Compartir a través de

Conceptos de conectividad y redes para Azure Database for MySQL: Servidor flexible

En este artículo se presentan los conceptos para controlar la conectividad a la instancia de servidor flexible de Azure Database for MySQL. Aprenderá en detalle los conceptos de red del servidor flexible de Azure Database for MySQL para crear un servidor en Azure y acceder a él de forma segura.

El servidor flexible de Azure Database for MySQL admite tres maneras de configurar la conectividad con los servidores:

Nota

Después de implementar un servidor con acceso público o privado (a través de la integración con red virtual), no se puede modificar el modo de conectividad. Pero en el modo de acceso público, puede habilitar o deshabilitar los puntos de conexión privados según sea necesario y también deshabilitar el acceso público si es necesario.

Elección de una opción de red

Elija el método de Acceso público (direcciones IP permitidas) y punto de conexión privado si quiere las funcionalidades siguientes:

  • Conexión desde recursos de Azure que no admiten redes virtuales
  • Conexión desde recursos externos de Azure que no están conectados mediante VPN o ExpressRoute
  • El servidor flexible es accesible a través de un punto de conexión público y se puede acceder a él a través de recursos de Internet autorizados. Si es necesario, el acceso público se puede deshabilitar.
  • Capacidad de configurar puntos de conexión privados para acceder al servidor desde hosts en una red virtual (VNet)

Elija la opción de Acceso privado (integración con red virtual) si quiere las funcionalidades siguientes:

  • Conexión al servidor flexible desde recursos de Azure dentro de la misma red virtual o una red virtual emparejada sin necesidad de configurar un punto de conexión privado
  • Uso de VPN o ExpressRoute para conectarse desde recursos que no son de Azure al servidor flexible
  • Ningún punto de conexión público

Las características siguientes se aplican tanto si decide usar la opción de acceso privado como la de acceso público:

  • Las conexiones de direcciones IP permitidas deben autenticarse en la instancia de servidor flexible de Azure Database for MySQL con credenciales válidas
  • Hay Cifrado de conexión disponible para el tráfico de red
  • El servidor tiene un nombre de dominio completo (FQDN). En el caso de la propiedad hostname en las cadenas de conexión, se recomienda usar el FQDN en lugar de una dirección IP.
  • Las dos opciones controlan el acceso en el nivel de servidor, no en el nivel de base de datos o de tabla. Tendría que usar las propiedades de los roles de MySQL para controlar el acceso de bases de datos, tablas y otros objetos.

Escenarios de red virtual no admitidos

  • Punto de conexión público (o dirección IP pública o DNS): Un servidor flexible implementado en una red virtual no puede tener un punto de conexión público.
  • Una vez que se haya implementado el servidor flexible en una red virtual y una subred, no se puede trasladar a otra red virtual o subred.
  • Una vez implementado el servidor flexible, no se puede mover la red virtual que este usa a otro grupo de recursos o suscripción.
  • No se puede aumentar el tamaño de la subred (espacios de direcciones) si existen recursos en la subred.
  • No se permite el cambio de acceso público a privado después de crear el servidor. La manera recomendada es usar la restauración a un momento dado.

Nota

Si usa el servidor DNS personalizado, debe usar un reenviador DNS para resolver el FQDN de la instancia de servidor flexible de Azure Database for MySQL. Consulte Resolución de nombres que usa el servidor DNS para obtener más información.

Nombre de anfitrión

Independientemente de la opción de red, se recomienda usar el nombre de dominio completo (FQDN) <servername>.mysql.database.azure.com en cadenas de conexión al conectarse a la instancia de servidor flexible de Azure Database for MySQL. No se garantiza que la dirección IP del servidor permanezca estática. El uso del FQDN le ayudará a evitar realizar cambios en la cadena de conexión.

Un ejemplo que usa un FQDN como nombre de host es hostname = servername.mysql.database.azure.com. Siempre que sea posible, evite usar el nombre de host = 10.0.0.4 (una dirección privada) o el nombre de host = 40.2.45.67 (una dirección pública).

