Acceso de red privada mediante la integración de red virtual para Azure Database for MySQL: servidor flexible

SE APLICA A: Azure Database for MySQL: Servidor flexible

En este artículo se describe la opción de conectividad privada para Azure Database for MySQL: servidor flexible. Aprenda en detalle los conceptos de red virtual para Azure Database for MySQL: servidor flexible a fin de crear un servidor de forma segura en Azure.

Acceso privado (integración de red virtual)

Azure Virtual Network) es el bloque de creación fundamental para la red privada en Azure. La integración de red virtual con el servidor flexible de Azure Database for MySQL ofrece las ventajas de seguridad y aislamiento de red de Azure.

La integración de red virtual para una instancia de servidor flexible de Azure Database for MySQL le permite bloquear el acceso al servidor solo a la infraestructura de red virtual. La red virtual puede incluir todos los recursos de la aplicación y de la base de datos en una sola red virtual o puede extenderse entre diferentes redes virtuales de la misma región o de otra. La conectividad fluida entre varias redes virtuales se puede establecer mediante el emparejamiento, que usa la infraestructura troncal privada de baja latencia y ancho de banda alto de Microsoft. A efectos de conectividad las redes virtuales aparecen como una sola.

Azure Database for MySQL: servidor flexible admite la conectividad de cliente desde:

• Redes virtuales dentro de la misma región de Azure (redes virtuales emparejadas localmente)
• Redes virtuales entre regiones de Azure (redes virtuales emparejadas globales)

Las subredes le permiten segmentar la red virtual en una o varias subredes y asignar una parte del espacio de direcciones de la red virtual donde puede implementar posteriormente recursos de Azure. Azure Database for MySQL: servidor flexible requiere una subred delegada. Una subred delegada es un identificador explícito de que una subred puede hospedar solamente instancias de Azure Database for MySQL: servidor flexible. Al delegar la subred, el servicio obtiene permisos directos para crear recursos específicos del servicio para administrar sin problemas la instancia de Azure Database for MySQL: servidor flexible.

Nota:

El intervalo CIDR más pequeño que puede especificar para que la subred hospede el servidor flexible de Azure Database for MySQL es /29, que proporciona ocho direcciones IP. Sin embargo, la primera y la última dirección de cualquier red o subred no se pueden asignar a ningún host individual. Azure reserva cinco direcciones IP para uso interno de las redes de Azure, incluidas las dos direcciones IP que no se pueden asignar a un host. Esto deja tres direcciones IP disponibles para un intervalo CIDR /29. Para el servidor flexible de Azure Database for MySQL, es necesario asignar una dirección IP por nodo desde la subred delegada cuando se habilita el acceso privado. Los servidores habilitados para alta disponibilidad requieren dos direcciones IP y un servidor que no es de alta disponibilidad requiere una dirección IP. Se recomienda reservar al menos dos direcciones IP por instancia de servidor flexible de Azure Database for MySQL, ya que las opciones de alta disponibilidad se pueden habilitar más adelante. Azure Database for MySQL: servidor flexible se integra con zonas DNS privadas de Azure para proporcionar un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Una zona DNS privada se puede vincular a una o varias redes virtuales mediante la creación de vínculos de red virtual

En el diagrama anterior:

1. Las instancias de servidor flexible de Azure Database for MySQL se insertan en una subred delegada: 10.0.1.0/24 de red virtual VNet-1.
2. Las aplicaciones implementadas en subredes diferentes dentro de la misma red virtual pueden acceder directamente a las instancias de servidor flexible de Azure Database for MySQL.
3. Las aplicaciones implementadas en una red virtual diferente VNet-2 no tienen acceso directo a instancias de servidor flexible de Azure Database for MySQL. Para poder acceder a una instancia, debe realizar un emparejamiento de red virtual de zona DNS privada.

Conceptos de Virtual Network

Estos son algunos conceptos con los que familiarizarse al usar redes virtuales con instancias de servidor flexible de Azure Database for MySQL.

• Red virtual -

  Una instancia de Azure Virtual Network contiene un espacio de direcciones IP privado configurado para su uso. Para obtener más información sobre las redes virtuales de Azure, visite la Información general sobre Azure Virtual Network.

  La red virtual debe estar en la misma región de Azure que la instancia de Azure Database for MySQL: servidor flexible.

• Subred delegada -

  Una red virtual contiene subredes (redes secundarias). Las subredes permiten segmentar la red virtual en espacios de direcciones más pequeños. Los recursos de Azure se implementan en subredes específicas dentro de una red virtual.

  La instancia de Azure Database for MySQL: servidor flexible debe estar en una subred que esté delegada solo para Azure Database for MySQL: servidor flexible. Esta delegación significa que solo las instancias de Azure Database for MySQL: servidor flexible pueden usar esa subred. No puede haber otros tipos de recursos de Azure en la subred delegada. Puede delegar una subred si asigna su propiedad de delegación como Microsoft.DBforMySQL/flexibleServers.

• Grupos de seguridad de red (NSG)

  Las reglas de seguridad de grupos de seguridad de red permiten filtrar el tipo de tráfico de red que puede fluir dentro y fuera de las interfaces de red y las subredes de redes virtuales. Revise la Introducción a los grupos de seguridad de red para obtener más información.

• Integración de zonas DNS privadas

  La integración de la zona DNS privada de Azure permite resolver el DNS privado dentro de la red virtual actual o cualquier red virtual emparejada en la región en la que esté vinculada la zona DNS privada.

