Konnektivitäts- und Netzwerkkonzepte für Azure Database for MySQL – Flexible Server
GILT FÜR:
Azure Database for MySQL – Flexible Server
In diesem Artikel werden die Konzepte zum Steuern der Konnektivität mit Ihrer Azure-Datenbank für eine flexible Serverinstanz von MySQL vorgestellt. Sie erfahren im Detail die Netzwerkkonzepte für azure Database for MySQL flexible Server, um einen Server sicher in Azure zu erstellen und darauf zuzugreifen.
Azure Database for MySQL flexible Server unterstützt drei Möglichkeiten zum Konfigurieren der Konnektivität mit Ihren Servern:
Öffentlicher Zugriff Auf den flexiblen Server wird über einen öffentlichen Endpunkt zugegriffen. Der öffentliche Endpunkt ist eine öffentlich auflösbare DNS-Adresse. Der Ausdruck „zugelassene IP-Adressen“ bezieht sich auf einen Bereich von IP-Adressen, denen Sie die Berechtigung erteilen, auf den Server zuzugreifen. Diese Berechtigungen heißen Firewallregeln.
Privater Endpunkt Mit privaten Endpunkten können Sie es ermöglichen, dass Hosts in einem virtuellen Netzwerk VNet auf Daten über Private Link sicher zugreifen können.
Privater Zugriff (VNET-Integration) Sie können Ihren flexiblen Server in Ihrer Azure Virtual Network-Instanz bereitstellen. Virtuelle Azure-Netzwerke ermöglichen eine private und sichere Netzwerkkommunikation. Ressourcen in einem virtuellen Netzwerk können über private IP-Adressen kommunizieren.
Hinweis
Nachdem Sie einen Server mit öffentlichem oder privatem Zugriff (über die VNET-Integration) bereitgestellt haben, können Sie den Konnektivitätsmodus nicht mehr ändern. Im öffentlichen Zugriffsmodus können Sie jedoch private Endpunkte nach Bedarf aktivieren oder deaktivieren und bei Bedarf auch den öffentlichen Zugriff deaktivieren.
Auswählen einer Netzwerkoption
Wählen Sie die Methoden Öffentlicher Zugriff (zulässige IP-Adressen) und Privater Endpunkt aus, wenn Sie die folgenden Funktionen benötigen:
- Herstellen einer Verbindung mit Azure-Ressourcen ohne Unterstützung für virtuelle Netzwerke
- Herstellen einer Verbindung von Azure-externen Ressourcen aus, die weder ein VPN noch ExpressRoute unterstützen
- Der flexible Server ist über einen öffentlichen Endpunkt zugänglich und kann über autorisierte Internetressourcen aufgerufen werden. Der öffentliche Zugriff kann bei Bedarf deaktiviert werden.
- Möglichkeit zum Konfigurieren privater Endpunkte für den Zugriff auf den Server über Hosts in einem virtuellen Netzwerk (VNET)
Wählen Sie Privater Zugriff (VNet-Integration) aus, wenn Sie die folgenden Funktionen benötigen:
- Herstellen einer Verbindung mit Ihrem flexiblen Server über Azure-Ressourcen innerhalb desselben virtuellen Netzwerks oder eines virtuellen Netzwerks mit Peering, ohne dass ein privater Endpunkt konfiguriert werden muss
- Herstellen einer Verbindung von Azure-externen Ressourcen mit Ihrem flexiblen Server über ein VPN oder eine ExpressRoute-Verbindung
- Kein öffentlicher Endpunkt
Die folgenden Eigenschaften gelten unabhängig davon, ob Sie den privaten oder den öffentlichen Zugriff wählen:
- Verbinden ionen von zulässigen IP-Adressen müssen sich bei der Azure-Datenbank für mySQL flexible Serverinstanz mit gültigen Anmeldeinformationen authentifizieren.
- Für den Netzwerkdatenverkehr ist die Verbindungsverschlüsselung verfügbar.
- Der Server verfügt über einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN). Für die Hostnamenseigenschaft in Verbindungszeichenfolgen wird empfohlen, den FQDN anstelle einer IP-Adresse zu verwenden.
- Über beide Optionen wird der Zugriff auf Serverebene, nicht auf Datenbank- oder auf Tabellenebene gesteuert. Der Zugriff auf Datenbanken, Tabellen und andere Objekte wird mithilfe der Rolleneigenschaften in MySQL gesteuert.
Nicht unterstützte virtuelle Netzwerkszenarios
- Öffentlicher Endpunkt (oder öffentliche IP-Adresse oder DNS): Für eine in einem virtuellen Netzwerk bereitgestellte flexibler Server-Instanz darf kein öffentlicher Endpunkt festgelegt sein.
- Nachdem die Flexible Server-Instanz in einem virtuellen Netzwerk und einem Subnetz bereitgestellt wurde, kann sie nicht in ein anderes virtuelles Netzwerk oder Subnetz verschoben werden.
- Nachdem der flexible Server bereitgestellt wurde, können Sie das vom flexiblen Server verwendete virtuelle Netzwerk nicht in eine andere Ressourcengruppe oder ein anderes Abonnement verschieben.
- Die Subnetzgröße (Adressräume) kann nicht erhöht werden, sobald Ressourcen im Subnetz vorhanden sind.
