Megosztás a következőn keresztül:

Privát hálózat virtuális hálózati integrációhoz az Azure Database for MySQL – rugalmas kiszolgálóhoz

Ez a cikk a rugalmas Azure Database for MySQL-kiszolgáló privát kapcsolati lehetőségét ismerteti. Részletesen megismerheti a rugalmas Azure Database for MySQL-kiszolgáló virtuális hálózati fogalmait, amelyek segítségével biztonságosan hozhat létre kiszolgálót az Azure-ban.

Privát hozzáférés (virtuális hálózat integrációja)

Az Azure Virtual Network) az Azure-beli magánhálózat alapvető építőeleme. A rugalmas Azure Database for MySQL-kiszolgálóval való virtuális hálózati integráció az Azure hálózati biztonságának és elkülönítésének előnyeit biztosítja.

A rugalmas Azure Database for MySQL-kiszolgálópéldány virtuális hálózati integrációja lehetővé teszi, hogy a kiszolgálóhoz való hozzáférést csak a virtuális hálózati infrastruktúrához zárolja. A virtuális hálózat az összes alkalmazás- és adatbázis-erőforrást egyetlen virtuális hálózatba is belefoglalhatja, vagy az ugyanabban a régióban vagy egy másik régióban található különböző virtuális hálózatokra is kiterjedhet. A különböző virtuális hálózatok közötti közvetlen kapcsolat létesíthető társviszony-létesítéssel, amely a Microsoft alacsony késésű, nagy sávszélességű privát gerincinfrastruktúráját használja. A virtuális hálózatok kapcsolati célokból egyként jelennek meg.

A rugalmas Azure Database for MySQL-kiszolgáló támogatja az ügyfélkapcsolatot:

  • Virtuális hálózatok ugyanabban az Azure-régióban (helyileg társviszonyban lévő virtuális hálózatok)
  • Azure-régiók virtuális hálózatai (globális társhálózatok)

Az alhálózatok lehetővé teszik a virtuális hálózat egy vagy több alhálózatra való szegmentálását, és lefoglalhatja a virtuális hálózat címterének egy részét, amelyre ezután üzembe helyezheti az Azure-erőforrásokat. A rugalmas Azure Database for MySQL-kiszolgálóhoz delegált alhálózat szükséges. A delegált alhálózat egy explicit azonosító, amelyet egy alhálózat csak rugalmas Azure Database for MySQL-kiszolgálópéldányok üzemeltetésére képes. Az alhálózat delegálásával a szolgáltatás közvetlen engedélyeket kap a rugalmas Azure Database for MySQL-kiszolgálópéldány zökkenőmentes kezeléséhez szolgáltatásspecifikus erőforrások létrehozásához.

Feljegyzés

A rugalmas Azure Database for MySQL-kiszolgáló üzemeltetéséhez megadható legkisebb CIDR-tartomány a /29, amely nyolc IP-címet biztosít. A hálózat vagy alhálózat első és utolsó címe azonban nem rendelhető hozzá egyetlen gazdagéphez sem. Az Azure öt IP-címet foglal le az Azure hálózatkezelés általi belső használatra, beleértve azt a két IP-címet is, amelyek nem rendelhetők hozzá egy gazdagéphez. Ez három elérhető IP-címet hagy a /29 CIDR-tartományhoz. Rugalmas Azure Database for MySQL-kiszolgáló esetén csomópontonként egy IP-címet kell lefoglalnia a delegált alhálózatról, ha a privát hozzáférés engedélyezve van. A HA-kompatibilis kiszolgálókhoz két IP-cím szükséges, a nem HA-kiszolgálókhoz pedig egy IP-cím szükséges. Javasoljuk, hogy a rugalmas Azure Database for MySQL-kiszolgálópéldányonként legalább két IP-címet foglaljon le, mivel a magas rendelkezésre állási lehetőségek később engedélyezhetők. A rugalmas Azure Database for MySQL-kiszolgáló integrálható az Azure saját DNS zónákkal, így megbízható és biztonságos DNS-szolgáltatást biztosít a virtuális hálózatok tartományneveinek kezeléséhez és feloldásához anélkül, hogy egyéni DNS-megoldást kellene hozzáadnia. Egy privát DNS-zóna egy vagy több virtuális hálózathoz kapcsolható virtuális hálózati kapcsolatok létrehozásával

Képernyőkép a rugalmas kiszolgálói MySQL VNET-ről.

A fenti ábrán

  1. A rugalmas Azure Databases for MySQL-kiszolgálópéldányokat a rendszer a VNet-1 virtuális hálózat 10.0.1.0/24 delegált alhálózatába injektálja.
  2. Az ugyanazon virtuális hálózaton belül különböző alhálózatokon üzembe helyezett alkalmazások közvetlenül hozzáférhetnek a rugalmas Azure Database for MySQL-kiszolgálópéldányokhoz.
  3. A VNet-2 másik virtuális hálózatán üzembe helyezett alkalmazások nem rendelkeznek közvetlen hozzáféréssel a rugalmas Azure Database for MySQL-kiszolgálópéldányokhoz. Ahhoz, hogy hozzáférhessenek egy példányhoz, privát DNS-zóna virtuális hálózati társviszony-létesítést kell végrehajtania.

