Az Azure Database for MySQL-kiszolgáló tűzfalszabályai

A következőkre vonatkozik: Azure Database for MySQL – Önálló kiszolgáló

Fontos

Az önálló Azure Database for MySQL-kiszolgáló a kivonási útvonalon van. Határozottan javasoljuk, hogy frissítsen rugalmas Azure Database for MySQL-kiszolgálóra. További információ a rugalmas Azure Database for MySQL-kiszolgálóra való migrálásról: Mi történik az önálló Azure Database for MySQL-kiszolgálóval?

A tűzfalak mindaddig nem férnek hozzá az adatbázis-kiszolgálóhoz, amíg meg nem adja, hogy mely számítógépek rendelkeznek engedéllyel. A tűzfal biztosítja az adatbázisokhoz való hozzáférést az egyes kérések eredeti IP-címe alapján.

Tűzfal konfigurálásához hozzon létre olyan tűzfalszabályokat, amelyek elfogadható IP-címtartományokat határoznak meg. Tűzfalszabályok a kiszolgálószinten hozhatóak létre.

Tűzfalszabályok: Ezek a szabályok lehetővé teszik az ügyfelek számára, hogy hozzáférjenek a teljes Azure Database for MySQL-kiszolgálóhoz, vagyis az ugyanazon a logikai kiszolgálón belüli összes adatbázishoz. A kiszolgálószintű tűzfalszabályok az Azure Portal vagy az Azure CLI parancsaival konfigurálhatók. Csak az előfizetés tulajdonosa vagy az előfizetés közreműködői hozhatnak létre kiszolgálószintű tűzfalszabályokat.

Tűzfal áttekintése

Alapértelmezés szerint a tűzfal blokkolja az Azure Database for MySQL-kiszolgálóhoz való összes adatbázis-hozzáférést. Ha egy másik számítógépről szeretné használni a kiszolgálót, meg kell adnia egy vagy több kiszolgálószintű tűzfalszabályt a kiszolgálóhoz való hozzáférés engedélyezéséhez. A tűzfalszabályok segítségével megadhatja, hogy az internetről mely IP-címtartományokat engedélyezze. A tűzfalszabályok nem érintik az Azure Portal webhelyének elérését.

Az internetről és az Azure-ból érkező csatlakozási kísérleteknek először át kell haladniuk a tűzfalon, mielőtt elérnék az Azure Database for MySQL-adatbázist.

Csatlakozás az internetről

A kiszolgálószintű tűzfalszabályok az Azure Database for MySQL-kiszolgálón található összes adatbázisra vonatkoznak.

Ha a kérés IP-címe a kiszolgálószintű tűzfalszabályokban megadott tartományok egyikén belül van, akkor a kapcsolat meg lesz adva.

Ha a kérés IP-címe kívül esik az adatbázis- vagy kiszolgálószintű tűzfalszabályok bármelyikében megadott tartományon, a kapcsolatkérés meghiúsul.

Csatlakozás az Azure-ból

Javasoljuk, hogy keresse meg bármely alkalmazás vagy szolgáltatás kimenő IP-címét, és explicit módon engedélyezze az egyes IP-címekhez vagy -tartományokhoz való hozzáférést. Megtalálhatja például egy Azure-alkalmazás szolgáltatás kimenő IP-címét, vagy használhat egy virtuális géphez vagy más erőforráshoz kapcsolódó nyilvános IP-címet (a virtuális gép privát IP-címéhez szolgáltatásvégpontokon keresztüli csatlakozással kapcsolatos információkért lásd alább).

Ha egy rögzített kimenő IP-cím nem érhető el az Azure-szolgáltatáshoz, érdemes lehet engedélyezni a kapcsolatokat az összes Azure-adatközpont IP-címéről. Ez a beállítás az Azure Portalról engedélyezhető úgy, hogy a Kapcsolat biztonsági panelen bekapcsolja az Azure-szolgáltatásokhoz való hozzáférést, és a Mentés gombra állítva. Az Azure CLI-ben a 0.0.0.0-val egyenlő kezdő és záró címmel rendelkező tűzfalszabály-beállítás egyenértékű. Ha a csatlakozási kísérlet nem engedélyezett, a kérés nem éri el az Azure Database for MySQL-kiszolgálót.

