Use Virtual Network service endpoints and rules for Azure Database for MariaDB

Fontos

Az Azure Database for MariaDB a nyugdíjazási útvonalon van. Határozottan javasoljuk, hogy migráljon az Azure Database for MySQL-be. További információ az Azure Database for MySQL-be való migrálásról: Mi történik az Azure Database for MariaDB-vel?

A virtuális hálózati szabályok egy tűzfalbiztonsági funkció, amely azt szabályozza, hogy az Azure Database for MariaDB-kiszolgáló fogadja-e a virtuális hálózatok bizonyos alhálózataiból küldött kommunikációt. Ez a cikk azt ismerteti, hogy a virtuális hálózati szabály funkció miért a legjobb megoldás az Azure Database for MariaDB-kiszolgálóval való kommunikáció biztonságos engedélyezéséhez.

Virtuális hálózati szabály létrehozásához először egy virtuális hálózatnak (VNet) és egy virtuális hálózati szolgáltatásvégpontnak kell lennie a szabály hivatkozásához. Az alábbi kép bemutatja, hogyan működik egy virtuális hálózati szolgáltatásvégpont az Azure Database for MariaDB-vel:

Megjegyzés:

Ez a funkció az Azure minden régiójában elérhető, ahol az Azure Database for MariaDB általános célú és memóriaoptimalizált kiszolgálókon van üzembe helyezve.

Megfontolhatja a Private Link használatát is a kapcsolatokhoz. A Private Link egy privát IP-címet biztosít a virtuális hálózatban az Azure Database for MariaDB-kiszolgálóhoz.

Terminológia és leírás

Virtuális hálózat: Az Azure-előfizetéshez virtuális hálózatok társíthatók.

Alhálózat: A virtuális hálózat alhálózatokat tartalmaz. Minden Olyan Azure-beli virtuális gép (virtuális gép), amely alhálózatokhoz van rendelve. Egy alhálózat több virtuális gépet vagy más számítási csomópontot is tartalmazhat. A virtuális hálózaton kívül eső számítási csomópontok csak akkor férhetnek hozzá a virtuális hálózathoz, ha a biztonságot a hozzáférés engedélyezésére konfigurálja.

Virtuális hálózati szolgáltatásvégpont: A virtuális hálózati szolgáltatásvégpontok olyan alhálózatok, amelyek tulajdonságértékei egy vagy több formális Azure-szolgáltatástípusnevet tartalmaznak. Ebben a cikkben a Microsoft.Sql típusneve érdekli, amely az SQL Database nevű Azure-szolgáltatásra hivatkozik. Ez a szolgáltatáscímke az Azure Database for MariaDB, a MySQL és a PostgreSQL szolgáltatásokra is vonatkozik. Fontos megjegyezni, hogy a Microsoft.Sql szolgáltatáscímke VNet-szolgáltatásvégpontra való alkalmazásakor konfigurálja a szolgáltatásvégpont-forgalmat az alhálózaton található összes Azure SQL Database, Azure Database for MariaDB, Azure Database for MySQL és Azure Database for PostgreSQL-kiszolgálóhoz.

Virtuális hálózati szabály: Az Azure Database for MariaDB-kiszolgáló virtuális hálózati szabálya egy alhálózat, amely az Azure Database for MariaDB-kiszolgáló hozzáférés-vezérlési listájában (ACL) szerepel. Ahhoz, hogy az Azure Database for MariaDB-kiszolgáló ACL-jében szerepeljen, az alhálózatnak tartalmaznia kell a Microsoft.Sql típusnevet.

Egy virtuális hálózati szabály arra utasítja az Azure Database for MariaDB-kiszolgálót, hogy fogadja el az alhálózaton található összes csomópontról érkező kommunikációt.

A virtuális hálózati szabály előnyei

A művelet végrehajtásáig az alhálózatokon lévő virtuális gépek nem tudnak kommunikálni az Azure Database for MariaDB-kiszolgálóval. A kommunikációt létrehozó egyik művelet egy virtuális hálózati szabály létrehozása. A VNet-szabály megközelítésének kiválasztásához összehasonlítási és kontrasztos vita szükséges, amely a tűzfal által kínált konkurens biztonsági lehetőségeket foglalja magában.

A. Hozzáférés engedélyezése Azure-szolgáltatások számára

A Csatlakozás ion biztonsági panelen van egy BE/KI gomb, amelynek a címkéje Az Azure-szolgáltatásokhoz való hozzáférés engedélyezése. Az ON beállítás lehetővé teszi az összes Azure IP-címről és az összes Azure-alhálózatról érkező kommunikációt. Előfordulhat, hogy ezek az Azure IP-címek vagy alhálózatok nem Ön tulajdonában vannak. Ez a BE beállítás valószínűleg nyitottabb, mint azt szeretné, hogy az Azure Database for MariaDB Database legyen. A virtuális hálózati szabály funkció sokkal részletesebb vezérlést biztosít.

B. IP-szabályok

Az Azure Database for MariaDB tűzfal lehetővé teszi olyan IP-címtartományok megadását, amelyekből a rendszer fogadja a kommunikációt az Azure Database for MariaDB-kiszolgálón. Ez a módszer az Azure-beli magánhálózaton kívüli stabil IP-címek esetében megfelelő. Az Azure-beli magánhálózat számos csomópontja azonban dinamikus IP-címekkel van konfigurálva. A dinamikus IP-címek változhatnak, például a virtuális gép újraindításakor. Érdemes dinamikus IP-címet megadni egy tűzfalszabályban, éles környezetben.

Az IP-címet a virtuális gép statikus IP-címének lekérésével mentheti. További részletekért lásd : Magánhálózati IP-címek konfigurálása virtuális gépekhez az Azure Portal használatával.

A statikus IP-alapú megközelítés azonban nehezen kezelhetővé válhat, és nagy méretek esetén költséges. A virtuális hálózati szabályok egyszerűbben alakíthatóak ki és kezelhetők.

A virtuális hálózati szabályok részletei

Ez a szakasz a virtuális hálózati szabályok számos részletét ismerteti.

Csak egy földrajzi régió

Minden virtuális hálózati szolgáltatásvégpont csak egy Azure-régióra vonatkozik. A végpont nem teszi lehetővé, hogy más régiók fogadják el az alhálózatról érkező kommunikációt.

Minden virtuális hálózati szabály arra a régióra korlátozódik, amelyre az alapul szolgáló végpont vonatkozik.

Kiszolgálószintű, nem adatbázisszintű

Minden virtuális hálózati szabály a teljes Azure Database for MariaDB-kiszolgálóra vonatkozik, nem csak a kiszolgálón található egy adott adatbázisra. Más szóval a virtuális hálózati szabály a kiszolgáló szintjén érvényes, nem az adatbázis szintjén.

Biztonsági felügyeleti szerepkörök

A virtuális hálózati szolgáltatásvégpontok felügyeletében a biztonsági szerepkörök különváltak. Műveletre van szükség az alábbi szerepkörök mindegyikéből:

• Hálózati Rendszergazda: Kapcsolja be a végpontot.
• Adatbázis-Rendszergazda: Frissítse a hozzáférés-vezérlési listát (ACL), hogy hozzáadja a megadott alhálózatot az Azure Database for MariaDB-kiszolgálóhoz.

Azure RBAC alternatíva:

A hálózati Rendszergazda és az adatbázis-Rendszergazda szerepkörei a virtuális hálózati szabályok kezeléséhez szükségesnél több képességekkel rendelkeznek. Csak a képességeik egy részhalmazára van szükség.

Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával egyetlen egyéni szerepkört hozhat létre, amely csak a szükséges képességek részhalmazával rendelkezik. Az egyéni szerepkör használható a Hálózati Rendszergazda vagy az Adatbázis Rendszergazda használata helyett. A biztonsági kitettség felülete alacsonyabb, ha felhasználót ad hozzá egy egyéni szerepkörhöz, és nem adja hozzá a felhasználót a másik két fő rendszergazdai szerepkörhöz.

Megjegyzés:

Bizonyos esetekben az Azure Database for MariaDB és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

• Mindkét előfizetésnek ugyanabban a Microsoft Entra-bérlőben kell lennie.
• A felhasználó rendelkezik a szükséges engedélyekkel a műveletek elindításához, például a szolgáltatásvégpontok engedélyezéséhez és egy VNet-alhálózat hozzáadásához az adott kiszolgálóhoz.
• Győződjön meg arról, hogy mindkét előfizetés rendelkezik a Microsoft.Sql és a Microsoft.DBforMariaDB erőforrás-szolgáltató regisztrálva. További információ: resource-manager-registration

Korlátozások

Az Azure Database for MariaDB esetében a virtuális hálózati szabályok funkció a következő korlátozásokkal rendelkezik:

