Az Azure Database for MariaDB kiszolgáló tűzfalszabályai
Fontos
Az Azure Database for MariaDB a nyugdíjazási útvonalon van. Határozottan javasoljuk, hogy migráljon az Azure Database for MySQL-be. További információ az Azure Database for MySQL-be való migrálásról: Mi történik az Azure Database for MariaDB-vel?
A tűzfalak mindaddig nem férnek hozzá az adatbázis-kiszolgálóhoz, amíg meg nem adja, hogy mely számítógépek rendelkeznek engedéllyel. A tűzfal biztosítja az adatbázisokhoz való hozzáférést az egyes kérések eredeti IP-címe alapján.
Tűzfal konfigurálásához hozzon létre olyan tűzfalszabályokat, amelyek elfogadható IP-címtartományokat határoznak meg. Tűzfalszabályok a kiszolgálószinten hozhatóak létre.
Tűzfalszabályok: Ezek a szabályok lehetővé teszik az ügyfelek számára, hogy hozzáférjenek a teljes Azure Database for MariaDB-kiszolgálóhoz, vagyis az ugyanazon logikai kiszolgálón belüli összes adatbázishoz. A kiszolgálószintű tűzfalszabályok az Azure Portal vagy az Azure CLI parancsaival konfigurálhatók. Csak az előfizetés tulajdonosa vagy az előfizetés közreműködői hozhatnak létre kiszolgálószintű tűzfalszabályokat.
Tűzfal áttekintése
Alapértelmezés szerint a tűzfal blokkolja az Azure Database for MariaDB-kiszolgálóhoz való összes adatbázis-hozzáférést. Ha egy másik számítógépről szeretné használni a kiszolgálót, meg kell adnia egy vagy több kiszolgálószintű tűzfalszabályt a kiszolgálóhoz való hozzáférés engedélyezéséhez. A tűzfalszabályok segítségével megadhatja, hogy az internetről mely IP-címtartományokat engedélyezze. A tűzfalszabályok nem érintik az Azure Portal webhelyének elérését.
Csatlakozás internetes és Azure-beli kísérleteknek először át kell haladniuk a tűzfalon, mielőtt elérnék az Azure Database for MariaDB-adatbázist, ahogy az alábbi ábrán látható:
Csatlakozás az internetről
A kiszolgálószintű tűzfalszabályok az Azure Database for MariaDB-kiszolgálón található összes adatbázisra érvényesek.
Ha a kérés IP-címe a kiszolgálószintű tűzfalszabályokban megadott tartományok egyikén belül van, akkor a kapcsolat meg lesz adva.
Ha a kérés IP-címe kívül esik az adatbázis- vagy kiszolgálószintű tűzfalszabályok bármelyikében megadott tartományon, a kapcsolatkérés meghiúsul.
Csatlakozás az Azure-ból
Javasoljuk, hogy keresse meg bármely alkalmazás vagy szolgáltatás kimenő IP-címét, és explicit módon engedélyezze az egyes IP-címekhez vagy -tartományokhoz való hozzáférést. Megtalálhatja például egy Azure-alkalmazás szolgáltatás kimenő IP-címét, vagy használhat egy virtuális géphez vagy más erőforráshoz kapcsolódó nyilvános IP-címet (a virtuális gép privát IP-címéhez szolgáltatásvégpontokon keresztüli csatlakozással kapcsolatos információkért lásd alább).
Ha egy rögzített kimenő IP-cím nem érhető el az Azure-szolgáltatáshoz, érdemes lehet engedélyezni a kapcsolatokat az összes Azure-adatközpont IP-címéről. Ez a beállítás az Azure Portalról engedélyezhető úgy, hogy az Azure-szolgáltatásokhoz való hozzáférés engedélyezése beállítást bekapcsoljaa Csatlakozás ion biztonsági panelről, és a Mentés gombra kerül. Az Azure CLI-ben a 0.0.0.0-val egyenlő kezdő és záró címmel rendelkező tűzfalszabály-beállítás egyenértékű. Ha a csatlakozási kísérlet nem engedélyezett, a kérés nem éri el az Azure Database for MariaDB-kiszolgálót.
