Privát hálózat virtuális hálózati integrációhoz az Azure Database for MySQL – rugalmas kiszolgálóhoz

A következőkre vonatkozik: Azure Database for MySQL – rugalmas kiszolgáló

Ez a cikk a rugalmas Azure Database for MySQL-kiszolgáló privát kapcsolati lehetőségét ismerteti. Részletesen megismerheti a rugalmas Azure Database for MySQL-kiszolgáló virtuális hálózati fogalmait, hogy biztonságosan hozzon létre egy kiszolgálót az Azure-ban.

Privát hozzáférés (virtuális hálózat integrációja)

Az Azure Virtual Network) az Azure-beli magánhálózat alapvető építőeleme. A rugalmas Azure Database for MySQL-kiszolgálóval való virtuális hálózatintegráció az Azure-nak a hálózati biztonság és az elkülönítés előnyeit biztosítja.

A rugalmas Azure Database for MySQL-kiszolgálópéldány virtuális hálózati integrációja lehetővé teszi, hogy a kiszolgálóhoz való hozzáférést csak a virtuális hálózati infrastruktúrához zárolja. A virtuális hálózat az összes alkalmazás- és adatbázis-erőforrást egyetlen virtuális hálózatba is belefoglalhatja, vagy az ugyanabban a régióban vagy egy másik régióban található különböző virtuális hálózatokra is kiterjedhet. A különböző virtuális hálózatok közötti közvetlen kapcsolat létesíthető társviszony-létesítéssel, amely a Microsoft alacsony késésű, nagy sávszélességű privát gerincinfrastruktúráját használja. A virtuális hálózatok kapcsolati célokból egyként jelennek meg.

A rugalmas Azure Database for MySQL-kiszolgáló támogatja az ügyfélkapcsolatot az alábbiakból:

• Virtuális hálózatok ugyanabban az Azure-régióban (helyileg társviszonyban lévő virtuális hálózatok)
• Azure-régiók virtuális hálózatai (globális társhálózatok)

Az alhálózatok lehetővé teszik a virtuális hálózat egy vagy több alhálózatra való szegmentálását, és lefoglalhatja a virtuális hálózat címterének egy részét, amelyre ezután üzembe helyezheti az Azure-erőforrásokat. A rugalmas Azure Database for MySQL-kiszolgálóhoz delegált alhálózat szükséges. A delegált alhálózat egy explicit azonosító, amelyet egy alhálózat csak rugalmas Azure Database for MySQL-kiszolgálópéldányokat üzemeltethet. Az alhálózat delegálásával a szolgáltatás közvetlen engedélyeket kap a rugalmas Azure Database for MySQL-kiszolgálópéldány zökkenőmentes kezeléséhez szolgáltatásspecifikus erőforrások létrehozásához.

Feljegyzés

A rugalmas Azure Database for MySQL-kiszolgáló üzemeltetéséhez megadható legkisebb CIDR-tartomány a /29, amely nyolc IP-címet biztosít. A hálózat vagy alhálózat első és utolsó címe azonban nem rendelhető hozzá egyetlen gazdagéphez sem. Az Azure öt IP-címet foglal le az Azure hálózatkezelés általi belső használatra, beleértve azt a két IP-címet is, amelyek nem rendelhetők hozzá egy gazdagéphez. Ez három elérhető IP-címet hagy a /29 CIDR-tartományhoz. Rugalmas Azure Database for MySQL-kiszolgáló esetén csomópontonként egy IP-címet kell lefoglalnia a delegált alhálózatról, ha a privát hozzáférés engedélyezve van. A HA-kompatibilis kiszolgálókhoz két IP-cím szükséges, a nem HA-kiszolgálókhoz pedig egy IP-cím szükséges. Javasoljuk, hogy rugalmas Azure Database for MySQL-kiszolgálópéldányonként legalább két IP-címet foglaljon le, mivel a magas rendelkezésre állási lehetőségek később engedélyezhetők. A rugalmas Azure Database for MySQL-kiszolgáló integrálható az Azure saját DNS zónákkal, hogy megbízható és biztonságos DNS-szolgáltatást biztosítson a virtuális hálózat tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Egy privát DNS-zóna egy vagy több virtuális hálózathoz kapcsolható virtuális hálózati kapcsolatok létrehozásával

A fenti ábrán

1. A rugalmas Azure Database for MySQL-kiszolgálópéldányokat a rendszer a VNet-1 virtuális hálózat 10.0.1.0/24 delegált alhálózatába injektálja.
2. Az ugyanazon virtuális hálózaton belül különböző alhálózatokon üzembe helyezett alkalmazások közvetlenül hozzáférhetnek a rugalmas Azure Database for MySQL-kiszolgálópéldányokhoz.
3. A VNet-2 virtuális hálózaton üzembe helyezett alkalmazások nem rendelkeznek közvetlen hozzáféréssel a rugalmas Azure Database for MySQL-kiszolgálópéldányokhoz. Ahhoz, hogy hozzáférhessenek egy példányhoz, privát DNS-zóna virtuális hálózati társviszony-létesítést kell végrehajtania.

