Connectivité et concepts liés aux réseaux pour Azure Database pour MySQL - Serveur flexible
S’APPLIQUE À : Azure Database pour MySQL – Serveur flexible
Cet article présente les concepts permettant de contrôler la connectivité à votre instance de serveur flexible Azure Database pour MySQL. Vous découvrez en détail les concepts de mise en réseau d’un serveur flexible Azure Database pour MySQL afin de créer un serveur dans Azure et d’y accéder en toute sécurité.
Le serveur flexible Azure Database pour MySQL prend en charge trois méthodes de configuration de connectivité à vos serveurs :
Accès public : votre serveur flexible est accessible via un point de terminaison public. Le point de terminaison public est une adresse DNS résolvable publiquement. L’expression « adresses IP autorisées » fait référence à une plage d’adresses IP que vous choisissez d’autoriser à accéder à votre serveur. Ces autorisations sont appelées règles de pare-feu.
Point de terminaison privé : vous pouvez utiliser des points de terminaison privés afin de permettre aux hôtes sur un VNet (réseau virtuel) d’accéder en toute sécurité aux données via une Liaison privée.
Accès privé (intégration au réseau virtuel) : vous pouvez déployer votre serveur flexible sur votre Réseau virtuel Microsoft Azure. Les réseaux virtuels Azure offrent des communications réseau privées et sécurisées. Les ressources incluses sur un réseau virtuel peuvent communiquer par le biais d’adresses IP privées.
Notes
Une fois le déploiement d’un serveur avec un accès public ou privé (via l’intégration au réseau virtuel) effectué, vous ne pouvez pas modifier le mode de connectivité. Toutefois, en mode d’accès public, vous pouvez activer ou désactiver des points de terminaison privés selon les besoins et également désactiver l’accès public si nécessaire.
Choisir une option de mise en réseau
Choisissez la méthode Accès public (adresses IP autorisées) et Point de terminaison privé si vous souhaitez bénéficier des fonctionnalités suivantes :
- Connexion à partir des ressources Azure sans prise en charge du réseau virtuel
- Connexion à partir de ressources situées en dehors d’Azure qui ne sont pas connectées par un réseau privé virtuel (VPN) ou ExpressRoute
- Le serveur flexible est accessible via un point de terminaison public et peut faire l’objet d’un accès via des ressources Internet autorisées. L’accès publique peut être désactivé si nécessaire.
- Possibilité de configurer des points de terminaison privés pour accéder au serveur à partir d’hôtes sur un réseau virtuel (VNet)
Choisissez Accès privé (intégration au réseau virtuel) si vous souhaitez bénéficier des fonctionnalités suivantes :
- Connexion à votre serveur flexible à partir de ressources Azure au sein du même réseau virtuel ou d’un réseau virtuel appairé sans qu’il soit nécessaire de configurer un point de terminaison privé
- Utilisation d’un VPN ou du service ExpressRoute pour vous connecter à partir de ressources non-Azure à votre serveur flexible
- Aucun point de terminaison public
Les caractéristiques suivantes s’appliquent si vous choisissez d’utiliser l’option d’accès privé ou d’accès public :
- Les connexions provenant d’adresses IP autorisées doivent s’authentifier auprès de l’instance de serveur flexible Azure Database pour MySQL avec des informations d’identification valides
- Le chiffrement de la connexion est disponible pour votre trafic réseau.
- Le serveur a un nom de domaine complet (FQDN). Nous vous recommandons d’utiliser le fqdn au lieu d’une adresse IP pour la propriété hostname dans les chaînes de connexion.
- Les deux options contrôlent l’accès au niveau du serveur, pas au niveau de la base de données ni de la table. Vous pouvez utiliser des propriétés de rôles de MySQL pour contrôler l’accès à la base de données, à la table et à d’autres objets.
Scénarios de réseau virtuel non pris en charge
- Point de terminaison public (ou adresse IP publique ou DNS public) – Un serveur flexible déployé sur un réseau virtuel ne peut pas avoir de point de terminaison public.
- Une fois le serveur flexible déployé sur un réseau et un sous-réseau virtuel, vous ne pouvez pas le déplacer vers un autre réseau ou sous-réseau virtuel.
- Une fois que le serveur flexible est déployé, vous ne pouvez pas déplacer le réseau virtuel que le serveur flexible utilise dans un autre groupe de ressources ou un autre abonnement.
- Il est impossible d’augmenter la taille d’un sous-réseau (espaces d’adressage) une fois qu’il existe des ressources dans ce sous-réseau.
- Le passage d’un accès public à un accès privé n’est pas autorisé après la création du serveur. La méthode recommandée consiste à utiliser la restauration à un instant dans le passé.
Remarque
Si vous utilisez le serveur DNS personnalisé, vous devez utiliser un redirecteur DNS pour résoudre le FQDN de l’instance de serveur flexible Azure Database pour MySQL. Consultez Résolution de noms utilisant votre serveur DNS si vous souhaitez obtenir plus d’informations.
