Megosztás a következőn keresztül:

Private Link az Azure Database for MySQL-hez

  • Cikk

A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló

Fontos

Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?

A privát kapcsolat lehetővé teszi, hogy privát végponton keresztül csatlakozzon az Azure különböző PaaS-szolgáltatásaihoz. Az Azure Private Link lényegében elérhetővé teszi az Azure-szolgáltatásokat a virtuális magánhálózaton belül. A PaaS-erőforrások a magánhálózati IP-cím használatával érhetők el, ugyanúgy, mint a virtuális hálózat más erőforrásai.

A Private Link funkciót támogató PaaS-szolgáltatások listáját a Private Link dokumentációjában találja. A privát végpont egy magánhálózati IP-cím egy adott virtuális hálózaton és alhálózaton belül.

Feljegyzés

A privát kapcsolat funkció csak az Azure Database for MySQL-kiszolgálókhoz érhető el az Általános célú vagy memóriaoptimalizált tarifacsomagokban. Győződjön meg arról, hogy az adatbázis-kiszolgáló ezen tarifacsomagok egyikében található.

Adatkiszivárgás megelőzése

Az Azure Database for MySQL-ben az adatok utólagos szűrése akkor történik, ha egy jogosult felhasználó, például egy adatbázis-rendszergazda képes adatokat kinyerni az egyik rendszerből, és áthelyezni azt egy másik, a szervezeten kívüli helyre vagy rendszerbe. A felhasználó például egy harmadik fél tulajdonában lévő tárfiókba helyezi át az adatokat.

Fontolja meg azt a forgatókönyvet, amikor egy felhasználó MySQL Workbench-et futtat egy Azure-beli virtuális gépen (VM), amely az USA nyugati régiójában kiépített Azure Database for MySQL-kiszolgálóhoz csatlakozik. Az alábbi példa bemutatja, hogyan korlátozhatja a nyilvános végpontokhoz való hozzáférést az Azure Database for MySQL-ben hálózati hozzáférési vezérlők használatával.

  • Tiltsa le az Azure Database for MySQL-be irányuló összes Azure-szolgáltatás forgalmát a nyilvános végponton keresztül az Azure-szolgáltatások kikapcsolásának engedélyezésével. Győződjön meg arról, hogy a kiszolgálóhoz tűzfalszabályokon vagy virtuális hálózati szolgáltatásvégpontokon keresztül nem férnek hozzá IP-címek vagy tartományok.

  • Csak a virtuális gép privát IP-címével engedélyezze az Azure Database for MySQL-be irányuló forgalmat. További információkért tekintse meg a szolgáltatásvégpont és a virtuális hálózat tűzfalszabályairól szóló cikkeket.

  • Az Azure-beli virtuális gépen az alábbiak szerint szűkítse le a kimenő kapcsolatok hatókörét hálózati biztonsági csoportok (NSG-k) és szolgáltatáscímkék használatával

    • Adjon meg egy NSG-szabályt a szolgáltatáscímke = SQL forgalmának engedélyezéséhez . WestUs – csak az USA nyugati régiójában található Azure Database for MySQL-hez való kapcsolódás engedélyezése
    • Adjon meg egy NSG-szabályt (magasabb prioritással) a szolgáltatáscímke forgalmának megtagadásához = SQL – az Azure Database for MySQL-hez való frissítéshez szükséges kapcsolatok megtagadása minden régióban

A beállítás végén az Azure-beli virtuális gép csak az USA nyugati régiójában található Azure Database for MySQL-hez tud csatlakozni. A kapcsolat azonban nem korlátozódik egyetlen Azure Database for MySQL-hez. A virtuális gép továbbra is csatlakozhat az USA nyugati régiójában található Azure Database for MySQL-hez, beleértve az előfizetés részét nem képező adatbázisokat is. Bár a fenti forgatókönyvben az adatkiszivárgás hatókörét egy adott régióra csökkentettük, még nem szüntettük meg teljesen.

A Private Link használatával most már beállíthat hálózati hozzáférési vezérlőket, például NSG-ket a privát végponthoz való hozzáférés korlátozásához. Az egyes Azure PaaS-erőforrások ezután meghatározott privát végpontokra lesznek leképezve. A rosszindulatú bennfentes csak a leképezett PaaS-erőforráshoz (például egy Azure Database for MySQL-hez) férhet hozzá, és nincs más erőforrás.

Helyi kapcsolat privát társhálózat-létesítésen keresztül

Amikor helyszíni gépekről csatlakozik a nyilvános végponthoz, az IP-címet kiszolgálószintű tűzfalszabály használatával kell hozzáadni az IP-alapú tűzfalhoz. Bár ez a modell jól működik a fejlesztési vagy tesztelési számítási feladatok egyes gépeihez való hozzáférés engedélyezéséhez, éles környezetben nehéz kezelni.

A Private Link használatával engedélyezheti a helyek közötti hozzáférést a privát végponthoz az Express Route (ER), a privát társviszony-létesítés vagy a VPN-alagút használatával. Ezt követően letilthatják az összes hozzáférést a nyilvános végponton keresztül, és nem használhatják az IP-alapú tűzfalat.

Feljegyzés

Bizonyos esetekben az Azure Database for MySQL és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

  • Győződjön meg arról, hogy mindkét előfizetés rendelkezik a Microsoft.DBforMySQL erőforrás-szolgáltató regisztrálva. További információ: resource-manager-registration

Létrehozási folyamat

A privát kapcsolat engedélyezéséhez privát végpontokra van szükség. Ezt az alábbi útmutatók segítségével teheti meg.

