Private Link az Azure Database for MariaDB-hez

Fontos

Az Azure Database for MariaDB a nyugdíjazási útvonalon van. Határozottan javasoljuk, hogy migráljon az Azure Database for MySQL-be. További információ az Azure Database for MySQL-be való migrálásról: Mi történik az Azure Database for MariaDB-vel?

A Private Link lehetővé teszi privát végpontok létrehozását az Azure Database for MariaDB-hez, és így az Azure-szolgáltatásokat a privát virtuális hálózaton (VNet) belülre helyezi. A privát végpont egy privát IP-címet tesz elérhetővé, amellyel csatlakozhat az Azure Database for MariaDB-adatbáziskiszolgálóhoz, ugyanúgy, mint a virtuális hálózat bármely más erőforrása.

A Private Link funkciót támogató PaaS-szolgáltatások listáját a Private Link dokumentációjában találja. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül.

Megjegyzés:

A privát kapcsolat funkció csak az Azure Database for MariaDB-kiszolgálókhoz érhető el az általános célú vagy memóriaoptimalizált tarifacsomagokban. Győződjön meg arról, hogy az adatbázis-kiszolgáló ezen tarifacsomagok egyikében található.

Adatkiszivárgás megelőzése

Az Azure Database for MariaDB-ben az adatok utólagos szűrése akkor történik, ha egy jogosult felhasználó, például egy adatbázis-rendszergazda képes adatokat kinyerni az egyik rendszerből, és áthelyezni egy másik helyre vagy rendszerre a szervezeten kívül. A felhasználó például egy harmadik fél tulajdonában lévő tárfiókba helyezi át az adatokat.

Fontolja meg azt a forgatókönyvet, amikor egy felhasználó MariaDB workbench-et futtat egy Azure-beli virtuális gépen, és csatlakozik egy Azure Database for MariaDB-példányhoz. Ez a MariaDB-példány az USA nyugati adatközpontjában található. Az alábbi példa bemutatja, hogyan korlátozhatja a hozzáférést nyilvános végpontokkal az Azure Database for MariaDB-ben hálózati hozzáférés-vezérlők használatával.

• Tiltsa le az Azure Database for MariaDB-be irányuló összes Azure-szolgáltatás forgalmát a nyilvános végponton keresztül az Azure Services kikapcsolásának engedélyezésével. Győződjön meg arról, hogy a kiszolgálóhoz tűzfalszabályokon vagy virtuális hálózati szolgáltatásvégpontokon keresztül nem férnek hozzá IP-címek vagy tartományok.

• Csak a virtuális gép privát IP-címével engedélyezze az Azure Database for MariaDB-be irányuló forgalmat. További információkért tekintse meg a szolgáltatásvégpont és a virtuális hálózat tűzfalszabályairól szóló cikkeket.

• Az Azure-beli virtuális gépen a hálózati biztonsági csoportok (NSG-k) és a szolgáltatáscímkék használatával szűkítse le a kimenő kapcsolatok hatókörét az alábbiak szerint:

  • Adjon meg egy NSG-szabályt a szolgáltatáscímke = SQL forgalmának engedélyezéséhez. WestUs – csak az USA nyugati régiójában található Azure Database for MariaDB-hez való csatlakozás engedélyezése
  • Adjon meg egy NSG-szabályt (magasabb prioritással) a szolgáltatáscímke forgalmának megtagadásához = SQL – a MariaDB-adatbázissal való kapcsolatok megtagadása minden régióban
    
    

A beállítás végén az Azure-beli virtuális gép csak az USA nyugati régiójában található Azure Database for MariaDB-hez tud csatlakozni. A kapcsolat azonban nem korlátozódik egyetlen Azure Database for MariaDB-re. A virtuális gép továbbra is csatlakozhat az USA nyugati régiójában található Azure Database for MariaDB-hez, beleértve az előfizetés részét nem képező adatbázisokat is. Bár a fenti forgatókönyvben az adatkiszivárgás hatókörét egy adott régióra csökkentettük, még nem szüntettük meg teljesen.

A Private Link használatával most már beállíthat hálózati hozzáférési vezérlőket, például NSG-ket a privát végponthoz való hozzáférés korlátozásához. Az egyes Azure PaaS-erőforrások ezután meghatározott privát végpontokra lesznek leképezve. A rosszindulatú bennfentes csak a leképezett PaaS-erőforráshoz (például egy Azure Database for MariaDB-hez) férhet hozzá, és nincs más erőforrás.

On-premises connectivity over private peering

Amikor helyszíni gépekről csatlakozik a nyilvános végponthoz, az IP-címet kiszolgálószintű tűzfalszabály használatával kell hozzáadni az IP-alapú tűzfalhoz. Bár ez a modell jól működik a fejlesztési vagy tesztelési számítási feladatok egyes gépeihez való hozzáférés engedélyezéséhez, éles környezetben nehéz kezelni.

A Private Link használatával engedélyezheti a helyek közötti hozzáférést a privát végponthoz az Express Route (ER), a privát társviszony-létesítés vagy a VPN-alagút használatával. Ezt követően letilthatják az összes hozzáférést a nyilvános végponton keresztül, és nem használhatják az IP-alapú tűzfalat.

Megjegyzés:

Bizonyos esetekben az Azure Database for MariaDB és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

• Győződjön meg arról, hogy mindkét előfizetés regisztrálta a Microsoft.DBforMariaDB erőforrás-szolgáltatót. További információ: resource-manager-registration

Privát kapcsolat konfigurálása az Azure Database for MariaDB-hez

Létrehozási folyamat

A privát kapcsolat engedélyezéséhez privát végpontokra van szükség. Ezt az alábbi útmutatók segítségével teheti meg.