• Interconexión de red virtual

  Un emparejamiento de red virtual permite conectar dos o más redes virtuales en Azure sin problemas. A efectos de conectividad las redes virtuales emparejadas aparecen como una sola. El tráfico entre las máquinas virtuales de la red virtual emparejada usa la infraestructura de la red troncal de Microsoft. El tráfico entre la aplicación cliente y la instancia de servidor flexible de Azure Database for MySQL en redes virtuales emparejadas solo se enruta a través de la red privada de Microsoft y está aislada en esa red.

Uso de una zona DNS privada

• Si usa Azure Portal o la CLI de Azure para crear instancias de servidor flexible de Azure Database for MySQL con una red virtual, se aprovisiona automáticamente una nueva zona DNS privada que termina por mysql.database.azure.com servidor en la suscripción mediante el nombre del servidor proporcionado. Alternativamente, si desea configurar su propia zona DNS privada con la instancia de Azure Database for MySQL: servidor flexible, consulte la documentación de información general de DNS privada.

• Si usa la API de Azure, una plantilla de Azure Resource Manager (plantilla de ARM) o Terraform, cree zonas DNS privadas que terminen en mysql.database.azure.com y úselas al configurar instancias de Azure Database for MySQL: servidor flexible con acceso privado. Para más información, consulte la información general sobre las zonas DNS privadas.

  Importante

  Los nombres de las zonas DNS privadas deben terminar por mysql.database.azure.com. Si se va a conectar a una instancia de Azure Database for MySQL: servidor flexible con SSL y usa una opción para realizar la comprobación completa (sslmode=VERIFY_IDENTITY) con el nombre de sujeto del certificado, use <servername>.mysql.database.azure.com en la cadena de conexión.

Aprenda a crear una instancia de servidor flexible de Azure Database for MySQL con acceso privado (integración de red virtual) en Azure Portal o la CLI de Azure.

Integración con un servidor DNS personalizado

Si usa el servidor DNS personalizado, debe usar un reenviador DNS para resolver el FQDN de la instancia de Azure Database for MySQL: servidor flexible. La dirección IP del reenviador debe ser 168.63.129.16. El servidor DNS personalizado debe estar dentro de la red virtual o accesible a través de la configuración del servidor DNS de la red virtual. Para obtener más información, consulte Resolución de nombres con un servidor DNS.

Importante

Para el aprovisionamiento correcto de la instancia de Azure Database for MySQL: servidor flexible, incluso si usa un servidor DNS personalizado, no debe bloquear el tráfico DNS a AzurePlatformDNS con NSG.

Zona DNS privada y emparejamiento de red virtual

La configuración de la zona DNS privada y el emparejamiento de red virtual son independientes entre sí. Para obtener más información sobre cómo crear y usar zonas DNS privadas, consulte la sección Uso de zonas DNS privadas.

Si desea conectarse a la instancia de servidor flexible de Azure Database for MySQL desde un cliente que se aprovisiona en otra red virtual desde la misma región o una región diferente, debe vincular la zona DNS privada con la red virtual. Vea la documentación de cómo vincular la red virtual.

Nota:

Solo se pueden vincular los nombres de zonas DNS privadas que terminan con mysql.database.azure.com.

Conectar desde un servidor local a una instancia de servidor flexible de Azure Database for MySQL en una red virtual mediante ExpressRoute o VPN

En el caso de cargas de trabajo que requieran acceso a una instancia de Azure Database for MySQL: servidor flexible en una red virtual desde una red local, es necesario disponer de ExpressRoute o VPN y de una red virtual conectados al entorno local. Con esta configuración en su lugar, necesitará un reenviador DNS para resolver el nombre de la instancia de Azure Database for MySQL: servidor flexible si desea conectarse desde la aplicación cliente (como MySQL Workbench) que se ejecuta en redes virtuales locales. Este reenviador DNS es responsable de resolver todas las consultas de DNS a través de un reenviador de nivel de servidor en el servicio DNS proporcionado por Azure 168.63.129.16.

Para realizar la configuración correctamente, necesitará los siguientes recursos:

• Una red local.
• Una instancia de servidor flexible de Azure Database for MySQL aprovisionada con acceso privado (integración de red virtual).
• Una red virtual conectada al entorno local.
• Un reenviador DNS 168.63.129.16 implementado en Azure.

A continuación, puede usar el nombre del servidor (FQDN) de Azure Database for MySQL: servidor flexible para conectarse desde la aplicación cliente de la red virtual emparejada o la red local a la instancia de Azure Database for MySQL: servidor flexible.

Nota:

Se recomienda usar siempre un nombre de dominio completo (FQDN) <servername>.mysql.database.azure.com en las cadenas de conexión al conectarse a la instancia de Azure Database for MySQL: servidor flexible. No se garantiza que la dirección IP del servidor permanezca estática. El uso del FQDN le ayudará a evitar realizar cambios en la cadena de conexión.

Escenarios de red virtual no admitidos

• Punto de conexión público (o IP pública o DNS): una instancia de Azure Database for MySQL: servidor flexible implementada en una red virtual no puede tener un punto de conexión público.
• Una vez que se haya implementado la instancia de Azure Database for MySQL: servidor flexible en una red virtual y una subred, no se puede trasladar a otra red virtual o subred. No se puede trasladar la red virtual a otro grupo de recursos o suscripción.
• DNS privado configuración de integración no se puede cambiar después de la implementación.
• No se puede aumentar el tamaño de la subred (espacios de direcciones) después de que existan recursos en la subred.

Pasos siguientes

• Aprenda a habilitar el acceso privado (integración de red virtual) mediante Azure Portal o la CLI de Azure.
• Aprenda a usar TLS.