Konnektivitäts- und Netzwerkkonzepte für Azure Database for MySQL – Flexible Server

In diesem Artikel werden die Konzepte zum Steuern der Konnektivität mit Ihrer Instanz von Azure Database for MySQL – flexibler Server vorgestellt. Sie erlernen im Detail die Netzwerkkonzepte für Azure Database for MySQL – flexibler Server, die für die Erstellung eines Servers und den sicheren Zugriff darauf in Azure erforderlich sind.

Azure Database for MySQL – flexibler Server unterstützt drei Möglichkeiten zum Konfigurieren der Konnektivität mit Ihren Servern:

• Zugriff auf das öffentliche Netzwerk für Azure Database for MySQL – flexibler Server: Ihr flexibler Server wird über einen öffentlichen Endpunkt aufgerufen. Der öffentliche Endpunkt ist eine öffentlich auflösbare DNS-Adresse. Der Ausdruck „zugelassene IP-Adressen“ bezieht sich auf einen Bereich von IP-Adressen, denen Sie die Berechtigung erteilen, auf den Server zuzugreifen. Diese Berechtigungen heißen Firewallregeln.

• Privater Endpunkt Mit privaten Endpunkten können Sie es ermöglichen, dass Hosts in einem virtuellen Netzwerk VNet auf Daten über Private Link sicher zugreifen können.

• Privater Netzwerkzugriff über die Integration virtueller Netzwerke für Azure Database for MySQL – flexibler Server Sie können Ihren flexiblen Server in Ihrem eigenen virtuellen Azure-Netzwerk bereitstellen. Virtuelle Azure-Netzwerke ermöglichen eine private und sichere Netzwerkkommunikation. Ressourcen in einem virtuellen Netzwerk können über private IP-Adressen kommunizieren.

Hinweis

Nachdem Sie einen Server mit öffentlichem oder privatem Zugriff (über die VNET-Integration) bereitgestellt haben, können Sie den Konnektivitätsmodus nicht mehr ändern. Im öffentlichen Zugriffsmodus können Sie jedoch private Endpunkte nach Bedarf aktivieren oder deaktivieren und bei Bedarf auch den öffentlichen Zugriff deaktivieren.

Auswählen einer Netzwerkoption

Wählen Sie die Methoden Öffentlicher Zugriff (zulässige IP-Adressen) und Privater Endpunkt aus, wenn Sie die folgenden Funktionen benötigen:

• Herstellen einer Verbindung mit Azure-Ressourcen ohne Unterstützung für virtuelle Netzwerke
• Herstellen einer Verbindung von Azure-externen Ressourcen aus, die weder ein VPN noch ExpressRoute unterstützen
• Der flexible Server ist über einen öffentlichen Endpunkt zugänglich und kann über autorisierte Internetressourcen aufgerufen werden. Der öffentliche Zugriff kann bei Bedarf deaktiviert werden.
• Möglichkeit zum Konfigurieren privater Endpunkte für den Zugriff auf den Server über Hosts in einem virtuellen Netzwerk (VNET)

Wählen Sie Privater Zugriff (VNet-Integration) aus, wenn Sie die folgenden Funktionen benötigen:

• Herstellen einer Verbindung mit Ihrem flexiblen Server über Azure-Ressourcen innerhalb desselben virtuellen Netzwerks oder eines virtuellen Netzwerks mit Peering, ohne dass ein privater Endpunkt konfiguriert werden muss
• Herstellen einer Verbindung von Azure-externen Ressourcen mit Ihrem flexiblen Server über ein VPN oder eine ExpressRoute-Verbindung
• Kein öffentlicher Endpunkt

Die folgenden Eigenschaften gelten unabhängig davon, ob Sie den privaten oder den öffentlichen Zugriff wählen:

• Verbindungen von zugelassenen IP-Adressen müssen bei der Instanz von Azure Database for MySQL – flexibler Server mit gültigen Anmeldeinformationen authentifiziert werden
• Für den Netzwerkdatenverkehr ist die Verbindungsverschlüsselung verfügbar
• Der Server verfügt über einen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN). Für die Hostnamenseigenschaft in Verbindungszeichenfolgen wird empfohlen, den FQDN anstelle einer IP-Adresse zu verwenden.
• Über beide Optionen wird der Zugriff auf Serverebene, nicht auf Datenbank- oder auf Tabellenebene gesteuert. Der Zugriff auf Datenbanken, Tabellen und andere Objekte wird mithilfe der Rolleneigenschaften in MySQL gesteuert.

Nicht unterstützte virtuelle Netzwerkszenarios

• Öffentlicher Endpunkt (oder öffentliche IP-Adresse oder DNS): Für eine in einem virtuellen Netzwerk bereitgestellte Instanz des flexiblen Servers darf kein öffentlicher Endpunkt festgelegt sein.
• Nachdem die Instanz des flexiblen Servers in einem virtuellen Netzwerk und einem Subnetz bereitgestellt wurde, kann sie nicht in ein anderes virtuelles Netzwerk oder Subnetz verschoben werden.
• Nachdem der flexible Server bereitgestellt wurde, können Sie das vom flexiblen Server verwendete virtuelle Netzwerk nicht mehr in eine andere Ressourcengruppe oder ein anderes Abonnement verschieben.
• Die Subnetzgröße (Adressräume) kann nicht erhöht werden, sobald Ressourcen im Subnetz vorhanden sind.
• Der Umstieg vom öffentlichen auf privaten Zugriff ist nach Erstellen des Servers nicht zulässig. Es wird empfohlen, die Zeitpunktwiederherstellung zu verwenden.

Hinweis

Wenn Sie den benutzerdefinierten DNS-Server verwenden, müssen Sie eine DNS-Weiterleitung verwenden, um den FQDN der Instanz von Azure Database for MySQL – flexibler Server aufzulösen. Weitere Informationen finden Sie unter Namensauflösung mithilfe Ihres DNS-Servers.

Rechnername

Unabhängig von Ihrer Netzwerkoption empfiehlt es sich, beim Herstellen einer Verbindung mit Azure Database for MySQL – flexibler Server den vollqualifizierten Domänennamen (FQDN) <servername>.mysql.database.azure.com in Verbindungszeichenfolgen anzugeben. Es ist nicht gewährleistet, dass die IP-Adresse des Servers statisch bleibt. Mithilfe des FQDN können Sie verhindern, dass Änderungen an der Verbindungszeichenfolge vorgenommen werden.

Ein Beispiel eines FQDN als Hostnamen ist: servername.mysql.database.azure.com. Vermeiden Sie nach Möglichkeit die Verwendung des Hostnamens „10.0.0.4“ (eine private Adresse) oder des Hostnamens „40.2.45.67“ (eine öffentliche Adresse).

TLS und SSL

Azure Database for MySQL – flexibler Server unterstützt das Herstellen einer Verbindung zwischen Ihren Clientanwendungen und der Instanz von Azure Database for MySQL – flexibler Server über Secure Sockets Layer (SSL) mit TLS-Verschlüsselung (Transport Layer Security). TLS ist ein Standardprotokoll der Branche, das verschlüsselte Netzwerkverbindungen zwischen dem Datenbankserver und Clientanwendungen gewährleistet, sodass Sie Konformitätsanforderungen einhalten können.

Azure Database for MySQL – flexibler Server unterstützt standardmäßig verschlüsselte Verbindungen mit Transport Layer Security (TLS 1.2), und alle eingehenden Verbindungen mit TLS 1.0 und TLS 1.1 werden standardmäßig verweigert. Die Erzwingung einer verschlüsselten Verbindung oder die TLS-Versionskonfiguration bei Ihrem flexiblen Server kann konfiguriert und geändert werden.

