Megosztás a következőn keresztül:

Kapcsolati és hálózatkezelési fogalmak az Azure Database for MySQL-hez – rugalmas kiszolgáló

  • Cikk

A következőkre vonatkozik: Azure Database for MySQL – rugalmas kiszolgáló

Ez a cikk bemutatja a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való kapcsolódás szabályozásának alapelveit. Részletesen megismerheti a rugalmas Azure Database for MySQL-kiszolgáló hálózati alapelveit, amelyek segítségével biztonságosan hozhat létre és érhet el egy kiszolgálót az Azure-ban.

A rugalmas Azure Database for MySQL-kiszolgáló három módon konfigurálja a kiszolgálókhoz való kapcsolódást:

  • Nyilvános hozzáférés A rugalmas kiszolgáló nyilvános végponton keresztül érhető el. A nyilvános végpont egy nyilvánosan feloldható DNS-cím. Az "engedélyezett IP-címek" kifejezés olyan IP-címtartományra utal, amely engedélyt ad a kiszolgáló elérésére. Ezeket az engedélyeket tűzfalszabályoknak nevezzük.

  • Privát végpontokkal engedélyezheti a virtuális hálózati virtuális hálózaton lévő gazdagépek számára, hogy biztonságosan hozzáférjenek az adatokhoz privát kapcsolaton keresztül.

  • Privát hozzáférés (VNet-integráció) A rugalmas kiszolgálót üzembe helyezheti az Azure-beli virtuális hálózaton. Az Azure-beli virtuális hálózatok privát és biztonságos hálózati kommunikációt biztosítanak. A virtuális hálózatok erőforrásai magánhálózati IP-címeken keresztül kommunikálhatnak.

Feljegyzés

Miután üzembe helyez egy nyilvános vagy privát hozzáférésű kiszolgálót (VNet-integrációval), nem módosíthatja a kapcsolati módot. Nyilvános hozzáférési módban azonban szükség szerint engedélyezheti vagy letilthatja a privát végpontokat, és szükség esetén letilthatja a nyilvános hozzáférést is.

Válasszon egy hálózati lehetőséget

Ha a következő képességeket szeretné használni, válassza a Nyilvános hozzáférés (engedélyezett IP-címek) és a Privát végpont metódust:

  • Csatlakozás Azure-erőforrásokból virtuális hálózati támogatás nélkül
  • Csatlakozás olyan Azure-on kívüli erőforrásokból, amelyekhez nem csatlakozik VPN vagy ExpressRoute
  • A rugalmas kiszolgáló nyilvános végponton keresztül érhető el, és engedélyezett internetes erőforrásokon keresztül érhető el. Szükség esetén a nyilvános hozzáférés le is tiltható.
  • Privát végpontok konfigurálása a kiszolgáló virtuális hálózaton (VNet) lévő gazdagépekről való elérésére

Válassza a Privát hozzáférés (VNet-integráció) lehetőséget, ha a következő képességekre van szüksége:

  • Csatlakozzon rugalmas kiszolgálójához az ugyanazon a virtuális hálózaton vagy egy társhálózaton belüli Azure-erőforrásokból anélkül, hogy privát végpontot kellene konfigurálnia
  • VPN vagy ExpressRoute használata a rugalmas kiszolgáló nem Azure-beli erőforrásokból való csatlakoztatásához
  • Nincs nyilvános végpont

A következő jellemzők vonatkoznak arra, hogy a privát vagy a nyilvános hozzáférési lehetőséget választja-e:

  • Az engedélyezett IP-címekről származó kapcsolatoknak hitelesíteni kell a rugalmas Azure Database for MySQL-kiszolgálópéldányt érvényes hitelesítő adatokkal
  • A kapcsolattitkosítás elérhető a hálózati forgalom számára
  • A kiszolgáló teljes tartománynévvel (fqdn) rendelkezik. Azt javasoljuk, hogy a teljes tartománynevet használja ip-cím helyett a gazdagépnév tulajdonsághoz kapcsolati sztring.
  • Mindkét beállítás a kiszolgáló szintjén szabályozza a hozzáférést, nem az adatbázis vagy a tábla szintjén. A MySQL szerepkör-tulajdonságaival szabályozhatja az adatbázis, a tábla és az egyéb objektumok hozzáférését.

Nem támogatott virtuális hálózati forgatókönyvek

  • Nyilvános végpont (vagy nyilvános IP-cím vagy DNS) – A virtuális hálózaton üzembe helyezett rugalmas kiszolgálónak nem lehet nyilvános végpontja.
  • Miután a rugalmas kiszolgálót üzembe helyezte egy virtuális hálózaton és alhálózaton, nem helyezheti át másik virtuális hálózatra vagy alhálózatra.
  • A rugalmas kiszolgáló üzembe helyezése után nem helyezheti át a rugalmas kiszolgáló által használt virtuális hálózatot egy másik erőforráscsoportba vagy előfizetésbe.
  • Az alhálózat mérete (címtartományok) nem növelhető, ha az erőforrások már létrejöttek az alhálózaton.
  • A kiszolgáló létrehozása után nem lehet nyilvánosról privát hozzáférésre váltani. Az ajánlott módszer az időponthoz kötött visszaállítás használata.