Jóváhagyási folyamat

Miután a hálózati rendszergazda létrehozta a privát végpontot (PE), a MySQL-rendszergazda kezelheti a privát végpont kapcsolatát (PEC) az Azure Database for MySQL-hez. A hálózati rendszergazda és a DBA közötti feladatok elkülönítése hasznos az Azure Database for MySQL-kapcsolatok kezeléséhez.

  • Lépjen az Azure Database for MySQL-kiszolgáló erőforrására az Azure Portalon.
    • Válassza ki a privát végpont kapcsolatait a bal oldali panelen
    • Az összes privát végpontkapcsolat (PECs) listáját jeleníti meg
    • A megfelelő privát végpont (PE) létrehozva

válassza ki a privát végpont portálját

  • Jelöljön ki egy egyéni PEC-t a listából a kijelöléssel.

válassza ki a jóváhagyásra váró privát végpontot

  • A MySQL-kiszolgáló rendszergazdája dönthet úgy, hogy jóváhagy vagy elutasít egy PEC-et, és igény szerint rövid szöveges választ ad hozzá.

válassza ki a privát végpont üzenetét

  • A jóváhagyás vagy elutasítás után a lista a megfelelő állapotot és a válaszszöveget fogja tükrözni

válassza ki a privát végpont végső állapotát

Az ügyfelek ugyanabból a virtuális hálózatból, társviszonyban lévő virtuális hálózatból vagy régiók közötti virtuális hálózatból vagy régiók közötti virtuális hálózatok közötti kapcsolaton keresztül csatlakozhatnak a privát végponthoz. Emellett az ügyfelek expressRoute,privát társviszony-létesítés vagy VPN-bújtatás használatával csatlakozhatnak a helyszíniről. Az alábbiakban egy egyszerűsített diagram mutatja be a gyakori használati eseteket.

válassza ki a privát végpont áttekintését

Csatlakozás Azure-beli virtuális gépről társhálózaton (VNet)

Konfigurálja a virtuális hálózatok közötti társviszonyt az Azure Database for MySQL-hez való kapcsolódáshoz egy azure-beli virtuális gépről egy társhálózaton.

Csatlakozás Azure-beli virtuális gépről virtuális hálózatok közötti környezetben

Konfigurálja a virtuális hálózatok közötti VPN-átjáró kapcsolatot , hogy kapcsolatot létesítsen egy Azure Database for MySQL-hez egy másik régióban vagy előfizetésben lévő Azure-beli virtuális gépről.

Helyszíni környezetből VPN-en keresztül történő csatlakozás

Ha helyszíni környezetből szeretne kapcsolatot létesíteni az Azure Database for MySQL-hez, válassza ki és implementálja az alábbi lehetőségek egyikét:

A privát kapcsolat tűzfalszabályokkal való együttes használata esetén a következő helyzetek és eredmények lehetségesek:

  • Ha nem konfigurál tűzfalszabályokat, akkor alapértelmezés szerint egyetlen forgalom sem férhet hozzá az Azure Database for MySQL-hez.

  • Ha nyilvános forgalmat vagy szolgáltatásvégpontot konfigurál, és privát végpontokat hoz létre, a bejövő forgalom különböző típusait a megfelelő tűzfalszabály-típus engedélyezi.

  • Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, és privát végpontokat hoz létre, akkor az Azure Database for MySQL csak a privát végpontokon keresztül érhető el. Ha nem konfigurál nyilvános forgalmat vagy szolgáltatásvégpontot, a jóváhagyott privát végpontok elutasítása vagy törlése után egyetlen forgalom sem férhet hozzá az Azure Database for MySQL-hez.

Nyilvános hozzáférés megtagadása az Azure Database for MySQL-hez

Ha csak privát végpontokra szeretne támaszkodni az Azure Database for MySQL-hez való hozzáféréshez, letilthatja az összes nyilvános végpont (például tűzfalszabályok és VNet-szolgáltatásvégpontok) beállítását az adatbázis-kiszolgálón a Nyilvános hálózati hozzáférés megtagadása konfiguráció beállításával.

Ha ez a beállítás IGEN értékre van állítva, csak a privát végpontokon keresztüli kapcsolatok engedélyezettek az Azure Database for MySQL-hez. Ha ez a beállítás NEM értékre van állítva, az ügyfelek a tűzfal vagy a VNet szolgáltatás végpontbeállításai alapján csatlakozhatnak az Azure Database for MySQL-hez. Emellett a privát hálózati hozzáférés értékének beállítása után az ügyfelek nem adhatnak hozzá és/vagy nem frissíthetik a meglévő "tűzfalszabályokat" és a "VNet-szolgáltatásvégpontszabályokat".

Feljegyzés

Ez a funkció minden olyan Azure-régióban elérhető, ahol az Önálló Azure Database for MySQL támogatja az általános célú és memóriaoptimalizált tarifacsomagokat.

Ez a beállítás nincs hatással az Azure Database for MySQL SSL- és TLS-konfigurációira.

Ha tudni szeretné, hogyan állíthatja be az Azure Database for MySQL nyilvános hálózati hozzáférésének megtagadását az Azure Portalról, tekintse meg a Nyilvános hálózati hozzáférés megtagadása konfigurálását ismertető témakört.

Következő lépések

Az Azure Database for MySQL biztonsági funkcióival kapcsolatos további információkért tekintse meg az alábbi cikkeket:

  • Az Azure Database for MySQL tűzfalának konfigurálásához tekintse meg a tűzfaltámogatást.

  • Ha tudni szeretné, hogyan konfigurálhat virtuális hálózati szolgáltatásvégpontot az Azure Database for MySQL-hez, olvassa el a Hozzáférés konfigurálása virtuális hálózatokról című témakört.

  • Az Azure Database for MySQL-kapcsolat áttekintését az Azure Database for MySQL kapcsolati architektúrája című témakörben tekintheti meg .