Megosztás a következőn keresztül:


Virtuális hálózati szolgáltatásvégpontok és szabályok használata az Azure Database for MySQL-hez

A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló

Fontos

Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?

A virtuális hálózati szabályok egy tűzfalbiztonsági funkció, amely azt szabályozza, hogy az Azure Database for MySQL-kiszolgáló elfogadja-e a virtuális hálózatok bizonyos alhálózataiból küldött kommunikációt. Ez a cikk azt ismerteti, hogy a virtuális hálózati szabály funkció miért a legjobb megoldás az Azure Database for MySQL-kiszolgálóval való kommunikáció biztonságos engedélyezéséhez.

Virtuális hálózati szabály létrehozásához először egy virtuális hálózatnak (VNet) és egy virtuális hálózati szolgáltatásvégpontnak kell lennie a szabály hivatkozásához.

Feljegyzés

Ez a funkció az Azure minden régiójában elérhető, ahol az Azure Database for MySQL általános célú és memóriaoptimalizált kiszolgálókon van üzembe helyezve. Virtuális hálózatok közötti társviszony-létesítés esetén, ha a forgalom szolgáltatásvégpontokkal rendelkező közös VNet-átjárón halad át, és a társ felé halad, hozzon létre egy ACL/VNet-szabályt, amely lehetővé teszi, hogy az átjáró virtuális hálózatában lévő Azure-beli virtuális gépek hozzáférjenek az Azure Database for MySQL-kiszolgálóhoz.

Megfontolhatja a Private Link használatát is a kapcsolatokhoz. A Private Link egy privát IP-címet biztosít a virtuális hálózatban az Azure Database for MySQL-kiszolgálóhoz.

Terminológia és leírás

Virtuális hálózat: Az Azure-előfizetéshez virtuális hálózatok társíthatók.

Alhálózat: A virtuális hálózat alhálózatokat tartalmaz. Minden Olyan Azure-beli virtuális gép (virtuális gép), amely alhálózatokhoz van rendelve. Egy alhálózat több virtuális gépet vagy más számítási csomópontot is tartalmazhat. A virtuális hálózaton kívül eső számítási csomópontok csak akkor férhetnek hozzá a virtuális hálózathoz, ha a biztonságot a hozzáférés engedélyezésére konfigurálja.

Virtuális hálózati szolgáltatásvégpont: A virtuális hálózati szolgáltatásvégpontok olyan alhálózatok, amelyek tulajdonságértékei egy vagy több formális Azure-szolgáltatástípusnevet tartalmaznak. Ebben a cikkben a Microsoft.Sql típusneve érdekli, amely az SQL Database nevű Azure-szolgáltatásra hivatkozik. Ez a szolgáltatáscímke az Azure Database for MySQL- és PostgreSQL-szolgáltatásokra is vonatkozik. Fontos megjegyezni, hogy a Microsoft.Sql szolgáltatáscímke VNet-szolgáltatásvégpontra való alkalmazásakor konfigurálja a szolgáltatásvégpont-forgalmat az alhálózat összes Azure SQL Database-, Azure Database for MySQL- és Azure Database for PostgreSQL-kiszolgálóján.

Virtuális hálózati szabály: Az Azure Database for MySQL-kiszolgáló virtuális hálózati szabálya egy alhálózat, amely az Azure Database for MySQL-kiszolgáló hozzáférés-vezérlési listájában (ACL) szerepel. Ahhoz, hogy az Azure Database for MySQL-kiszolgáló ACL-jében szerepeljen, az alhálózatnak tartalmaznia kell a Microsoft.Sql típusnevet.

Egy virtuális hálózati szabály arra utasítja az Azure Database for MySQL-kiszolgálót, hogy fogadja el az alhálózaton található összes csomópontról érkező kommunikációt.

A virtuális hálózati szabály előnyei

A művelet végrehajtásáig az alhálózatokon lévő virtuális gépek nem tudnak kommunikálni az Azure Database for MySQL-kiszolgálóval. A kommunikációt létrehozó egyik művelet egy virtuális hálózati szabály létrehozása. A VNet-szabály megközelítésének kiválasztásához összehasonlítási és kontrasztos vita szükséges, amely a tűzfal által kínált konkurens biztonsági lehetőségeket foglalja magában.

