Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk bemutatja a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való kapcsolódás szabályozásának alapelveit. Részletesen megismerheti a rugalmas Azure Database for MySQL-kiszolgáló hálózatkezelési alapelveit, amelyek segítségével biztonságosan hozhat létre és érhet el egy kiszolgálót az Azure-ban.
A rugalmas Azure Database for MySQL-kiszolgáló három módon konfigurálja a kiszolgálókhoz való kapcsolódást:
Nyilvános hálózati hozzáférés az Azure Database for MySQL-hez – Rugalmas kiszolgáló A rugalmas kiszolgáló nyilvános végponton keresztül érhető el. A nyilvános végpont egy nyilvánosan feloldható DNS-cím. Az "engedélyezett IP-címek" kifejezés olyan IP-címtartományra utal, amely engedélyt ad a kiszolgáló elérésére. Ezeket az engedélyeket tűzfalszabályoknak nevezzük.
Privát végpontokkal engedélyezheti a virtuális hálózati virtuális hálózaton lévő gazdagépek számára, hogy biztonságosan hozzáférjenek az adatokhoz privát kapcsolaton keresztül.
Privát hálózati hozzáférés az Azure Database for MySQL virtuális hálózati integrációjával – Rugalmas kiszolgáló : A rugalmas kiszolgálót üzembe helyezheti az Azure-beli virtuális hálózatban. Az Azure-beli virtuális hálózatok privát és biztonságos hálózati kommunikációt biztosítanak. A virtuális hálózatok erőforrásai magánhálózati IP-címeken keresztül kommunikálhatnak.
Note
Miután üzembe helyez egy nyilvános vagy privát hozzáférésű kiszolgálót (VNet-integrációval), nem módosíthatja a kapcsolati módot. Nyilvános hozzáférési módban azonban szükség szerint engedélyezheti vagy letilthatja a privát végpontokat, és szükség esetén letilthatja a nyilvános hozzáférést is.
Válasszon egy hálózati lehetőséget
Ha a következő képességeket szeretné használni, válassza a Nyilvános hozzáférés (engedélyezett IP-címek) és a Privát végpont metódust:
- Csatlakozás Azure-erőforrásokból virtuális hálózati támogatás nélkül
- Csatlakozás olyan Azure-on kívüli erőforrásokból, amelyekhez nem csatlakozik VPN vagy ExpressRoute
- A rugalmas kiszolgáló nyilvános végponton keresztül érhető el, és engedélyezett internetes erőforrásokon keresztül érhető el. Szükség esetén a nyilvános hozzáférés le is tiltható.
- Privát végpontok konfigurálása a kiszolgáló virtuális hálózaton (VNet) lévő gazdagépekről való elérésére
Válassza a Privát hozzáférés (VNet-integráció) lehetőséget, ha a következő képességekre van szüksége:
- Csatlakozzon a rugalmas kiszolgálóhoz az ugyanazon a virtuális hálózaton vagy egy társhálózaton belüli Azure-erőforrásokból anélkül, hogy privát végpontot kellene konfigurálnia
- Vpn vagy ExpressRoute használata nem Azure-erőforrásokból a rugalmas kiszolgálóhoz való csatlakozáshoz
- Nincs nyilvános végpont
A következő jellemzők vonatkoznak arra, hogy a privát vagy a nyilvános hozzáférési lehetőséget választja-e:
- Az engedélyezett IP-címekről származó kapcsolatoknak hitelesíteni kell a rugalmas Azure Database for MySQL-kiszolgálópéldányt érvényes hitelesítő adatokkal
- A kapcsolattitkosítás elérhető a hálózati forgalom számára
- A kiszolgáló teljes tartománynévvel (fqdn) rendelkezik. Azt javasoljuk, hogy a teljes tartománynevet használja ip-cím helyett a gazdagépnév tulajdonsághoz kapcsolati sztring.
- Mindkét beállítás a kiszolgáló szintjén szabályozza a hozzáférést, nem az adatbázis vagy a tábla szintjén. A MySQL szerepkör-tulajdonságaival szabályozhatja az adatbázis, a tábla és az egyéb objektumok hozzáférését.
Egyéni porttámogatás
Az Azure MySQL mostantól támogatja, hogy egyéni portot adjon meg 250001 és 26000 között a kiszolgáló létrehozásakor a kiszolgálóhoz való csatlakozáshoz. A csatlakozás alapértelmezett portja a 3306.
