Lien privé pour Azure Database for MySQL - Serveur flexible

S’APPLIQUE À : Azure Database pour MySQL – Serveur flexible

Private Link vous permet de vous connecter à différents services PaaS, tels qu’au serveur flexible Azure Database pour MySQL, dans Azure via un point de terminaison privé. Azure Private Link intègre essentiellement les services Azure à votre Réseau virtuel privé. À l’aide de l’adresse IP privée, le serveur flexible MySQL est accessible comme n’importe quelle autre ressource au sein du réseau virtuel.

Un point de terminaison privé est une adresse IP privée au sein d’un réseau virtuel et d’un sous-réseau spécifiques.

Remarque

• L’activation de Private Link est possible seulement pour les instances du serveur flexible Azure Database pour MySQL créées avec un accès public. Découvrez comment activer le point de terminaison privé à l’aide du portail Azure ou d’Azure CLI.

Avantages du serveur flexible Private Link pour MySQL

Voici quelques avantages de l’utilisation de la fonctionnalité de liaison privée de mise en réseau avec le serveur flexible Azure Database pour MySQL.

Prévention de l’exfiltration de données

L’exfiltration de données dans le serveur flexible Azure Database pour MySQL se produit quand un utilisateur autorisé, tel qu’un administrateur de base de données, peut extraire des données d’un système et les déplacer vers un autre emplacement ou système en dehors de l’organisation. C’est par exemple le cas quand un utilisateur déplace des données vers un compte de stockage détenu par un tiers.

Grâce à Private Link, vous pouvez désormais configurer des contrôles d’accès réseau comme des groupes de sécurité réseau pour restreindre l’accès au point de terminaison privé. En mappant des ressources PaaS Azure individuelles à des points de terminaison privés spécifiques, l’accès est limité uniquement à la ressource PaaS désignée. Cela empêche efficacement un utilisateur malveillant d’accéder à toute autre ressource au-delà de son étendue autorisée.

Connectivité locale sur un appairage privé

Lorsque vous vous connectez au point de terminaison public à partir de machines locales, votre adresse IP doit être ajoutée au pare-feu IP à l’aide d’une règle de pare-feu au niveau du serveur. Bien que ce modèle permet d’autoriser l’accès à des machines individuelles pour des charges de travail de développement ou de test, il est difficile à gérer dans un environnement de production.

Grâce à Private Link, vous pouvez activer l’accès entre différents locaux au point de terminaison privé en utilisant ExpressRoute (ER), un peering privé ou un tunnel VPN. Vous pouvez ensuite désactiver tous les accès via le point de terminaison public et ne pas utiliser le pare-feu IP.

Remarque

Il peut arriver que l’instance du serveur flexible Azure Database pour MySQL et le sous-réseau de réseau virtuel soient dans des abonnements différents. Dans ces cas-là, vous devez vérifier les configurations suivantes :

• Assurez-vous que le fournisseur de ressources Microsoft.DBforMySQL/flexibleServers est inscrit pour les deux abonnements. Pour plus d’informations, reportez-vous à resource-manager-registration.

Cas d’usage de la liaison privée pour le serveur flexible Azure Database pour MySQL

Les clients peuvent se connecter à un point de terminaison privé à partir du même réseau virtuel, Réseau virtuel homologué dans la même région ou entre des régions ou via la connexion de réseau virtuel à réseau virtuel entre des régions. Les clients peuvent également se connecter localement avec ExpressRoute, un appairage privé ou un tunneling VPN. Vous trouverez ci-dessous un diagramme simplifié montrant les cas d’usage courants.

Connexion à partir d’une machine virtuelle Azure dans un réseau virtuel appairé

Configurez le Peering de réseau virtuel pour établir la connectivité à Azure Database pour MySQL à partir d’une machine virtuelle Azure dans un réseau virtuel appairé.

Connexion à partir d’une machine virtuelle Azure d’un environnement de réseau virtuel à réseau virtuel

Configurez une connexion de passerelle VPN de réseau virtuel à réseau virtuel afin d’établir la connectivité à une instance du serveur flexible Azure Database pour MySQL à partir d’une machine virtuelle Azure dans une autre région ou un autre abonnement.

Connexion à partir d’un environnement local sur un VPN

Pour établir la connectivité à partir d’un environnement local vers l’instance du serveur flexible Azure Database pour MySQL, choisissez et implémentez l’une des options suivantes :

• Connexion point à site
• Connexion VPN de site à site
• Circuit ExpressRoute

Private Link combiné à des règles de pare-feu

La combinaison de Private Link avec des règles de pare-feu peut entraîner plusieurs scénarios et résultats :

• L’instance du serveur flexible Azure Database pour MySQL est inaccessible sans règles de pare-feu ni point de terminaison privé. Le serveur devient inaccessible si tous les points de terminaison privés approuvés sont supprimés ou rejetés et qu’aucun accès public n’est configuré.

• Les points de terminaison privés sont le seul moyen d’accéder à l’instance du serveur flexible Azure Database pour MySQL lorsque le trafic public est interdit.

• Différentes formes de trafic entrant sont autorisées en fonction des règles de pare-feu appropriées lorsque l’accès public est activé avec des points de terminaison privés.

Refuser l'accès public

Vous pouvez désactiver l’accès public sur une instance de votre serveur flexible Azure Database pour MySQL si vous préférez n’utiliser que des points de terminaison privés pour l’accès.

Les clients peuvent se connecter au serveur en fonction de la configuration du pare-feu lorsque ce paramètre est activé. Si ce paramètre est désactivé, seules les connexions via des points de terminaison privés sont autorisées et les utilisateurs ne peuvent pas modifier les règles de pare-feu.

Remarque

Ce paramètre n’a pas d’impact sur les configurations SSL et TLS de l’instance du serveur flexible Azure Database pour MySQL.

Pour savoir comment définir l’option Refuser l’accès au réseau public pour une instance de votre serveur flexible Azure Database pour MySQL à partir du Portail Azure, consultez Refuser l’accès au réseau public à l’aide du Portail Azure.

Limitation

Lorsqu’un utilisateur essaye simultanément de supprimer l’instance du serveur flexible Azure Database pour MySQL et le point de terminaison privé, il peut rencontrer une erreur interne de serveur. Pour éviter ce problème, nous vous recommandons de supprimer d’abord le ou les points de terminaison privés, puis de continuer en supprimant l’instance du serveur flexible Azure Database pour MySQL après une courte pause.

Étapes suivantes

Pour en savoir plus sur les fonctionnalités de sécurité du serveur flexible Azure Database pour MySQL, consultez les articles suivants :

• Pour configurer un pare-feu pour le serveur flexible Azure Database pour MySQL, consultez Prise en charge du pare-feu

• Pour obtenir une vue d’ensemble de la connectivité au serveur flexible Azure Database pour MySQL, consultez Architecture de la connectivité Azure Database pour MySQL