Fontos
Az Azure-szolgáltatásokhoz való hozzáférés engedélyezése beállítás konfigurálja a tűzfalat arra, hogy engedélyezzen minden, az Azure felől érkező kapcsolatot, beleértve a más ügyfelek előfizetéseiből érkező kapcsolatokat is. Ezen beállítás kiválasztásakor győződjön meg arról, hogy a bejelentkezési és felhasználói engedélyei a hozzáféréseket az arra jogosult felhasználókra korlátozzák.
Csatlakozás virtuális hálózatról
Ha biztonságosan szeretne csatlakozni az Azure Database for MariaDB-kiszolgálóhoz egy virtuális hálózatról, fontolja meg a VNet szolgáltatásvégpontok használatát.
Tűzfalszabályok szoftveres kezelése
Az Azure Portalon kívül a tűzfalszabályok programozott módon is kezelhetők az Azure CLI használatával.
Lásd még : Azure Database for MariaDB tűzfalszabályok létrehozása és kezelése az Azure CLI használatával.
Troubleshooting firewall issues
Vegye figyelembe a következő szempontokat, ha a Microsoft Azure Database for MariaDB kiszolgálószolgáltatáshoz való hozzáférés nem a várt módon működik:
Az engedélyezési lista módosításai még nem léptek érvénybe: Az Azure Database for MariaDB Server tűzfalkonfigurációjának módosítása akár öt perces késéssel is járhat.
A bejelentkezés nincs engedélyezve, vagy helytelen jelszó lett használva: Ha a bejelentkezés nem rendelkezik engedélyekkel az Azure Database for MariaDB-kiszolgálón, vagy a használt jelszó helytelen, a rendszer megtagadja az Azure Database for MariaDB-kiszolgálóval való kapcsolatot. Egy tűzfalbeállítás létrehozása lehetővé teszi az ügyfelek számára a kiszolgálóhoz való csatlakozás megkísérlését, azonban minden egyes ügyfélnek meg kell adnia a szükséges biztonsági hitelesítő adatokat.
Dinamikus IP-cím: Ha dinamikus IP-címzéssel rendelkező internetkapcsolattal rendelkezik, és nem tud átjutni a tűzfalon, próbálkozzon az alábbi megoldások egyikével:
Kérje meg az internetszolgáltatót az Azure Database for MariaDB-kiszolgálóhoz hozzáférő ügyfélszámítógépekhez rendelt IP-címtartományról, majd adja hozzá az IP-címtartományt tűzfalszabályként.
Állítson be statikus IP-címeket az ügyfélszámítógépei számára, majd adja meg az IP-címeket tűzfalszabályokként.
A kiszolgáló IP-címe nyilvánosnak tűnik: az Azure Database for MariaDB-kiszolgálóra irányuló Csatlakozás a rendszer egy nyilvánosan elérhető Azure-átjárón keresztül irányítja át. A kiszolgáló tényleges IP-címét azonban tűzfal védi. További információért tekintse meg a kapcsolati architektúráról szóló cikket.
Nem lehet csatlakozni az Azure-erőforrásból engedélyezett IP-címmel: Ellenőrizze, hogy a Microsoft.Sql szolgáltatásvégpont engedélyezve van-e a csatlakozni kívánt alhálózathoz. Ha a Microsoft.Sql engedélyezve van, az azt jelzi, hogy csak az adott alhálózaton szeretné használni a VNet szolgáltatásvégpont-szabályait .
Előfordulhat például, hogy a következő hibaüzenet jelenik meg, ha egy Olyan Alhálózaton lévő Azure-beli virtuális gépről csatlakozik, amelynek engedélyezve van a Microsoft.Sql , de nincs megfelelő VNet-szabálya:
FATAL: Client from Azure Virtual Networks is not allowed to access the serverA tűzfalszabály nem érhető el IPv6 formátumban: A tűzfalszabályoknak IPv4 formátumban kell lenniük. Ha IPv6-formátumban adja meg a tűzfalszabályokat, az érvényesítési hibát fog mutatni.