Nom d’hôte
Quelle que soit votre option de mise en réseau, nous vous recommandons d’utiliser le nom de domaine complet (FQDN) <servername>.mysql.database.azure.com
dans les chaînes de connexion quand vous vous connectez à votre instance de serveur flexible Azure Database pour MySQL. Il n’est pas garanti que l’adresse IP du serveur reste statique. L’utilisation du nom de domaine complet vous permet d’éviter d’apporter des modifications à votre chaîne de connexion.
Par exemple, hostname = servername.mysql.database.azure.com utilise un FQDN comme nom d’hôte. Dans la mesure du possible, évitez d’utiliser hostname = 10.0.0.4 (adresse privée) ou nom d’hôte = 40.2.45.67 (adresse publique).
TLS et SSL
Le serveur flexible Azure Database pour MySQL prend en charge la connexion de vos applications clientes à l’instance de serveur flexible Azure Database pour MySQL en utilisant le chiffrement SSL (Secure Sockets Layer) avec le protocole TLS (Transport Layer Security). TLS est un protocole standard qui garantit la sécurité des connexions réseau entre votre serveur de base de données et vos applications clientes, ce qui vous permet de respecter les exigences de conformité.
Le serveur flexible Azure Database pour MySQL prend en charge par défaut les connexions chiffrées utilisant TLS (Transport Layer Security) 1.2. Toutes les connexions entrantes qui utilisent TLS 1.0 et TLS 1.1 sont refusées par défaut. Vous pouvez configurer et modifier la configuration de la mise en œuvre de la connexion chiffrée ou de la version TLS sur votre serveur flexible.
Voici les différentes configurations des paramètres SSL et TLS possibles pour votre serveur flexible :
Important
Conformément à la Suppression de la prise en charge des protocole TLS 1.0 et TLS 1.1, à compter de début septembre 2024, les nouveaux serveurs ne seront plus autorisés à utiliser TLS 1.0 ou 1.1, et les serveurs existants ne seront pas autorisés à passer à ces versions antérieures. À compter de la mi-septembre 2024, nous lancerons une mise à niveau obligatoire de tous les serveurs qui utilisent actuellement TLS 1.0 ou 1.1 vers TLS 1.2. Ce processus de mise à niveau doit être terminé à la fin du mois de septembre 2024. Nous recommandons vivement aux clients de s’assurer que leurs applications sont entièrement compatibles avec TLS 1.2 avant la fin du mois de septembre.
Scénario | Paramètres du serveur | Description |
---|---|---|
Désactiver SSL (connexions chiffrées) | require_secure_transport = OFF | Si votre application héritée ne prend pas en charge les connexions chiffrées à l’instance de serveur flexible Azure Database pour MySQL, vous pouvez désactiver l’application des connexions chiffrées à votre serveur flexible en définissant require_secure_transport=OFF. |
Appliquer SSL avec la version TLS < 1.2 (sera déconseillé en septembre 2024) | require_secure_transport = ON et tls_version = TLS 1.0 ou TLS 1.1 | Si votre application héritée prend en charge les connexions chiffrées mais requiert la version TLS < 1.2, vous pouvez activer les connexions chiffrées, mais configurez votre serveur flexible pour autoriser les connexions avec la version TLS (v1.0 ou v1.1) prises en charge par votre application |
Appliquer le protocole SSL avec la version TLS version = 1.2 (configuration par défaut) | require_secure_transport = ON et tls_version = TLS 1.2 | Il s’agit de la configuration par défaut recommandée pour un serveur flexible. |
Appliquer le protocole SSL avec une version TLS = 1.3 (pris en charge avec MySQL v8.0 et versions ultérieures) | require_secure_transport = ON et tls_version = TLS 1.3 | Cette fonctionnalité est utile et recommandée pour le développement de nouvelles applications |
Notes
Les modifications apportées au chiffrement SSL sur le serveur flexible ne sont pas prises en charge. Les suites de chiffrement FIPS sont appliquées par défaut quand tls_version est défini sur TLS version 1.2. Pour les versions TLS autres que la version 1.2, le chiffrement SSL est défini sur les paramètres par défaut qui sont fournis avec l’installation de MySQL Community.
Passez en revue Se connecter à l’aide de SSL/TLS pour apprendre comment identifier la version TLS que vous utilisez.
Étapes suivantes
- Découvrir comment activer l’accès privé (intégration au réseau virtuel) à l’aide du portail Azure ou d’Azure CLI
- Découvrez comment activer l’accès public (adresses IP autorisées) à l’aide du portail Azure ou d’Azure CLI
- Découvrez comment configurer une liaison privée pour Azure Database pour MySQL – Serveur flexible à partir du Portail Azure.