V. Hozzáférés engedélyezése Azure-szolgáltatások számára

A Kapcsolat biztonsági panelen van egy BE/KI gomb, amely az Azure-szolgáltatásokhoz való hozzáférés engedélyezése címkével rendelkezik. Az ON beállítás lehetővé teszi az összes Azure IP-címről és az összes Azure-alhálózatról érkező kommunikációt. Előfordulhat, hogy ezek az Azure IP-címek vagy alhálózatok nem Ön tulajdonában vannak. Ez az ON beállítás valószínűleg nyitottabb, mint azt szeretné, hogy az Azure Database for MySQL Database legyen. A virtuális hálózati szabály funkció sokkal részletesebb vezérlést biztosít.

B. IP-szabályok

Az Azure Database for MySQL-tűzfal lehetővé teszi olyan IP-címtartományok megadását, amelyekből a rendszer kommunikációt fogad az Azure Database for MySQL-adatbázisba. Ez a módszer az Azure-beli magánhálózaton kívüli stabil IP-címek esetében megfelelő. Az Azure-beli magánhálózat számos csomópontja azonban dinamikus IP-címekkel van konfigurálva. A dinamikus IP-címek változhatnak, például a virtuális gép újraindításakor. Érdemes dinamikus IP-címet megadni egy tűzfalszabályban, éles környezetben.

Az IP-címet a virtuális gép statikus IP-címének lekérésével mentheti. További részletekért lásd : Magánhálózati IP-címek konfigurálása virtuális gépekhez az Azure Portal használatával.

A statikus IP-alapú megközelítés azonban nehezen kezelhetővé válhat, és nagy méretek esetén költséges. A virtuális hálózati szabályok egyszerűbben alakíthatóak ki és kezelhetők.

A virtuális hálózati szabályok részletei

Ez a szakasz a virtuális hálózati szabályok számos részletét ismerteti.

Csak egy földrajzi régió

Minden virtuális hálózati szolgáltatásvégpont csak egy Azure-régióra vonatkozik. A végpont nem teszi lehetővé, hogy más régiók fogadják el az alhálózatról érkező kommunikációt.

Minden virtuális hálózati szabály arra a régióra korlátozódik, amelyre az alapul szolgáló végpont vonatkozik.

Kiszolgálószintű, nem adatbázisszintű

Minden virtuális hálózati szabály a teljes Azure Database for MySQL-kiszolgálóra vonatkozik, nem csak a kiszolgálón található egy adott adatbázisra. Más szóval a virtuális hálózati szabály a kiszolgáló szintjén érvényes, nem az adatbázis szintjén.

Biztonsági felügyeleti szerepkörök

A virtuális hálózati szolgáltatásvégpontok felügyeletében a biztonsági szerepkörök különváltak. Műveletre van szükség az alábbi szerepkörök mindegyikéből:

  • Hálózati rendszergazda: Kapcsolja be a végpontot.
  • Adatbázis-rendszergazda: Frissítse a hozzáférés-vezérlési listát (ACL), hogy hozzáadja a megadott alhálózatot az Azure Database for MySQL-kiszolgálóhoz.

Azure RBAC alternatíva:

A hálózati rendszergazda és az adatbázis-rendszergazda szerepkörei több képességekkel rendelkeznek, mint amennyi a virtuális hálózati szabályok kezeléséhez szükséges. Csak a képességeik egy részhalmazára van szükség.

Az Azure-beli szerepköralapú hozzáférés-vezérlés (Azure RBAC) használatával egyetlen egyéni szerepkört hozhat létre, amely csak a szükséges képességek részhalmazával rendelkezik. Az egyéni szerepkör használható a hálózati rendszergazda vagy az adatbázis-rendszergazda bevonása helyett. A biztonsági kitettség felülete alacsonyabb, ha felhasználót ad hozzá egy egyéni szerepkörhöz, és nem adja hozzá a felhasználót a másik két fő rendszergazdai szerepkörhöz.