Fontos

Az Azure-szolgáltatásokhoz való hozzáférés engedélyezése beállítás konfigurálja a tűzfalat arra, hogy engedélyezzen minden, az Azure felől érkező kapcsolatot, beleértve a más ügyfelek előfizetéseiből érkező kapcsolatokat is. Ezen beállítás kiválasztásakor győződjön meg arról, hogy a bejelentkezési és felhasználói engedélyei a hozzáféréseket az arra jogosult felhasználókra korlátozzák.

Csatlakozás virtuális hálózatról

Ha biztonságosan szeretne csatlakozni az Azure Database for MySQL-kiszolgálóhoz egy virtuális hálózatról, fontolja meg a VNet szolgáltatásvégpontok használatát.

Tűzfalszabályok szoftveres kezelése

Az Azure Portalon kívül a tűzfalszabályok programozott módon is kezelhetők az Azure CLI használatával. Lásd még : Azure Database for MySQL-tűzfalszabályok létrehozása és kezelése az Azure CLI használatával

A tűzfallal kapcsolatos problémák elhárítása

Vegye figyelembe az alábbi szempontokat, ha a Microsoft Azure Database for MySQL-kiszolgálószolgáltatáshoz való hozzáférés nem a várt módon működik:

• Az engedélyezési lista módosításai még nem léptek érvénybe: Az Azure Database for MySQL Server tűzfalkonfigurációjának módosítása akár öt perces késéssel is járhat.

• A bejelentkezés nincs engedélyezve, vagy helytelen jelszót használtak: Ha a bejelentkezés nem rendelkezik engedélyekkel az Azure Database for MySQL-kiszolgálón, vagy a használt jelszó helytelen, a rendszer megtagadja az Azure Database for MySQL-kiszolgálóhoz való csatlakozást. Egy tűzfalbeállítás létrehozása lehetővé teszi az ügyfelek számára a kiszolgálóhoz való csatlakozás megkísérlését, azonban minden egyes ügyfélnek meg kell adnia a szükséges biztonsági hitelesítő adatokat.

• Dinamikus IP-cím: Ha dinamikus IP-címzéssel rendelkező internetkapcsolattal rendelkezik, és nem tud átjutni a tűzfalon, próbálkozzon az alábbi megoldások egyikével:

  • Kérdezze meg az internetszolgáltatót az Azure Database for MySQL-kiszolgálóhoz hozzáférő ügyfélszámítógépekhez rendelt IP-címtartományról, majd adja hozzá az IP-címtartományt tűzfalszabályként.

  • Állítson be statikus IP-címeket az ügyfélszámítógépei számára, majd adja meg az IP-címeket tűzfalszabályokként.

• A kiszolgáló IP-címe nyilvánosnak tűnik: Az Azure Database for MySQL-kiszolgálóhoz való kapcsolatok egy nyilvánosan elérhető Azure-átjárón keresztül vannak irányítva. A kiszolgáló tényleges IP-címét azonban tűzfal védi. További információért tekintse meg a kapcsolati architektúráról szóló cikket.

• Nem lehet csatlakozni az Azure-erőforrásból engedélyezett IP-címmel: Ellenőrizze, hogy a Microsoft.Sql szolgáltatásvégpont engedélyezve van-e a csatlakozni kívánt alhálózathoz. Ha a Microsoft.Sql engedélyezve van, az azt jelzi, hogy csak az adott alhálózaton szeretné használni a VNet szolgáltatásvégpont-szabályait .

  Előfordulhat például, hogy a következő hibaüzenet jelenik meg, ha egy Olyan Alhálózaton lévő Azure-beli virtuális gépről csatlakozik, amelynek engedélyezve van a Microsoft.Sql , de nincs megfelelő VNet-szabálya: FATAL: Client from Azure Virtual Networks is not allowed to access the server

• A tűzfalszabály nem érhető el IPv6 formátumban: A tűzfalszabályoknak IPv4 formátumban kell lenniük. Ha IPv6-formátumban adja meg a tűzfalszabályokat, az érvényesítési hibát fog mutatni.

Következő lépések

• Azure Database for MySQL-tűzfalszabályok létrehozása és kezelése az Azure Portal használatával
• Azure Database for MySQL-tűzfalszabályok létrehozása és kezelése az Azure CLI használatával
• VNet-szolgáltatásvégpontok az Azure Database for MySQL-ben