Private Link az Azure Database for MySQL-hez
A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló
Fontos
Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?
A privát kapcsolat lehetővé teszi, hogy privát végponton keresztül csatlakozzon az Azure különböző PaaS-szolgáltatásaihoz. Az Azure Private Link lényegében elérhetővé teszi az Azure-szolgáltatásokat a virtuális magánhálózaton belül. A PaaS-erőforrások a magánhálózati IP-cím használatával érhetők el, ugyanúgy, mint a virtuális hálózat más erőforrásai.
A Private Link funkciót támogató PaaS-szolgáltatások listáját a Private Link dokumentációjában találja. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül.
Feljegyzés
A privát kapcsolat funkció csak az Azure Database for MySQL-kiszolgálókhoz érhető el az Általános célú vagy memóriaoptimalizált tarifacsomagokban. Győződjön meg arról, hogy az adatbázis-kiszolgáló ezen tarifacsomagok egyikében található.
Adatkiszivárgás megelőzése
Az Azure Database for MySQL-ben az adatok utólagos szűrése akkor történik, ha egy jogosult felhasználó, például egy adatbázis-rendszergazda képes adatokat kinyerni az egyik rendszerből, és áthelyezni azt egy másik, a szervezeten kívüli helyre vagy rendszerbe. A felhasználó például egy harmadik fél tulajdonában lévő tárfiókba helyezi át az adatokat.
Fontolja meg azt a forgatókönyvet, amikor egy felhasználó MySQL Workbench-et futtat egy Azure-beli virtuális gépen (VM), amely az USA nyugati régiójában kiépített Azure Database for MySQL-kiszolgálóhoz csatlakozik. Az alábbi példa bemutatja, hogyan korlátozhatja a nyilvános végpontokhoz való hozzáférést az Azure Database for MySQL-ben hálózati hozzáférési vezérlők használatával.
Tiltsa le az Azure Database for MySQL-be irányuló összes Azure-szolgáltatás forgalmát a nyilvános végponton keresztül az Azure-szolgáltatások kikapcsolásának engedélyezésével. Győződjön meg arról, hogy a kiszolgálóhoz tűzfalszabályokon vagy virtuális hálózati szolgáltatásvégpontokon keresztül nem férnek hozzá IP-címek vagy tartományok.
Csak a virtuális gép privát IP-címével engedélyezze az Azure Database for MySQL-be irányuló forgalmat. További információkért tekintse meg a szolgáltatásvégpont és a virtuális hálózat tűzfalszabályairól szóló cikkeket.
Az Azure-beli virtuális gépen az alábbiak szerint szűkítse le a kimenő kapcsolatok hatókörét hálózati biztonsági csoportok (NSG-k) és szolgáltatáscímkék használatával
- Adjon meg egy NSG-szabályt a szolgáltatáscímke = SQL forgalmának engedélyezéséhez . WestUs – csak az USA nyugati régiójában található Azure Database for MySQL-hez való kapcsolódás engedélyezése
- Adjon meg egy NSG-szabályt (magasabb prioritással) a szolgáltatáscímke forgalmának megtagadásához = SQL – az Azure Database for MySQL-hez való frissítéshez szükséges kapcsolatok megtagadása minden régióban
A beállítás végén az Azure-beli virtuális gép csak az USA nyugati régiójában található Azure Database for MySQL-hez tud csatlakozni. A kapcsolat azonban nem korlátozódik egyetlen Azure Database for MySQL-hez. A virtuális gép továbbra is csatlakozhat az USA nyugati régiójában található Azure Database for MySQL-hez, beleértve az előfizetés részét nem képező adatbázisokat is. Bár a fenti forgatókönyvben az adatkiszivárgás hatókörét egy adott régióra csökkentettük, még nem szüntettük meg teljesen.
A Private Link használatával most már beállíthat hálózati hozzáférési vezérlőket, például NSG-ket a privát végponthoz való hozzáférés korlátozásához. Az egyes Azure PaaS-erőforrások ezután meghatározott privát végpontokra lesznek leképezve. A rosszindulatú bennfentes csak a leképezett PaaS-erőforráshoz (például egy Azure Database for MySQL-hez) férhet hozzá, és nincs más erőforrás.
Helyi kapcsolat privát társhálózat-létesítésen keresztül
Amikor helyszíni gépekről csatlakozik a nyilvános végponthoz, az IP-címet kiszolgálószintű tűzfalszabály használatával kell hozzáadni az IP-alapú tűzfalhoz. Bár ez a modell jól működik a fejlesztési vagy tesztelési számítási feladatok egyes gépeihez való hozzáférés engedélyezéséhez, éles környezetben nehéz kezelni.
A Private Link használatával engedélyezheti a helyek közötti hozzáférést a privát végponthoz az Express Route (ER), a privát társviszony-létesítés vagy a VPN-alagút használatával. Ezt követően letilthatják az összes hozzáférést a nyilvános végponton keresztül, és nem használhatják az IP-alapú tűzfalat.
Feljegyzés
Bizonyos esetekben az Azure Database for MySQL és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:
- Győződjön meg arról, hogy mindkét előfizetés rendelkezik a Microsoft.DBforMySQL erőforrás-szolgáltató regisztrálva. További információ: resource-manager-registration
Privát kapcsolat konfigurálása az Azure Database for MySQL-hez
Létrehozási folyamat
A privát kapcsolat engedélyezéséhez privát végpontokra van szükség. Ezt az alábbi útmutatók segítségével teheti meg.
Jóváhagyási folyamat
Miután a hálózati rendszergazda létrehozta a privát végpontot (PE), a MySQL-rendszergazda kezelheti a privát végpont kapcsolatát (PEC) az Azure Database for MySQL-hez. A hálózati rendszergazda és a DBA közötti feladatok elkülönítése hasznos az Azure Database for MySQL-kapcsolatok kezeléséhez.
Lépjen az Azure Database for MySQL-kiszolgáló erőforrására az Azure Portalon.
- Válassza ki a privát végpont kapcsolatait a bal oldali panelen
- Az összes privát végpontkapcsolat (PECs) listájának megtekintése
- A megfelelő létrehozott privát végpont (PE) megtekintése
Jelöljön ki egy egyéni PEC-t a listából a kijelöléssel.
A MySQL-kiszolgáló rendszergazdája dönthet úgy, hogy jóváhagy vagy elutasít egy PEC-et, és igény szerint rövid szöveges választ ad hozzá.
A jóváhagyás vagy elutasítás után a lista a megfelelő állapotot és a válaszszöveget fogja tükrözni
A Private Link használata az Azure Database for MySQL-hez
Az ügyfelek ugyanabból a virtuális hálózatból, társviszonyban lévő virtuális hálózatból vagy régiók közötti virtuális hálózatból vagy régiók közötti virtuális hálózatok közötti kapcsolaton keresztül csatlakozhatnak a privát végponthoz. Emellett az ügyfelek expressRoute,privát társviszony-létesítés vagy VPN-bújtatás használatával csatlakozhatnak a helyszíniről.
Csatlakozás Azure-beli virtuális gépről társhálózaton (VNet)
Konfigurálja a virtuális hálózatok közötti társviszonyt az Azure Database for MySQL-hez való kapcsolódáshoz egy azure-beli virtuális gépről egy társhálózaton.
Csatlakozás Azure-beli virtuális gépről virtuális hálózatok közötti környezetben
Konfigurálja a virtuális hálózatok közötti VPN-átjáró kapcsolatot , hogy kapcsolatot létesítsen egy Azure Database for MySQL-hez egy másik régióban vagy előfizetésben lévő Azure-beli virtuális gépről.
Helyszíni környezetből VPN-en keresztül történő csatlakozás
Ha helyszíni környezetből szeretne kapcsolatot létesíteni az Azure Database for MySQL-hez, válassza ki és implementálja az alábbi lehetőségek egyikét:
Private Link tűzfalszabályokkal való együttes használata
A privát kapcsolat tűzfalszabályokkal való együttes használata esetén a következő helyzetek és eredmények lehetségesek:
Ha nem konfigurál tűzfalszabályokat, akkor alapértelmezés szerint egyetlen forgalom sem férhet hozzá az Azure Database for MySQL-hez.
Ha nyilvános forgalmat vagy szolgáltatásvégpontot konfigurál, és privát végpontokat hoz létre, a bejövő forgalom különböző típusait a megfelelő tűzfalszabály-típus engedélyezi.
Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, és privát végpontokat hoz létre, akkor az Azure Database for MySQL csak a privát végpontokon keresztül érhető el. Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, a jóváhagyott privát végpontok elutasítása vagy törlése után egyetlen forgalom sem férhet hozzá az Azure Database for MySQL-hez.
Nyilvános hozzáférés megtagadása az Azure Database for MySQL-hez
Ha csak privát végpontokra szeretne támaszkodni az Azure Database for MySQL-hez való hozzáféréshez, letilthatja az összes nyilvános végpont (például tűzfalszabályok és VNet-szolgáltatásvégpontok) beállítását az adatbázis-kiszolgálón a Nyilvános hálózati hozzáférés megtagadása konfiguráció beállításával.
Ha ez a beállítás IGEN értékre van állítva, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek az Azure Database for MySQL-hez. Ha ez a beállítás NEM értékre van állítva, az ügyfelek a tűzfal vagy a VNet szolgáltatás végpontbeállításai alapján csatlakozhatnak az Azure Database for MySQL-hez. Emellett a privát hálózati hozzáférés értékének beállítása után az ügyfelek nem adhatnak hozzá és/vagy nem frissíthetik a meglévő "tűzfalszabályokat" és a "VNet-szolgáltatásvégpontszabályokat".
Feljegyzés
Ez a funkció minden olyan Azure-régióban elérhető, ahol az Önálló Azure Database for MySQL támogatja az általános célú és memóriaoptimalizált tarifacsomagokat.
Ez a beállítás nincs hatással az Azure Database for MySQL SSL- és TLS-konfigurációira.
Ha tudni szeretné, hogyan állíthatja be az Azure Database for MySQL nyilvános hálózati hozzáférésének megtagadását az Azure Portalról, tekintse meg a Nyilvános hálózati hozzáférés megtagadása konfigurálását ismertető témakört.
Következő lépések
Az Azure Database for MySQL biztonsági funkcióival kapcsolatos további információkért tekintse meg az alábbi cikkeket:
Az Azure Database for MySQL tűzfalának konfigurálásához tekintse meg a tűzfaltámogatást.
Ha tudni szeretné, hogyan konfigurálhat virtuális hálózati szolgáltatásvégpontot az Azure Database for MySQL-hez, olvassa el a Hozzáférés konfigurálása virtuális hálózatokról című témakört.
Az Azure Database for MySQL-kapcsolat áttekintését az Azure Database for MySQL kapcsolati architektúrája című témakörben tekintheti meg .