A virtuális hálózat fogalmai

Az alábbiakban néhány fogalmat ismerhet meg, amikor rugalmas Azure Database for MySQL-kiszolgálópéldányokkal használja a virtuális hálózatokat.

• Virtuális hálózat -

  Az Azure-beli virtuális hálózatok az Ön számára konfigurált magánhálózati IP-címteret tartalmaznak. Az Azure-beli virtuális hálózattal kapcsolatos további információkért látogasson el az Azure Virtual Network áttekintésére .

  A virtuális hálózatnak ugyanabban az Azure-régióban kell lennie, mint a rugalmas Azure Database for MySQL-kiszolgálópéldányának.

• Delegált alhálózat -

  A virtuális hálózatok alhálózatokat (alhálózatokat) tartalmaznak. Az alhálózatok lehetővé teszik a virtuális hálózat kisebb címterekre való szegmentálását. Az Azure-erőforrások egy virtuális hálózaton belül meghatározott alhálózatokra vannak üzembe helyezve.

  A rugalmas Azure Database for MySQL-kiszolgálópéldánynak olyan alhálózatban kell lennie, amely csak rugalmas Azure Database for MySQL-kiszolgálóhoz van delegálva . Ez a delegálás azt jelenti, hogy csak rugalmas Azure Database for MySQL-kiszolgálópéldányok használhatják ezt az alhálózatot. Az alhálózatra semmilyen más típusú Azure-erőforrás nem delegálható. Egy alhálózat delegálásához rendelje hozzá a delegálási tulajdonságát Microsoft.DBforMySQL/flexibleServers néven.

• Hálózati biztonsági csoportok (NSG)

  A hálózati biztonsági csoportok biztonsági szabályai lehetővé teszik, hogy megszűrje a virtuális hálózat alhálózatain és hálózati adapterein bejövő és kimenő forgalom típusait. További információért tekintse át a hálózati biztonsági csoport áttekintését .

• saját DNS zónaintegráció

  Az Azure privát DNS-zónaintegrációja lehetővé teszi a privát DNS feloldását az aktuális virtuális hálózaton belül, vagy bármely régión belüli társhálózaton belül, ahol a privát DNS-zóna kapcsolódik.

• Virtuális hálózati társviszony

  A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két vagy több virtuális hálózat zökkenőmentes csatlakoztatását az Azure-ban. A társviszonyban lévő virtuális hálózatok kapcsolati célokból egyként jelennek meg. A társhálózatok virtuális gépei közötti forgalom a Microsoft gerinchálózati infrastruktúrát használja. Az ügyfélalkalmazás és a rugalmas Azure Database for MySQL-kiszolgálópéldány közötti forgalom a társhálózatokban csak a Microsoft magánhálózatán keresztül van irányítva, és az adott hálózathoz van elkülönítve.

Saját DNS zóna használata

• Ha az Azure Portal vagy az Azure CLI használatával hoz létre rugalmas Azure Database for MySQL-kiszolgálópéldányokat egy virtuális hálózattal mysql.database.azure.com , az előfizetésben kiszolgálónként egy új privát DNS-zóna jön létre a megadott kiszolgálónév használatával. Ha saját privát DNS-zónát szeretne beállítani a rugalmas Azure Database for MySQL-kiszolgálópéldánysal, tekintse meg a privát DNS áttekintési dokumentációját.

• Ha Azure API-t, egy Azure Resource Manager-sablont (ARM-sablont) vagy Terraformot használ, hozzon létre privát DNS-zónákat, amelyek a mySQL-hez készült rugalmas Azure Database-kiszolgálópéldányok privát hozzáféréssel való konfigurálása során végződnek mysql.database.azure.com és használják őket. További információkért tekintse meg a privát DNS-zóna áttekintését.

  Fontos

  saját DNS zónaneveknek a .-val kell végződniükmysql.database.azure.com. Ha rugalmas Azure Database for MySQL-kiszolgálópéldányhoz csatlakozik SSL-lel, és a tanúsítvány tulajdonosnevével teljes ellenőrzést (sslmode=VERIFY_IDENTITY) használ, használja <a servername.mysql.database.azure.com> a kapcsolati sztring.

Megtudhatja, hogyan hozhat létre rugalmas Azure Database for MySQL-kiszolgálópéldányt privát hozzáféréssel (virtuális hálózati integrációval) az Azure Portalon vagy az Azure CLI-ben.