Im Folgenden sind die verschiedenen Konfigurationen von SSL- und TLS-Einstellungen aufgeführt, die Sie bei Ihrem flexiblen Server verwenden können:

Wichtig

Gemäß der Entfernung des Supports für die TLS 1.0- und TLS 1.1-Protokolle haben wir zuvor geplant, TLS 1.0 und 1.1 bis September 2024 vollständig zu beenden. Aufgrund von Abhängigkeiten, die von einigen Kunden identifiziert wurden, haben wir uns jedoch entschieden, die Zeitachse zu erweitern.

• Ab dem 31. August 2025 beginnen wir das erzwungene Upgrade für alle Server, die weiterhin TLS 1.0 oder 1.1 verwenden. Nach diesem Datum können alle Verbindungen, die auf TLS 1.0 oder 1.1 basieren, jederzeit nicht mehr funktionieren. Um potenzielle Dienstunterbrechungen zu vermeiden, empfehlen wir dringend, dass Kunden ihre Migration zu TLS 1.2 vor dem 31. August 2025 abschließen.
• Ab September 2024 dürfen keine neuen Server mehr TLS 1.0 oder 1.1 verwenden, und vorhandene Server dürfen diese Versionen nicht herabstufen.

Es wird dringend empfohlen, dass Kunden ihre Anwendungen aktualisieren, um TLS 1.2 so schnell wie möglich zu unterstützen, um Dienstunterbrechungen zu vermeiden.

Szenario	Einstellungen für Serverparameter	Beschreibung
SSL deaktivieren (verschlüsselte Verbindungen)	require_secure_transport = OFF	Wenn Ihre Legacy-Anwendung keine verschlüsselten Verbindungen mit einer Instanz von Azure Database for MySQL – flexibler Server unterstützt, können Sie die Erzwingung von verschlüsselten Verbindungen mit Ihrem flexiblen Server deaktivieren, indem Sie „require_secure_transport=OFF“ festlegen.
Erzwingen von SSL mit TLS Version < 1.2 (Wird im September 2024 veraltet)	require_secure_transport = ON und tls_version = TLS 1.0 oder TLS 1.1	Wenn Ihre Legacy-Anwendung verschlüsselte Verbindungen unterstützt, aber eine TLS-Version < 1.2 erfordert, können Sie verschlüsselte Verbindungen aktivieren, müssen aber Ihren flexiblen Server so konfigurieren, dass Verbindungen mit der von der Anwendung unterstützten TLS-Version (v1.0 oder v1.1) zulässig sind
SSL mit TLS-Version = 1.2 erzwingen (Standardkonfiguration)	require_secure_transport = ON und tls_version = TLS 1.2	Dies ist die empfohlene Standardkonfiguration für einen flexiblen Server.
SSL mit TLS-Version = 1.3 erzwingen (unterstützt bei MySQL v8.0 und höher)	require_secure_transport = ON und tls_version = TLS 1.3	Dies ist nützlich und wird für die Entwicklung neuer Anwendungen empfohlen

Hinweis

Änderungen am SSL-Verschlüsselungsverfahren bei dem flexiblen Server werden nicht unterstützt. FIPS-Verschlüsselungssammlungen werden standardmäßig erzwungen, wenn „tls_version“ auf „TLS-Version 1.2“ festgelegt wird. Bei anderen TLS-Versionen als Version 1.2 wird das SSL-Verschlüsselungsverfahren auf die Standardeinstellungen festgelegt, die in der MySQL-Communityinstallation enthalten sind.

Lesen Sie Herstellen einer Verbindung mithilfe von SSL/TLS-, um zu erfahren, wie Sie die verwendete TLS-Version ermitteln.

Verwandte Inhalte

• Erstellen und Verwalten von virtuellen Netzwerken für Azure Database for MySQL – Flexibler Server über das Azure-Portal
• Erstellen und Verwalten von virtuellen Netzwerken für Azure Database for MySQL – Flexibler Server mithilfe der Azure CLI
• Verwalten von Firewallregeln für Azure Database for MySQL – Flexibler Server über das Azure-Portal
• Verwalten von Firewallregeln für Azure Database for MySQL – Flexible Server mithilfe der Azure CLI
• Konfigurieren von Private Link für Azure Database for MySQL – flexibler Server über das Azure-Portal