• Azure Portal
• CLI

Jóváhagyási folyamat

Miután a hálózati rendszergazda létrehozta a privát végpontot (PE), a rendszergazda kezelheti a privát végpontot Csatlakozás ion (PEC) az Azure Database for MariaDB-be. A hálózati rendszergazda és a DBA közötti feladatok elkülönítése hasznos az Azure Database for MariaDB-kapcsolatok kezeléséhez.

• Lépjen az Azure Database for MariaDB-kiszolgáló erőforrásához az Azure Portalon.
  • Válassza ki a privát végpont kapcsolatait a bal oldali panelen
  • Az összes privát végponti Csatlakozás (PECs) listája
  • A megfelelő privát végpont (PE) létrehozva

• Jelöljön ki egy egyéni PEC-t a listából a kijelöléssel.

• A MariaDB-kiszolgáló rendszergazdája dönthet úgy, hogy jóváhagy vagy elutasít egy PEC-et, és igény szerint rövid szöveges választ ad hozzá.

• A jóváhagyás vagy elutasítás után a lista a megfelelő állapotot és a válaszszöveget fogja tükrözni

A Private Link használata az Azure Database for MariaDB-hez

Az ügyfelek ugyanabból a virtuális hálózatból, társviszonyban lévő virtuális hálózatból vagy régiók közötti virtuális hálózatból vagy régiók közötti virtuális hálózatok közötti kapcsolaton keresztül csatlakozhatnak a privát végponthoz. Emellett az ügyfelek expressRoute,privát társviszony-létesítés vagy VPN-bújtatás használatával csatlakozhatnak a helyszíniről. Az alábbiakban egy egyszerűsített diagram mutatja be a gyakori használati eseteket.

Csatlakozás azure-beli virtuális gépről társhálózaton (VNet)

Konfigurálja a virtuális hálózatok közötti társviszony-létesítést az Azure Database for MariaDB-hez való kapcsolódáshoz egy azure-beli virtuális gépről egy társhálózaton.

Csatlakozás azure-beli virtuális gépről virtuális hálózatok közötti környezetben

Konfigurálja a virtuális hálózatok közötti VPN-átjárókapcsolatot , hogy kapcsolatot létesítsen egy Azure Database for MariaDB-hez egy másik régióban vagy előfizetésben lévő Azure-beli virtuális gépről.

Helyszíni környezetből VPN-en keresztül történő csatlakozás

Ha helyszíni környezetből szeretne kapcsolatot létesíteni az Azure Database for MariaDB-vel, válassza ki és implementálja az alábbi lehetőségek egyikét:

• Pont–hely kapcsolat
• Helyek közötti VPN-kapcsolat
• ExpressRoute-kapcsolatcsoport

Private Link tűzfalszabályokkal való együttes használata

A privát kapcsolat tűzfalszabályokkal való együttes használata esetén a következő helyzetek és eredmények lehetségesek:

• Ha nem konfigurál tűzfalszabályokat, akkor alapértelmezés szerint egyetlen forgalom sem férhet hozzá az Azure Database for MariaDB-hez.

• Ha nyilvános forgalmat vagy szolgáltatásvégpontot konfigurál, és privát végpontokat hoz létre, a bejövő forgalom különböző típusait a megfelelő tűzfalszabály-típus engedélyezi.

• Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, és privát végpontokat hoz létre, akkor az Azure Database for MariaDB csak a privát végpontokon keresztül érhető el. Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, a jóváhagyott privát végpontok elutasítása vagy törlése után a forgalom nem fér hozzá az Azure Database for MariaDB-hez.

Nyilvános hozzáférés megtagadása az Azure Database for MariaDB-hez

Ha teljes mértékben csak a privát végpontokra szeretne támaszkodni az Azure Database for MariaDB eléréséhez, letilthatja az összes nyilvános végpont (tűzfalszabályok és VNet-szolgáltatásvégpontok) beállítását az adatbázis-kiszolgálón a Nyilvános hálózati hozzáférés megtagadása konfiguráció beállításával.

Ha ez a beállítás IGEN értékre van állítva, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek az Azure Database for MariaDB-hez. Ha ez a beállítás NEM értékre van állítva, az ügyfelek a tűzfal vagy a VNet szolgáltatás végpontbeállításai alapján csatlakozhatnak az Azure Database for MariaDB-hez. Emellett a privát hálózati hozzáférés értékének beállítása után az ügyfelek nem adhatnak hozzá és/vagy nem frissíthetik a meglévő "tűzfalszabályokat" és a "VNet-szolgáltatásvégpontszabályokat".

Megjegyzés:

Ez a funkció minden olyan Azure-régióban elérhető, ahol az Önálló Azure Database for PostgreSQL támogatja az általános célú és memóriaoptimalizált tarifacsomagokat.

Ez a beállítás nincs hatással az Azure Database for MariaDB SSL- és TLS-konfigurációira.

Ha tudni szeretné, hogyan állíthatja be az Azure Database for MariaDB nyilvános hálózati hozzáférésének megtagadását az Azure Portalról, tekintse meg a nyilvános hálózati hozzáférés megtagadása konfigurálását ismertető témakört.

További lépések

Az Azure Database for MariaDB biztonsági funkcióival kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Az Azure Database for MariaDB tűzfalának konfigurálásához tekintse meg a tűzfaltámogatást.

• Ha tudni szeretné, hogyan konfigurálhat virtuális hálózati szolgáltatásvégpontot az Azure Database for MariaDB-hez, olvassa el a Hozzáférés konfigurálása virtuális hálózatokról című témakört.

• Az Azure Database for MariaDB kapcsolatának áttekintéséért lásd: Azure Database for MariaDB Csatlakozás ivity Architecture