- Kiszolgálónként csak egy egyéni port támogatott.
- Az egyéni portok támogatott forgatókönyvei: kiszolgálólétrehozás, visszaállítás (portközi visszaállítás támogatott), olvasási replika létrehozása, magas rendelkezésre állás engedélyezése.
- Jelenlegi korlátozások:
- Az egyéni port nem frissíthető a kiszolgáló létrehozása után.
- A geo-helyreállítás és a geo-replika létrehozása egyéni portokkal nem támogatott.
Nem támogatott virtuális hálózati forgatókönyvek
- Nyilvános végpont (vagy nyilvános IP-cím vagy DNS) – A virtuális hálózaton üzembe helyezett rugalmas kiszolgálók nem rendelkezhetnek nyilvános végpontokkal.
- Miután a rugalmas kiszolgálót üzembe helyezte egy virtuális hálózaton és alhálózaton, nem helyezheti át egy másik virtuális hálózatra vagy alhálózatra.
- A rugalmas kiszolgáló üzembe helyezése után nem helyezheti át a rugalmas kiszolgáló által használt virtuális hálózatot egy másik erőforráscsoportba vagy előfizetésbe.
- Az alhálózat mérete (címtartományok) nem növelhető, ha az erőforrások már létrejöttek az alhálózaton.
- A kiszolgáló létrehozása után nem lehet nyilvánosról privát hozzáférésre váltani. Az ajánlott módszer az időponthoz kötött visszaállítás használata.
Note
Ha egyéni DNS-kiszolgálót használ, egy DNS-továbbítót kell használnia a rugalmas Azure Database for MySQL-kiszolgálópéldány teljes tartománynevének feloldásához. További információért tekintse meg a DNS-kiszolgálót használó névfeloldásokat.
Hostname
A hálózati beállítástól függetlenül javasoljuk, hogy a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való csatlakozáskor használja a teljes tartománynevet (FQDN) <servername>.mysql.database.azure.com a kapcsolati sztring. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosításait.
A teljes tartománynevet gazdagépnévként használó példa a hostname = servername.mysql.database.azure.com. Ha lehetséges, kerülje a gazdanév = 10.0.0.4 (magáncím) vagy a gazdagépnév = 40.2.45.67 (nyilvános cím) használatát.
Note
Ha a rugalmas Azure Database for MySQL-kiszolgáló nyilvános hozzáféréssel és privát kapcsolattal is rendelkezik, a példány nyilvános IP-címei az architekturális módosítás részeként frissülnek, hogy jobb legyen a hálózati élmény. Ha ilyen nyilvános IP-címeket használ a kapcsolati sztringben, 2025. szeptember 9. előtt teljes tartománynévre kell cserélnie a kiszolgálókapcsolat megszakadásának elkerülése érdekében. (Megjegyzés: A privát kapcsolat IP-címe vagy a VNet integráció IP-címe nincs hatással rá). Szükséges művelet – Futtassa az NSLookup parancsot a nyilvános hálózatról a változó nyilvános IP-cím lekéréséhez, és frissítse a kapcsolati sztringben szereplő hivatkozását az FQDN használatára.
TLS és SSL
A rugalmas Azure Database for MySQL-kiszolgáló támogatja az ügyfélalkalmazások rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való csatlakoztatását a Secure Sockets Layer (SSL) és a Transport Layer Security (TLS) titkosítás használatával. A TLS egy iparági szabványnak megfelelő protokoll, amely titkosított hálózati kapcsolatokat biztosít az adatbázis-kiszolgáló és az ügyfélalkalmazások között, így kielégítheti a megfelelőségi követelményeket.
A rugalmas Azure Database for MySQL-kiszolgáló alapértelmezés szerint a Transport Layer Security (TLS 1.2) használatával támogatja a titkosított kapcsolatokat, és alapértelmezés szerint minden TLS 1.0- és TLS 1.1-es bejövő kapcsolatot elutasít. A rugalmas kiszolgálón a titkosított kapcsolat kényszerítése vagy TLS-verziókonfigurációja konfigurálható és módosítható.