- Der Umstieg vom öffentlichen auf privaten Zugriff ist nach Erstellen des Servers nicht zulässig. Es wird empfohlen, die Zeitpunktwiederherstellung zu verwenden.
Hinweis
Wenn Sie den benutzerdefinierten DNS-Server verwenden, müssen Sie einen DNS-Weiterleitungsserver verwenden, um den FQDN der Azure-Datenbank für die flexible Serverinstanz von MySQL aufzulösen. Weitere Informationen finden Sie unter Namensauflösung mithilfe Ihres DNS-Servers.
Hostname
Unabhängig von Ihrer Netzwerkoption empfehlen wir, den vollqualifizierten Do Standard Namen (FQDN) <servername>.mysql.database.azure.com in Verbindungszeichenfolge s zu verwenden, wenn Sie eine Verbindung mit Ihrer Azure-Datenbank für die flexible Serverinstanz von MySQL herstellen. Es ist nicht gewährleistet, dass die IP-Adresse des Servers statisch bleibt. Mithilfe des FQDN können Sie verhindern, dass Änderungen an der Verbindungszeichenfolge vorgenommen werden.
Ein Beispiel eines FQDN als Hostnamen ist: servername.mysql.database.azure.com. Vermeiden Sie nach Möglichkeit die Verwendung des Hostnamens „10.0.0.4“ (eine private Adresse) oder des Hostnamens „40.2.45.67“ (eine öffentliche Adresse).
TLS und SSL
Azure Database for MySQL flexible server supports connecting your client applications to the Azure Database for MySQL flexible server instance using Secure Sockets Layer (SSL) with Transport Layer Security (TLS) encryption. TLS ist ein Standardprotokoll der Branche, das verschlüsselte Netzwerkverbindungen zwischen dem Datenbankserver und Clientanwendungen gewährleistet, sodass Sie Konformitätsanforderungen einhalten können.
Azure Database for MySQL flexible Server unterstützt standardmäßig verschlüsselte Verbindungen mit Transport Layer Security (TLS 1.2), und alle eingehenden Verbindungen mit TLS 1.0 und TLS 1.1 werden standardmäßig verweigert. Die Erzwingung einer verschlüsselten Verbindung oder die TLS-Versionskonfiguration bei Ihrem flexiblen Server kann konfiguriert und geändert werden.
Im Folgenden sind die verschiedenen Konfigurationen von SSL- und TLS-Einstellungen aufgeführt, die Sie bei Ihrem flexiblen Server verwenden können:
| Szenario | Einstellungen für Serverparameter | BESCHREIBUNG |
|---|---|---|
| SSL deaktivieren (verschlüsselte Verbindungen) | require_secure_transport = OFF | Wenn Ihre Legacyanwendung verschlüsselte Verbindungen mit der flexiblen Azure-Datenbank für MySQL-Serverinstanz nicht unterstützt, können Sie die Erzwingung verschlüsselter Verbindungen mit Ihrem flexiblen Server deaktivieren, indem Sie require_secure_transport=OFF festlegen. |
| Erzwingen von SSL bei der TLS-Version < 1.2 | require_secure_transport = ON und tls_version = TLS 1.0 oder TLS 1.1 | Wenn Ihre Legacy-Anwendung verschlüsselte Verbindungen unterstützt, aber TLS-Version < 1.2 erfordert, können Sie verschlüsselte Verbindungen aktivieren, müssen aber Ihren flexiblen Server so konfigurieren, dass Verbindungen mit der von Ihrer Anwendung unterstützten TLS-Version (v1.0 oder v1.1) zulässig sind. |
| SSL mit TLS-Version = 1.2 erzwingen (Standardkonfiguration) | require_secure_transport = ON und tls_version = TLS 1.2 | Dies ist die empfohlene Standardkonfiguration für einen flexiblen Server. |
| SSL mit TLS-Version = 1.3 erzwingen (unterstützt bei MySQL v8.0 und höher) | require_secure_transport = ON und tls_version = TLS 1.3 | Dies ist nützlich und wird für die Entwicklung neuer Anwendungen empfohlen. |
Hinweis
Änderungen am SSL-Verschlüsselungsverfahren bei dem flexiblen Server werden nicht unterstützt. FIPS-Verschlüsselungssammlungen werden standardmäßig erzwungen, wenn „tls_version“ auf „TLS-Version 1.2“ festgelegt wird. Bei anderen TLS-Versionen als Version 1.2 wird das SSL-Verschlüsselungsverfahren auf die Standardeinstellungen festgelegt, die in der MySQL-Communityinstallation enthalten sind.
Weitere Informationen finden Sie unter Herstellen einer Verbindung mithilfe von SSL/TLS.
Nächste Schritte
- Unter den folgenden Links erfahren Sie, wie Sie den privaten Zugriff (VNET-Integration) über das Azure-Portal oder die Azure CLI aktivieren.
- Lesen Sie die Informationen zum Aktivieren von „Öffentlicher Zugriff (zugelassene IP-Adressen)“ mit dem Azure-Portal oder der Azure CLI.
- Erfahren Sie mehr über das Konfigurieren von Private Link für Azure Database for MySQL – Flexibler Server über das Azure-Portal.