Connectivité et concepts liés aux réseaux pour Azure Database pour MySQL - Serveur flexible
S’APPLIQUE À :
Azure Database pour MySQL - Serveur flexible
Cet article présente les concepts permettant de contrôler la connectivité à votre instance de serveur flexible Azure Database pour MySQL. Vous apprenez en détail les concepts de mise en réseau pour Azure Database pour MySQL serveur flexible afin de créer et d’accéder à un serveur en toute sécurité dans Azure.
Azure Database pour MySQL serveur flexible prend en charge trois façons de configurer la connectivité à vos serveurs :
Accès public : votre serveur flexible est accessible via un point de terminaison public. Le point de terminaison public est une adresse DNS résolvable publiquement. L’expression « adresses IP autorisées » fait référence à une plage d’adresses IP que vous choisissez d’autoriser à accéder à votre serveur. Ces autorisations sont appelées règles de pare-feu.
Point de terminaison privé : vous pouvez utiliser des points de terminaison privés afin de permettre aux hôtes sur un VNet (réseau virtuel) d’accéder en toute sécurité aux données via une Liaison privée.
Accès privé (intégration au réseau virtuel) : vous pouvez déployer votre serveur flexible sur votre Réseau virtuel Microsoft Azure. Les réseaux virtuels Azure offrent des communications réseau privées et sécurisées. Les ressources incluses sur un réseau virtuel peuvent communiquer par le biais d’adresses IP privées.
Notes
Une fois le déploiement d’un serveur avec un accès public ou privé (via l’intégration au réseau virtuel) effectué, vous ne pouvez pas modifier le mode de connectivité. Toutefois, en mode d’accès public, vous pouvez activer ou désactiver des points de terminaison privés selon les besoins et également désactiver l’accès public si nécessaire.
Choisir une option de mise en réseau
Choisissez la méthode Accès public (adresses IP autorisées) et Point de terminaison privé si vous souhaitez bénéficier des fonctionnalités suivantes :
- Connexion à partir des ressources Azure sans prise en charge du réseau virtuel
- Connexion à partir de ressources situées en dehors d’Azure qui ne sont pas connectées par un réseau privé virtuel (VPN) ou ExpressRoute
- Le serveur flexible est accessible via un point de terminaison public et peut faire l’objet d’un accès via des ressources Internet autorisées. L’accès publique peut être désactivé si nécessaire.
- Possibilité de configurer des points de terminaison privés pour accéder au serveur à partir d’hôtes sur un réseau virtuel (VNet)
Choisissez Accès privé (intégration au réseau virtuel) si vous souhaitez bénéficier des fonctionnalités suivantes :
- Connexion à votre serveur flexible à partir de ressources Azure au sein du même réseau virtuel ou d’un réseau virtuel appairé sans qu’il soit nécessaire de configurer un point de terminaison privé
- Utilisation d’un VPN ou du service ExpressRoute pour vous connecter à partir de ressources non-Azure à votre serveur flexible
- Aucun point de terminaison public
Les caractéristiques suivantes s’appliquent si vous choisissez d’utiliser l’option d’accès privé ou d’accès public :
- Connecter ions des adresses IP autorisées doivent s’authentifier auprès de l’instance de serveur flexible Azure Database pour MySQL avec des informations d’identification valides
- Le chiffrement de la connexion est disponible pour votre trafic réseau.
- Le serveur a un nom de domaine complet (FQDN). Nous vous recommandons d’utiliser le fqdn au lieu d’une adresse IP pour la propriété hostname dans les chaînes de connexion.
- Les deux options contrôlent l’accès au niveau du serveur, pas au niveau de la base de données ni de la table. Vous pouvez utiliser des propriétés de rôles de MySQL pour contrôler l’accès à la base de données, à la table et à d’autres objets.
Scénarios de réseau virtuel non pris en charge
- Point de terminaison public (ou adresse IP publique ou DNS public) – Un serveur flexible déployé sur un réseau virtuel ne peut pas avoir de point de terminaison public.
- Une fois le serveur flexible déployé sur un réseau et un sous-réseau virtuel, vous ne pouvez pas le déplacer vers un autre réseau ou sous-réseau virtuel.
- Une fois que le serveur flexible est déployé, vous ne pouvez pas déplacer le réseau virtuel que le serveur flexible utilise dans un autre groupe de ressources ou un autre abonnement.
- Il est impossible d’augmenter la taille d’un sous-réseau (espaces d’adressage) une fois qu’il existe des ressources dans ce sous-réseau.
- Le passage d’un accès public à un accès privé n’est pas autorisé après la création du serveur. La méthode recommandée consiste à utiliser la restauration à un instant dans le passé.
Remarque
Si vous utilisez le serveur DNS personnalisé, vous devez utiliser un redirecteur DNS pour résoudre le nom de domaine complet de l’instance de serveur flexible Azure Database pour MySQL. Consultez Résolution de noms utilisant votre serveur DNS si vous souhaitez obtenir plus d’informations.
Nom d’hôte
Quelle que soit votre option de mise en réseau, nous vous recommandons d’utiliser le nom de domaine complet (FQDN) <servername>.mysql.database.azure.com dans chaîne de connexion s lors de la connexion à votre instance de serveur flexible Azure Database pour MySQL. Il n’est pas garanti que l’adresse IP du serveur reste statique. L’utilisation du nom de domaine complet vous permet d’éviter d’apporter des modifications à votre chaîne de connexion.
Par exemple, hostname = servername.mysql.database.azure.com utilise un FQDN comme nom d’hôte. Dans la mesure du possible, évitez d’utiliser hostname = 10.0.0.4 (adresse privée) ou nom d’hôte = 40.2.45.67 (adresse publique).
TLS et SSL
Azure Database pour MySQL serveur flexible prend en charge la connexion de vos applications clientes à l’instance de serveur flexible Azure Database pour MySQL à l’aide du chiffrement SSL (Secure Sockets Layer) avec le chiffrement TLS (Transport Layer Security). TLS est un protocole standard qui garantit la sécurité des connexions réseau entre votre serveur de base de données et vos applications clientes, ce qui vous permet de respecter les exigences de conformité.
Azure Database pour MySQL serveur flexible prend en charge les connexions chiffrées à l’aide du protocole TLS 1.2 (Transport Layer Security) par défaut, et toutes les connexions entrantes avec TLS 1.0 et TLS 1.1 sont refusées par défaut. Vous pouvez configurer et modifier la configuration de la mise en œuvre de la connexion chiffrée ou de la version TLS sur votre serveur flexible.
Voici les différentes configurations des paramètres SSL et TLS possibles pour votre serveur flexible :
| Scénario | Paramètres du serveur | Description |
|---|---|---|
| Désactiver SSL (connexions chiffrées) | require_secure_transport = OFF | Si votre application héritée ne prend pas en charge les connexions chiffrées à l’instance de serveur flexible Azure Database pour MySQL, vous pouvez désactiver l’application des connexions chiffrées à votre serveur flexible en définissant require_secure_transport=OFF. |
| Appliquer le protocole SSL avec la version TLS < 1.2 | require_secure_transport = ON et tls_version = TLS 1.0 ou TLS 1.1 | Si votre application héritée prend en charge les connexions chiffrées mais requiert la version TLS < 1.2, vous pouvez activer les connexions chiffrées, mais configurez votre serveur flexible pour autoriser les connexions avec la version TLS (v1.0 ou v1.1) prises en charge par votre application |
| Appliquer le protocole SSL avec la version TLS version = 1.2 (configuration par défaut) | require_secure_transport = ON et tls_version = TLS 1.2 | Il s’agit de la configuration par défaut recommandée pour un serveur flexible. |
| Appliquer le protocole SSL avec une version TLS = 1.3 (pris en charge avec MySQL v8.0 et versions ultérieures) | require_secure_transport = ON et tls_version = TLS 1.3 | Cette fonctionnalité est utile et recommandée pour le développement de nouvelles applications |
Notes
Les modifications apportées au chiffrement SSL sur le serveur flexible ne sont pas prises en charge. Les suites de chiffrement FIPS sont appliquées par défaut quand tls_version est défini sur TLS version 1.2. Pour les versions TLS autres que la version 1.2, le chiffrement SSL est défini sur les paramètres par défaut qui sont fournis avec l’installation de MySQL Community.
Pour en savoir plus, passez en revue la rubrique sur la connexion à l’aide du protocole SSL/TLS.
Étapes suivantes
- Découvrir comment activer l’accès privé (intégration au réseau virtuel) à l’aide du portail Azure ou d’Azure CLI
- Découvrez comment activer l’accès public (adresses IP autorisées) à l’aide du portail Azure ou d’Azure CLI
- Découvrez comment configurer une liaison privée pour Azure Database pour MySQL – Serveur flexible à partir du Portail Azure.