Az alábbiakban a rugalmas kiszolgálóhoz használható SSL- és TLS-beállítások különböző konfigurációit találja:
Important
A TLS 1.0 és a TLS 1.1 protokoll támogatásának megszüntetése szerint korábban azt terveztük, hogy 2024 szeptemberére teljesen elavulttá tesszük a TLS 1.0-s és 1.1-et. Egyes ügyfelek által azonosított függőségek miatt azonban úgy döntöttünk, hogy meghosszabbítjuk az ütemtervet.
- 2025. augusztus 31-től kezdődően elkezdjük a kényszerített frissítést az összes olyan kiszolgáló esetében, amely még mindig TLS 1.0-s vagy 1.1-et használ. Ezen dátum után a TLS 1.0-ra vagy 1.1-re támaszkodó kapcsolatok bármikor leállhatnak. A lehetséges szolgáltatáskimaradások elkerülése érdekében javasoljuk, hogy az ügyfelek 2025. augusztus 31-ig fejezzék be a TLS 1.2-re való migrálást.
- 2024 szeptemberétől az új kiszolgálók már nem használhatják a TLS 1.0-t vagy az 1.1-et, és a meglévő kiszolgálók nem léphetnek vissza ezekre a verziókra.
Határozottan javasoljuk, hogy az ügyfelek a lehető leghamarabb frissítsenek alkalmazásaikat a TLS 1.2 támogatásához a szolgáltatáskimaradások elkerülése érdekében.
| Scenario | Kiszolgálóparaméter-beállítások | Description |
|---|---|---|
| SSL letiltása (titkosított kapcsolatok) | require_secure_transport = KI | Ha az örökölt alkalmazás nem támogatja a rugalmas Azure Database for MySQL-kiszolgálópéldány titkosított kapcsolatait, a require_secure_transport=OFF beállítással letilthatja a rugalmas kiszolgálóhoz való titkosított kapcsolatok kényszerítésének letiltását. |
| SSL kényszerítése a TLS 1.2-es verziójával < (2024 szeptemberében elavult) | require_secure_transport = BE és tls_version = TLS 1.0 vagy TLS 1.1 | Ha az örökölt alkalmazás támogatja a titkosított kapcsolatokat, de a TLS 1.2-es verzióját < igényli, engedélyezheti a titkosított kapcsolatokat, de konfigurálhatja a rugalmas kiszolgálót, hogy engedélyezze az alkalmazás által támogatott TLS-verzióval (1.0-s vagy 1.1-es verzió) való kapcsolatokat |
| SSL kényszerítése TLS-verzióval = 1.2 (Alapértelmezett konfiguráció) | require_secure_transport = BE és tls_version = TLS 1.2 | Ez egy rugalmas kiszolgáló ajánlott és alapértelmezett konfigurációja. |
| SSL kényszerítése TLS-verzióval = 1.3 (a MySQL 8.0-s vagy újabb verziójával támogatott) | require_secure_transport = BE és tls_version = TLS 1.3 | Ez hasznos és ajánlott új alkalmazások fejlesztéséhez |
Note
A rugalmas kiszolgálón az SSL-titkosítás módosítása nem támogatott. A FIPS titkosítási csomag alapértelmezés szerint akkor lesz kényszerítve, ha tls_version TLS 1.2-es verzióra van állítva. Az 1.2-es verziótól eltérő TLS-verziók esetén az SSL-titkosítás a MySQL-közösség telepítésével járó alapértelmezett beállításokra van beállítva.
Tekintse át a csatlakozást SSL/TLS használatával , és ismerje meg, hogyan azonosíthatja a használt TLS-verziót.
Kapcsolódó tartalom
- Virtuális hálózatok létrehozása és kezelése az Azure Database for MySQL-hez – Rugalmas kiszolgáló az Azure Portal használatával
- Virtuális hálózatok létrehozása és kezelése az Azure Database for MySQL-hez – Rugalmas kiszolgáló az Azure CLI használatával
- Az Azure Database for MySQL tűzfalszabályainak kezelése – Rugalmas kiszolgáló az Azure Portal használatával
- Az Azure Database for MySQL tűzfalszabályainak kezelése – Rugalmas kiszolgáló az Azure CLI használatával
- privát kapcsolat konfigurálása rugalmas Azure Database for MySQL-kiszolgálóhoz az Azure Portalról