Feljegyzés

Ha egyéni DNS-kiszolgálót használ, egy DNS-továbbítót kell használnia a rugalmas Azure Database for MySQL-kiszolgálópéldány teljes tartománynevének feloldásához. További információért tekintse meg a DNS-kiszolgálót használó névfeloldásokat.

Hostname (Gazdanév)

A hálózatkezelési lehetőségtől függetlenül javasoljuk, hogy a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való csatlakozáskor használja a teljes tartománynevet (FQDN) <servername>.mysql.database.azure.com a kapcsolati sztring. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosításait.

A teljes tartománynevet gazdagépnévként használó példa a hostname = servername.mysql.database.azure.com. Ha lehetséges, kerülje a gazdanév = 10.0.0.4 (magáncím) vagy a gazdagépnév = 40.2.45.67 (nyilvános cím) használatát.

TLS és SSL

A rugalmas Azure Database for MySQL-kiszolgáló támogatja az ügyfélalkalmazások rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való csatlakoztatását a Secure Sockets Layer (SSL) és a Transport Layer Security (TLS) titkosításával. A TLS egy iparági szabványnak megfelelő protokoll, amely titkosított hálózati kapcsolatokat biztosít az adatbázis-kiszolgáló és az ügyfélalkalmazások között, így kielégítheti a megfelelőségi követelményeket.

A rugalmas Azure Database for MySQL-kiszolgáló alapértelmezés szerint a Transport Layer Security (TLS 1.2) használatával támogatja a titkosított kapcsolatokat, és alapértelmezés szerint minden TLS 1.0- és TLS 1.1-es bejövő kapcsolatot elutasít. A rugalmas kiszolgáló titkosított kapcsolat-kényszerítési vagy TLS-verziókonfigurációja konfigurálható és módosítható.

Az alábbiakban a rugalmas kiszolgálóhoz használható SSL- és TLS-beállítások különböző konfigurációit találja:

Fontos

A TLS 1.0 és a TLS 1.1 protokoll támogatásának 2024. szeptember elejétől kezdődő eltávolítása szerint az új kiszolgálók már nem használhatják a TLS 1.0-s vagy 1.1-es verzióját, és a meglévő kiszolgálók nem léphetnek vissza ezekre a verziókra. 2024. szeptember közepétől kezdeményezzük az összes jelenleg TLS 1.0-t vagy 1.1-et használó kiszolgáló kötelező frissítését a TLS 1.2-re. A frissítési folyamat várhatóan 2024 szeptemberének végéig fejeződik be. Határozottan javasoljuk, hogy az ügyfelek szeptember vége előtt győződjenek meg arról, hogy alkalmazásaik teljes mértékben kompatibilisek a TLS 1.2-vel.

Eset Kiszolgálóparaméter-beállítások Leírás
SSL letiltása (titkosított kapcsolatok) require_secure_transport = KI Ha az örökölt alkalmazás nem támogatja a rugalmas Azure Database for MySQL-kiszolgálópéldány titkosított kapcsolatait, a require_secure_transport=KI beállítással letilthatja a titkosított kapcsolatok kényszerítésének letiltását a rugalmas kiszolgálóhoz.
SSL kényszerítése a TLS 1.2-es verziójával < (2024 szeptemberében megszűnik) require_secure_transport = BE és tls_version = TLS 1.0 vagy TLS 1.1 Ha az örökölt alkalmazás támogatja a titkosított kapcsolatokat, de a TLS 1.2-es verzióját < igényli, engedélyezheti a titkosított kapcsolatokat, de konfigurálhatja a rugalmas kiszolgálót, hogy engedélyezze az alkalmazás által támogatott TLS-verzióval (1.0-s vagy 1.1-es verzió) való kapcsolatokat
SSL kényszerítése TLS-verzióval = 1.2 (Alapértelmezett konfiguráció) require_secure_transport = BE és tls_version = TLS 1.2 Ez a rugalmas kiszolgálók ajánlott és alapértelmezett konfigurációja.
SSL kényszerítése TLS-verzióval = 1.3 (a MySQL 8.0-s vagy újabb verziójával támogatott) require_secure_transport = BE és tls_version = TLS 1.3 Ez hasznos és ajánlott új alkalmazások fejlesztéséhez

Feljegyzés

A rugalmas kiszolgálón az SSL-titkosítás módosítása nem támogatott. A FIPS-titkosítási csomagok alapértelmezés szerint akkor lesznek kényszerítve, ha tls_version TLS 1.2-es verzióra van állítva. Az 1.2-es verziótól eltérő TLS-verziók esetén az SSL-titkosítás a MySQL-közösség telepítésével járó alapértelmezett beállításokra van beállítva.

Tekintse át a csatlakozást SSL/TLS használatával, és ismerje meg, hogyan azonosíthatja a használt TLS-verziót.

Következő lépések