A virtuális hálózat fogalmai

Az alábbiakban néhány fogalmat ismerhet meg, amikor rugalmas Azure Database for MySQL-kiszolgálópéldányokkal használja a virtuális hálózatokat.

  • Virtuális hálózat -

    Az Azure-beli virtuális hálózatok az Ön számára konfigurált magánhálózati IP-címteret tartalmaznak. Az Azure-beli virtuális hálózattal kapcsolatos további információkért látogasson el az Azure Virtual Network áttekintésére .

    A virtuális hálózatnak ugyanabban az Azure-régióban kell lennie, mint a rugalmas Azure Database for MySQL-kiszolgálópéldányának.

  • Delegált alhálózat -

    A virtuális hálózatok alhálózatokat (alhálózatokat) tartalmaznak. Az alhálózatok lehetővé teszik a virtuális hálózat kisebb címterekre való szegmentálását. Az Azure-erőforrások egy virtuális hálózaton belül meghatározott alhálózatokra vannak üzembe helyezve.

    A rugalmas Azure Database for MySQL-kiszolgálópéldánynak olyan alhálózatban kell lennie, amely csak rugalmas Azure Database for MySQL-kiszolgálóhoz van delegálva . Ez a delegálás azt jelenti, hogy ezt az alhálózatot csak rugalmas Azure Database for MySQL-kiszolgálópéldányok használhatják. Az alhálózatra semmilyen más típusú Azure-erőforrás nem delegálható. Egy alhálózat delegálásához rendelje hozzá a delegálási tulajdonságát Microsoft.DBforMySQL/flexibleServers néven.

  • Hálózati biztonsági csoportok (NSG)

    A hálózati biztonsági csoportok biztonsági szabályai lehetővé teszik, hogy megszűrje a virtuális hálózat alhálózatain és hálózati adapterein bejövő és kimenő forgalom típusait. További információért tekintse át a hálózati biztonsági csoport áttekintését .

  • saját DNS zónaintegráció

    Az Azure privát DNS-zónaintegrációja lehetővé teszi a privát DNS feloldását az aktuális virtuális hálózaton belül, vagy bármely régión belüli társhálózaton belül, ahol a privát DNS-zóna kapcsolódik.

  • Virtuális hálózati társviszony

    A virtuális hálózatok közötti társviszony-létesítés lehetővé teszi két vagy több virtuális hálózat zökkenőmentes csatlakoztatását az Azure-ban. A társviszonyban lévő virtuális hálózatok kapcsolati célokból egyként jelennek meg. A társhálózatok virtuális gépei közötti forgalom a Microsoft gerinchálózati infrastruktúrát használja. Az ügyfélalkalmazás és a rugalmas Azure Database for MySQL-kiszolgálópéldány közötti forgalom a társhálózatokban csak a Microsoft magánhálózatán keresztül van irányítva, és az adott hálózathoz van elkülönítve.

Saját DNS zóna használata

  • Ha az Azure Portalt vagy az Azure CLI-t használja a rugalmas Azure Database for MySQL-kiszolgálópéldányok virtuális hálózattal való létrehozásához, az előfizetésben kiszolgálónként egy új privát DNS-zóna mysql.database.azure.com jön létre a megadott kiszolgálónév használatával. Ha saját privát DNS-zónát szeretne beállítani a rugalmas Azure Database for MySQL-kiszolgálópéldánysal, tekintse meg a privát DNS áttekintési dokumentációját.

  • Ha Azure API-t, egy Azure Resource Manager-sablont (ARM-sablont) vagy Terraformot használ, hozzon létre privát DNS-zónákat, amelyek végződnek mysql.database.azure.com és használják őket, miközben privát hozzáféréssel konfigurálja a rugalmas Azure Database for MySQL-kiszolgálópéldányokat. További információkért tekintse meg a privát DNS-zóna áttekintését.

    Fontos

    saját DNS zónaneveknek a .-val kell végződniükmysql.database.azure.com. Ha ssl-lel csatlakozik egy rugalmas Azure Database for MySQL-kiszolgálópéldányhoz, és a tanúsítvány tulajdonosának nevével teljes ellenőrzést (sslmode=VERIFY_IDENTITY) használ, használja <a servername.mysql.database.azure.com> a kapcsolati sztring.

Megtudhatja, hogyan hozhat létre rugalmas Azure Database for MySQL-kiszolgálópéldányt privát hozzáféréssel (virtuális hálózati integrációval) az Azure Portalon vagy az Azure CLI-ben.

Integráció egyéni DNS-kiszolgálóval

Ha egyéni DNS-kiszolgálót használ, akkor dns-továbbítót kell használnia a rugalmas Azure Database for MySQL-kiszolgálópéldány teljes tartománynevének feloldásához. A továbbító IP-címének 168.63.129.16-osnak kell lennie. Az egyéni DNS-kiszolgálónak a virtuális hálózaton belül kell lennie, vagy elérhetőnek kell lennie a virtuális hálózat DNS-kiszolgálóbeállításával. További információért tekintse meg a DNS-kiszolgálót használó névfeloldásokat.