TLS y SSL

El servidor flexible de Azure Database for MySQL admite la conexión de las aplicaciones cliente a la instancia de servidor flexible de Azure Database for MySQL mediante el cifrado Capa de sockets seguros (SSL) con cifrado de seguridad de la capa de transporte (TLS). TLS es un protocolo estándar del sector que garantiza conexiones de red cifradas entre el servidor de bases de datos y las aplicaciones cliente, lo que le permite ajustarse a los requisitos de cumplimiento.

De manera predeterminada, el servidor flexible de Azure Database for MySQL solo admite conexiones cifradas mediante la Seguridad de la capa de transporte (TLS 1.2), y todas las conexiones entrantes con TLS 1.0 y TLS 1.1 se denegarán de manera predeterminada. La configuración de la versión de TLS o de cumplimiento de conexiones cifradas en el servidor flexible se puede configurar y cambiar.

A continuación se muestran las distintas configuraciones de SSL y TLS que puede tener para el servidor flexible:

Importante

Según la eliminación de compatibilidad con los protocolos TLS 1.0 y TLS 1.1, anteriormente planeamos eliminar completamente TLS 1.0 y 1.1 para septiembre de 2024. Sin embargo, debido a las dependencias identificadas por algunos clientes, hemos decidido ampliar la escala de tiempo.

  • A partir del 31 de agosto de 2025, comenzaremos la actualización forzada para todos los servidores que siguen usando TLS 1.0 o 1.1. Después de esta fecha, las conexiones que se basan en TLS 1.0 o 1.1 pueden dejar de funcionar en cualquier momento. Para evitar posibles interrupciones del servicio, se recomienda encarecidamente que los clientes completen su migración a TLS 1.2 antes del 31 de agosto de 2025.
  • A partir de septiembre de 2024, los nuevos servidores ya no podrán usar TLS 1.0 o 1.1, y no se permitirá que los servidores existentes cambien a estas versiones.

Se recomienda encarecidamente que los clientes actualicen sus aplicaciones para que admitan TLS 1.2 lo antes posible para evitar interrupciones del servicio.

Escenario Configuración de parámetros del servidor Descripción
Deshabilitar SSL (conexiones cifradas) require_secure_transport = OFF Si la aplicación heredada no admite conexiones cifradas a la instancia de servidor flexible de Azure Database for MySQL, puede deshabilitar la aplicación de conexiones cifradas al servidor flexible estableciendo require_secure_transport=OFF.
Aplicación de SSL con la versión de TLS < 1.2 (estará en desuso en septiembre de 2024) require_secure_transport = ON y tls_version = TLS 1.0 o TLS 1.1 Si la aplicación heredada admite conexiones cifradas, pero necesita la versión de TLS < 1.2, puede permitir conexiones cifradas, pero configurar el servidor flexible para permitir conexiones con la versión de TLS (v1.0 o v1.1) admitida por la aplicación
Exigir SSL con la versión de TLS = 1.2 (configuración predeterminada) require_secure_transport = ON y tls_version = TLS 1.2 Esta es la configuración recomendada y predeterminada para un servidor flexible.
Exigir SSL con la versión de TLS = 1.3(Compatible con MySQL v8.0 y versiones posteriores) require_secure_transport = ON y tls_version = TLS 1.3 Esto es útil y recomendado para el desarrollo de aplicaciones nuevas

Nota

No se admiten los cambios en el cifrado SSL en el servidor flexible. Los conjuntos de cifrado FIPS se aplican de forma predeterminada cuando tls_version se establece en TLS versión 1.2. En el caso de las versiones de TLS distintas de la versión 1.2, el cifrado SSL se establece en la configuración predeterminada que viene con la instalación de la comunidad de MySQL.

Revise conectarse mediante SSL/TLS para obtener información sobre cómo identificar la versión de TLS que usa .

Contenido relacionado