• A webalkalmazások egy virtuális hálózat/alhálózat privát IP-címére képezhetők le. Még akkor is, ha a szolgáltatásvégpontok be vannak kapcsolva az adott virtuális hálózatról/alhálózatról, a webalkalmazás és a kiszolgáló közötti kapcsolatok azure-beli nyilvános IP-forrással fognak rendelkezni, nem pedig virtuális hálózat/alhálózati forrással. Ha engedélyezni szeretné a webalkalmazás és a virtuális hálózati tűzfalszabályokat tartalmazó kiszolgáló közötti kapcsolatot, engedélyeznie kell az Azure-szolgáltatások számára, hogy hozzáférjenek a kiszolgáló kiszolgálóihoz.

• Az Azure Database for MariaDB tűzfalán minden virtuális hálózati szabály egy alhálózatra hivatkozik. Ezeket a hivatkozott alhálózatokat ugyanabban a földrajzi régióban kell üzemeltetni, amely az Azure Database for MariaDB-t üzemelteti.

• Minden Azure Database for MariaDB-kiszolgáló legfeljebb 128 ACL-bejegyzéssel rendelkezhet egy adott virtuális hálózathoz.

• A virtuális hálózati szabályok csak az Azure Resource Manager-alapú virtuális hálózatokra vonatkoznak; és nem a klasszikus üzemi modellhálózatok esetében.

• A virtuális hálózati szolgáltatásvégpontok Azure Database for MariaDB-re való bekapcsolása a Microsoft.Sql szolgáltatáscímkével lehetővé teszi az összes Azure Database-szolgáltatás végpontjait is: Az Azure Database for MariaDB, az Azure Database for MySQL, az Azure Database for PostgreSQL, az Azure SQL Database és az Azure Synapse Analytics.

• A VNet-szolgáltatásvégpontok támogatása csak az általános célú és a memóriaoptimalizált kiszolgálók esetében támogatott.

• Ha a Microsoft.Sql engedélyezve van egy alhálózaton, az azt jelzi, hogy csak virtuális hálózati szabályokat szeretne használni a csatlakozáshoz. Az alhálózatban lévő erőforrások nem virtuális hálózati tűzfalszabályai nem működnek.

• A tűzfalon az IP-címtartományok a következő hálózati elemekre vonatkoznak, a virtuális hálózati szabályok azonban nem:

  • Helyek közötti (S2S) virtuális magánhálózat (VPN)
  • Helyszíni expressroute-on keresztül

ExpressRoute

Ha a hálózat az ExpressRoute használatával csatlakozik az Azure-hálózathoz, minden kapcsolatcsoport két nyilvános IP-címmel van konfigurálva a Microsoft Edge-en. A két IP-cím a Microsoft Serviceshez, például az Azure Storage-hoz való csatlakozáshoz használható az Azure Nyilvános társviszony-létesítés használatával.

A kapcsolatcsoport és az Azure Database for MariaDB közötti kommunikáció engedélyezéséhez IP-hálózati szabályokat kell létrehoznia a kapcsolatcsoportok nyilvános IP-címéhez. Az ExpressRoute-kapcsolatcsoport nyilvános IP-címeinek megkereséséhez nyisson meg egy támogatási jegyet az ExpressRoute-tal az Azure Portal használatával.

VNET-tűzfalszabály hozzáadása a kiszolgálóhoz a VNET-szolgáltatásvégpontok bekapcsolása nélkül

A virtuális hálózat tűzfalszabályának beállítása nem segít a kiszolgáló virtuális hálózathoz való védelmében. A virtuális hálózatok szolgáltatásvégpontjait is be kell kapcsolnia a biztonság érvénybe lépéséhez. Amikor bekapcsolja a szolgáltatásvégpontokat, a virtuális hálózat alhálózata állásidőt tapasztal, amíg be nem fejeződik a Ki és a Be közötti váltás. Ez különösen igaz a nagy virtuális hálózatokra. Az IgnoreMissingServiceEndpoint jelölő használatával csökkentheti vagy megszüntetheti az átmeneti állásidőt.

Az IgnoreMissingServiceEndpoint jelölőt az Azure CLI vagy a portál használatával állíthatja be.

Related articles

• Azure-beli virtuális hálózatok
• Azure-beli virtuális hálózati szolgáltatásvégpontok

További lépések

A virtuális hálózati szabályok létrehozásáról szóló cikkekért lásd:

• Azure Database for MariaDB VNet-szabályok létrehozása és kezelése az Azure Portal használatával