Fontos

A rugalmas Azure Database for MySQL-kiszolgálópéldány sikeres üzembe helyezése érdekében, még ha egyéni DNS-kiszolgálót is használ, nem szabad letiltania az AzurePlatformDNS-be irányuló DNS-forgalmat az NSG használatával.

saját DNS zóna- és virtuális hálózati társviszony-létesítés

saját DNS zónabeállítások és a virtuális hálózatok közötti társviszony-létesítés független egymástól. A saját DNS zónák létrehozásáról és használatáról a Saját DNS zóna használata című szakaszban talál további információt.

Ha egy olyan ügyfélről szeretne csatlakozni a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz, amely ugyanabból a régióból vagy egy másik régióból egy másik virtuális hálózatban van kiépítve, a privát DNS-zónát össze kell kapcsolnia a virtuális hálózattal. Tekintse meg , hogyan kapcsolhatja össze a virtuális hálózat dokumentációját.

Feljegyzés

Csak a végződésű mysql.database.azure.com privát DNS-zónanevek csatolhatók.

Csatlakozás helyszíni kiszolgálóról egy rugalmas Azure Database for MySQL-kiszolgálópéldányhoz egy virtuális hálózatban az ExpressRoute vagy VPN használatával

A rugalmas Azure Database for MySQL-kiszolgálópéldányhoz helyszíni hálózatból származó azure database for MySQL-kiszolgálópéldányhoz való hozzáférést igénylő számítási feladatokhoz expressRoute-ra vagy VPN-re és a helyszíni hálózathoz csatlakoztatott virtuális hálózatra van szükség. Ha a helyszíni virtuális hálózatokon futó ügyfélalkalmazásokból (például a MySQL Workbenchből) szeretne csatlakozni, szüksége van egy DNS-továbbítóra a rugalmas Azure Database for MySQL-kiszolgálónév feloldásához. A DNS-továbbító egy kiszolgálószintű továbbítóval oldja fel az Azure által biztosított DNS-szolgáltatás (168.63.129.16) felé történő DNS-lekérdezéseket.

A helyes konfiguráláshoz a következő erőforrásokra van szüksége:

Ezután a rugalmas Azure Database for MySQL-kiszolgálónévvel (FQDN) csatlakozhat a társhálózati virtuális hálózatban vagy a helyszíni hálózatban lévő ügyfélalkalmazásból a rugalmas Azure Database for MySQL-kiszolgálópéldányhoz.

Feljegyzés

Javasoljuk, hogy használja a teljes tartománynevet (FQDN) <servername>.mysql.database.azure.com kapcsolati sztring, amikor rugalmas Azure Database for MySQL-kiszolgálópéldányhoz csatlakozik. A kiszolgáló IP-címe nem garantáltan statikus marad. A teljes tartománynév használatával elkerülheti a kapcsolati sztring módosításait.

Nem támogatott virtuális hálózati forgatókönyvek

  • Nyilvános végpont (vagy nyilvános IP-cím vagy DNS) – A virtuális hálózaton üzembe helyezett rugalmas Azure Database for MySQL-kiszolgálópéldányok nem rendelkezhetnek nyilvános végpontokkal.
  • Miután a rugalmas Azure Database for MySQL-kiszolgálópéldány üzembe lett helyezve egy virtuális hálózaton és alhálózaton, nem helyezheti át egy másik virtuális hálózathoz vagy alhálózathoz. A virtuális hálózatot nem helyezheti át másik erőforráscsoportba vagy előfizetésbe.
  • saját DNS integrációs konfiguráció az üzembe helyezés után nem módosítható.
  • Az alhálózat mérete (címtartományok) nem növelhető, ha az erőforrások már létrejöttek az alhálózaton.

A rugalmas Azure Database for MySQL-kiszolgáló át lehet váltani a privát hozzáférésről (integrált virtuális hálózatról) a nyilvános hozzáférésre, a Private Link használatával. Ez a funkció lehetővé teszi a kiszolgálók számára, hogy zökkenőmentesen váltanak a virtuális hálózatról a privát kapcsolatra/nyilvános infrastruktúrára anélkül, hogy módosítaniuk kellene a kiszolgáló nevét vagy az adatok migrálását, ami leegyszerűsíti az ügyfelek számára a folyamatot.

Feljegyzés

Az áttűnés után az nem fordítható vissza. Az áttűnés körülbelül 5–10 perces állásidőt jelent a nem HA-kiszolgálók esetében, a HA-kompatibilis kiszolgálók esetében pedig körülbelül 20 percet.

A folyamat offline módban történik, és két lépésből áll:

  1. A kiszolgáló leválasztása a virtuális hálózati infrastruktúráról.
  2. Privát kapcsolat létrehozása vagy nyilvános hozzáférés engedélyezése.

Kapcsolódó tartalom