Private Link untuk Azure Database for MySQL

BERLAKU UNTUKAzure Database for MySQL - Server Tunggal

Dengan Private Link Anda dapat terhubung ke berbagai layanan PaaS di Azure melalui private endpoint. Azure Private Link pada dasarnya membawa layanan Azure ke dalam Virtual Network (VNet) pribadi Anda. Sumber daya PaaS dapat diakses menggunakan alamat IP pribadi sama seperti sumber daya lainnya di VNet.

Untuk daftar layanan PaaS yang mendukung fungsi Private Link, tinjau dokumentasi Private Link. Titik akhir privat adalah alamat IP privat dalam VNet dan Subnet tertentu.

Catatan

Fitur Private Link hanya tersedia untuk server Azure Database for MySQL di tingkat harga Tujuan Umum atau Memori yang Dioptimalkan. Pastikan server database berada di salah satu tingkat harga ini.

Pencegahan penyelundupan data

Eksfiltrasi data di Azure Database for MySQL adalah ketika pengguna yang berwenang, seperti admin database, dapat mengekstrak data dari satu sistem dan memindahkannya ke lokasi atau sistem lain di luar organisasi. Misalnya, pengguna memindahkan data ke akun penyimpanan milik pihak ketiga.

Pertimbangkan skenario dengan pengguna yang menjalankan MySQL Workbench di dalam Azure Virtual Machine (VM) yang terhubung ke server Azure Database for MySQL yang disediakan di US Barat. Contoh di bawah ini menunjukkan cara membatasi akses dengan titik akhir publik di Azure Database for MySQL menggunakan kontrol akses jaringan.

  • Nonaktifkan semua lalu lintas layanan Azure ke Azure Database for MySQL melalui titik akhir publik dengan menetapkan Izinkan Layanan Azure ke NONAKTIF. Pastikan tidak ada alamat atau rentang IP yang diizinkan untuk mengakses server baik melalui aturan firewall atau titik akhir layanan jaringan virtual.

  • Hanya izinkan lalu lintas ke Azure Database for MySQL menggunakan alamat IP Pribadi VM. Untuk informasi selengkapnya, lihat artikel tentang Titik Akhir Layanan dan aturan firewall VNet.

  • Di Azure VM, persempit cakupan koneksi keluar dengan menggunakan Kelompok Keamanan Jaringan (NSGs) dan Tag Layanan sebagai berikut

    • Tentukan aturan NSG guna mengizinkan lalu lintas untuk Tag Layanan = SQL.WestUs - hanya mengizinkan koneksi ke Azure Database for MySQL di US Barat
    • Tentukan aturan NSG (dengan prioritas yang lebih tinggi) untuk menolak lalu lintas untuk Tag Layanan = SQL - menolak koneksi ke Pembaruan ke Azure Database for MySQL di semua wilayah

Di akhir penyiapan ini, Azure VM hanya dapat terhubung ke Azure Database for MySQL di wilayah US Barat. Namun, konektivitas tidak terbatas pada satu Azure Database for MySQL. VM masih dapat terhubung ke Azure Database for MySQL di wilayah US Barat, termasuk database yang bukan bagian dari langganan. Meskipun kita telah mengurangi cakupan penyelundupan data dalam skenario di atas ke wilayah tertentu, kita belum benar-benar menghilangkannya.

Dengan Private Link, kini Anda dapat menyiapkan kontrol akses jaringan seperti NSG agar membatasi akses ke titik akhir privat. Sumber daya Azure PaaS individual kemudian dipetakan ke titik akhir pribadi tertentu. Orang dalam yang jahat hanya dapat mengakses sumber daya PaaS yang dipetakan (misalnya Azure Database for MySQL) dan tidak ada sumber daya lainnya.

Konektivitas on-premise melalui private peering

Saat Anda tersambung ke titik akhir publik dari komputer lokal, alamat IP Anda perlu ditambahkan ke firewall berbasis IP menggunakan aturan firewall tingkat server. Meskipun model ini berfungsi dengan baik untuk memungkinkan akses ke mesin individu untuk beban kerja pengembangan atau pengujian, sulit untuk mengelolanya di lingkungan produksi.

Dengan Private Link, Anda dapat mengaktifkan akses lintas lokasi ke titik akhir privat menggunakan Rute Ekspres (ER), peering privat, atau terowongan VPN. Mereka selanjutnya dapat menonaktifkan semua akses melalui titik akhir publik dan tidak menggunakan firewall berbasis IP.