Feljegyzés

Bizonyos esetekben az Azure Database for MySQL és a VNet-alhálózat különböző előfizetésekben található. Ezekben az esetekben a következő konfigurációkat kell biztosítania:

  • Mindkét előfizetésnek ugyanabban a Microsoft Entra-bérlőben kell lennie.
  • A felhasználó rendelkezik a szükséges engedélyekkel a műveletek elindításához, például a szolgáltatásvégpontok engedélyezéséhez és egy VNet-alhálózat hozzáadásához az adott kiszolgálóhoz.
  • Győződjön meg arról, hogy mindkét előfizetés rendelkezik a Microsoft.Sql és a Microsoft.DBforMySQL erőforrás-szolgáltató regisztrálva. További információ: resource-manager-registration

Korlátozások

Az Azure Database for MySQL esetében a virtuális hálózati szabályok szolgáltatása a következő korlátozásokkal rendelkezik:

  • A webalkalmazások egy virtuális hálózat/alhálózat privát IP-címére képezhetők le. Még akkor is, ha a szolgáltatásvégpontok be vannak kapcsolva az adott virtuális hálózatról/alhálózatról, a webalkalmazás és a kiszolgáló közötti kapcsolatok azure-beli nyilvános IP-forrással fognak rendelkezni, nem pedig virtuális hálózat/alhálózati forrással. Ha engedélyezni szeretné a webalkalmazás és a virtuális hálózati tűzfalszabályokat tartalmazó kiszolgáló közötti kapcsolatot, engedélyeznie kell az Azure-szolgáltatások számára, hogy hozzáférjenek a kiszolgáló kiszolgálóihoz.

  • Az Azure Database for MySQL tűzfalán minden virtuális hálózati szabály egy alhálózatra hivatkozik. Ezeket a hivatkozott alhálózatokat ugyanabban a földrajzi régióban kell üzemeltetni, amely az Azure Database for MySQL-t üzemelteti.

  • Minden Azure Database for MySQL-kiszolgáló legfeljebb 128 ACL-bejegyzéssel rendelkezhet egy adott virtuális hálózathoz.

  • A virtuális hálózati szabályok csak az Azure Resource Manager-alapú virtuális hálózatokra vonatkoznak; és nem a klasszikus üzemi modellhálózatok esetében.

  • A virtuális hálózati szolgáltatásvégpontok Azure Database for MySQL-re való bekapcsolása a Microsoft.Sql szolgáltatáscímkével az összes Azure Database-szolgáltatás végpontjait is lehetővé teszi: Az Azure Database for MySQL, az Azure Database for PostgreSQL, az Azure SQL Database és az Azure Synapse Analytics.

  • A VNet-szolgáltatásvégpontok támogatása csak az általános célú és a memóriaoptimalizált kiszolgálók esetében támogatott.

  • Ha a Microsoft.Sql engedélyezve van egy alhálózaton, az azt jelzi, hogy csak virtuális hálózati szabályokat szeretne használni a csatlakozáshoz. Az alhálózatban lévő erőforrások nem virtuális hálózati tűzfalszabályai nem működnek.

  • A tűzfalon az IP-címtartományok a következő hálózati elemekre vonatkoznak, a virtuális hálózati szabályok azonban nem:

ExpressRoute

Ha a hálózat az ExpressRoute használatával csatlakozik az Azure-hálózathoz, minden kapcsolatcsoport két nyilvános IP-címmel van konfigurálva a Microsoft Edge-en. A két IP-cím a Microsoft Serviceshez, például az Azure Storage-hoz való csatlakozáshoz használható az Azure Nyilvános társviszony-létesítés használatával.

A kapcsolatcsoport és az Azure Database for MySQL közötti kommunikáció engedélyezéséhez IP-hálózati szabályokat kell létrehoznia a kapcsolatcsoportok nyilvános IP-címéhez. Az ExpressRoute-kapcsolatcsoport nyilvános IP-címeinek megkereséséhez nyisson meg egy támogatási jegyet az ExpressRoute-tal az Azure Portal használatával.

VNET-tűzfalszabály hozzáadása a kiszolgálóhoz a VNET-szolgáltatásvégpontok bekapcsolása nélkül

A virtuális hálózat tűzfalszabályának beállítása nem segít a kiszolgáló virtuális hálózathoz való védelmében. A virtuális hálózatok szolgáltatásvégpontjait is be kell kapcsolnia a biztonság érvénybe lépéséhez. Amikor bekapcsolja a szolgáltatásvégpontokat, a virtuális hálózat alhálózata állásidőt tapasztal, amíg be nem fejeződik a Ki és a Be közötti váltás. Ez különösen igaz a nagy virtuális hálózatokra. Az IgnoreMissingServiceEndpoint jelölő használatával csökkentheti vagy megszüntetheti az átmeneti állásidőt.

Az IgnoreMissingServiceEndpoint jelölőt az Azure CLI vagy a portál használatával állíthatja be.

Következő lépések

A virtuális hálózati szabályok létrehozásáról szóló cikkekért lásd: