k serveru Azure Database for MySQL nebo je použité heslo nesprávné, připojení k serveru Azure Database for MySQL se odepře. Vytvoření nastavení brány firewall klientům pouze poskytuje možnost pokusit se o připojení k vašemu serveru – každý klient musí dodat potřebné zabezpečené přihlašovací údaje.

  • Dynamická IP adresa: Pokud máte připojení k internetu s dynamickým přidělováním IP adres a máte potíže dostat se přes bránu firewall, můžete vyzkoušet jedno z následujících řešení:

    • Požádejte poskytovatele internetových služeb o rozsah IP adres přiřazený klientským počítačům, které přistupí k serveru Azure Database for MySQL, a pak přidejte rozsah IP adres jako pravidlo brány firewall.

    • Získejte pro své klientské počítače statické přidělování IP adres a následně přidejte tyto IP adresy jako pravidla brány firewall.

  • Zdá se, že IP adresa serveru je veřejná: Připojení iony na server Azure Database for MySQL se směrují přes veřejně přístupnou bránu Azure. Skutečná IP adresa serveru je však chráněná bránou firewall. Další informace najdete v článku věnovaném architektuře připojení.

  • Nejde se připojit z prostředku Azure s povolenou IP adresou: Zkontrolujte, jestli je pro podsíť, ze které se připojujete, povolený koncový bod služby Microsoft.Sql . Pokud je povolená služba Microsoft.Sql , znamená to, že v této podsíti chcete používat pouze pravidla koncového bodu služby virtuální sítě.

    Pokud se například připojujete z virtuálního počítače Azure v podsíti s povolenou službou Microsoft.Sql, ale nemá žádné odpovídající pravidlo virtuální sítě, může se zobrazit následující chyba:FATAL: Client from Azure Virtual Networks is not allowed to access the server

  • Pravidlo brány firewall není dostupné pro formát IPv6: Pravidla brány firewall musí být ve formátu IPv4. Pokud zadáte pravidla brány firewall ve formátu IPv6, zobrazí se chyba ověření.

Další kroky