Integráció egyéni DNS-kiszolgálóval

Ha egyéni DNS-kiszolgálót használ, akkor dns-továbbítót kell használnia a rugalmas Azure Database for MySQL-kiszolgálópéldány teljes tartománynevének feloldásához. A továbbító IP-címének 168.63.129.16-osnak kell lennie. Az egyéni DNS-kiszolgálónak a virtuális hálózaton belül kell lennie, vagy elérhetőnek kell lennie a virtuális hálózat DNS-kiszolgálóbeállításával. További információért tekintse meg a DNS-kiszolgálót használó névfeloldásokat.

Fontos

A rugalmas Azure Database for MySQL-kiszolgálópéldány sikeres üzembe helyezése érdekében, még ha egyéni DNS-kiszolgálót is használ, nem szabad letiltania az AzurePlatformDNS-be irányuló DNS-forgalmat az NSG használatával.

saját DNS zóna- és virtuális hálózati társviszony-létesítés

saját DNS zónabeállítások és a virtuális hálózatok közötti társviszony-létesítés független egymástól. A saját DNS zónák létrehozásáról és használatáról a Saját DNS zóna használata című szakaszban talál további információt.

Ha egy olyan ügyfélről szeretne csatlakozni a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz, amely ugyanabból a régióból vagy egy másik régióból egy másik virtuális hálózaton van kiépítve, a privát DNS-zónát össze kell kapcsolnia a virtuális hálózattal. Tekintse meg , hogyan kapcsolhatja össze a virtuális hálózat dokumentációját.

Feljegyzés

Csak a végződésű mysql.database.azure.com privát DNS-zónanevek csatolhatók.

Csatlakozás egy helyszíni kiszolgálóról egy rugalmas Azure Database for MySQL-kiszolgálópéldányhoz egy virtuális hálózatban az ExpressRoute vagy VPN használatával

A rugalmas Azure Database for MySQL-kiszolgálópéldányhoz helyszíni hálózatból származó, rugalmas Azure Database for MySQL-kiszolgálópéldányhoz való hozzáférést igénylő számítási feladatokhoz expressRoute-ra vagy VPN-re és a helyszíni hálózathoz csatlakoztatott virtuális hálózatra van szükség. Ha a helyszíni virtuális hálózatokon futó ügyfélalkalmazásokból (például a MySQL Workbenchből) szeretne csatlakozni, szüksége van egy DNS-továbbítóra a rugalmas Azure Database for MySQL-kiszolgálónév feloldásához. A DNS-továbbító egy kiszolgálószintű továbbítóval oldja fel az Azure által biztosított DNS-szolgáltatás (168.63.129.16) felé történő DNS-lekérdezéseket.

A helyes konfiguráláshoz a következő erőforrásokra van szüksége:

• Helyszíni hálózat.
• Egy rugalmas Azure Database for MySQL-kiszolgálópéldány, amely privát hozzáféréssel van kiépítve (virtuális hálózati integráció).
• A helyszíni hálózathoz csatlakoztatott virtuális hálózat.
• Az Azure-ban üzembe helyezett 168.63.129.16-os DNS-továbbító.

Ezután a rugalmas Azure Database for MySQL-kiszolgálónévvel (FQDN) csatlakozhat a társhálózati virtuális hálózatban vagy a helyszíni hálózatban lévő ügyfélalkalmazásból a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz.

Feljegyzés

Javasoljuk, hogy használja a teljes tartománynevet (FQDN) <servername>.mysql.database.azure.com kapcsolati sztring, amikor rugalmas Azure Database for MySQL-kiszolgálópéldányhoz csatlakozik. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosításait.

Nem támogatott virtuális hálózati forgatókönyvek

• Nyilvános végpont (vagy nyilvános IP-cím vagy DNS) – A virtuális hálózaton üzembe helyezett rugalmas Azure Database for MySQL-kiszolgálópéldányok nem rendelkezhetnek nyilvános végpontokkal.
• Miután a rugalmas Azure Database for MySQL-kiszolgálópéldány üzembe lett helyezve egy virtuális hálózaton és alhálózaton, nem helyezheti át egy másik virtuális hálózatra vagy alhálózatra. A virtuális hálózatot nem helyezheti át másik erőforráscsoportba vagy előfizetésbe.
• saját DNS integrációs konfiguráció az üzembe helyezés után nem módosítható.
• Az alhálózat mérete (címtartományok) nem növelhető, ha az erőforrások már létrejöttek az alhálózaton.

Következő lépések

• Megtudhatja, hogyan engedélyezheti a privát hozzáférést (virtuális hálózati integrációt) az Azure Portal vagy az Azure CLI használatával.
• Megtudhatja, hogyan használhatja a TLS-t.