Catatan

Dalam beberapa kasus, Azure Database for MySQL dan VNet-subnet berada dalam langganan yang berbeda. Dalam kasus ini, Anda harus memastikan konfigurasi berikut:

  • Pastikan kedua langganan memiliki penyedia sumber Microsoft.DBforMySQL yang terdaftar. Untuk informasi lebih lanjut, lihat resource-manager-registration

Proses Penciptaan

Titik akhir privat diperlukan untuk mengaktifkan Private Link. Hal ini dapat dilakukan menggunakan panduan cara berikut.

Proses persetujuan

Setelah admin jaringan membuat private endpoint (PE), admin MySQL dapat mengelola Private endpoint Connection (PEC) ke Azure Database for MySQL. Pemisahan tugas antara admin jaringan dan DBA ini berguna untuk pengelolaan konektivitas Azure Database for MySQL.

  • Navigasikan ke sumber daya server Azure Database for MySQL di portal Microsoft Azure.
    • Pilih koneksi titik akhir pribadi di panel kiri
    • Tampilkan daftar semua Koneksi titik akhir privat (PEC)
    • Titik akhir privat (PE) yang sesuai dibuat

select the private endpoint portal

  • Pilih PEC individual dari daftar dengan memilihnya.

select the private endpoint pending approval

  • Admin server MySQL dapat memilih untuk menyetujui atau menolak PEC dan secara opsional menambahkan respons teks singkat.

select the private endpoint message

  • Setelah persetujuan atau penolakan, daftar akan mencerminkan status yang sesuai bersama dengan teks respons

select the private endpoint final state

Klien dapat terhubung ke titik akhir pribadi dari VNet yang sama, peer VNet di wilayah yang sama atau lintas wilayah, atau melalui koneksi VNet-ke-VNet lintas wilayah. Selain itu, klien dapat tersambung dari lokal menggunakan ExpressRoute, peering privat, atau penerowongan VPN. Di bawah ini adalah diagram disederhanakan yang menunjukkan kasus penggunaan umum.

select the private endpoint overview

Menyambungkan dari Azure VM di Jaringan Virtual (VNet) Peer

Konfigurasikan peering VNet untuk membuat konektivitas ke Azure Database for MySQL dari VM Azure di VNet yang di-peering.

Menghubungkan dari VM Azure di lingkungan VNet-ke-VNet

Konfigurasikan koneksi gateway VPN VNet-ke-VNet untuk membuat konektivitas ke Azure Database for MySQL dari Azure VM di wilayah atau langganan yang berbeda.

Menghubungkan dari lingkungan lokal melalui VPN

Untuk membangun konektivitas dari lingkungan lokal ke Azure Database for MySQL, pilih dan terapkan salah satu opsi:

Situasi dan hasil berikut ini mungkin terjadi saat Anda menggunakan Private Link bersama dengan aturan firewall:

  • Jika Anda tidak mengonfigurasi aturan firewall apa pun, maka secara default, tidak ada lalu lintas yang dapat mengakses Azure Database for MySQL.

  • Jika Anda mengonfigurasi lalu lintas publik atau titik akhir layanan dan Anda membuat titik akhir pribadi, maka berbagai jenis lalu lintas masuk diotorisasi oleh jenis aturan firewall yang sesuai.

  • Jika Anda tidak mengonfigurasi lalu lintas publik atau titik akhir layanan dan Anda membuat titik akhir pribadi, maka Azure Database for MySQL hanya dapat diakses melalui titik akhir pribadi. Jika Anda tidak mengonfigurasi lalu lintas publik atau titik akhir layanan, setelah semua titik akhir pribadi yang disetujui ditolak atau dihapus, lalu lintas tidak akan dapat mengakses Azure Database for MySQL.

Tolak akses publik untuk Azure Database for MySQL

Jika Anda hanya ingin mengandalkan titik akhir pribadi untuk mengakses Azure Database for MySQL, Anda dapat menonaktifkan pengaturan semua titik akhir publik (yaitu aturan firewall dan titik akhir layanan VNet) dengan menetapkan Konfigurasi Tolak Akses Jaringan Publik di server database.

Jika setelan ini disetel ke YA, hanya koneksi melalui titik akhir pribadi yang diizinkan ke Azure Database for MySQL Anda. Jika setelan ini disetel ke TIDAK, klien dapat terhubung ke Azure Database for MySQL Anda berdasarkan setelan titik akhir layanan firewall atau VNet Anda. Selain itu, setelah nilai akses jaringan Privat diatur, pelanggan tidak dapat menambah dan/atau memperbarui 'Aturan firewall' dan 'Aturan titik akhir layanan VNet' yang sudah ada.

Catatan

Fitur ini tersedia di semua wilayah Azure di mana Azure Database for MySQL - Server tunggal mendukung tingkat harga Tujuan Umum dan Memori yang Dioptimalkan.

Pengaturan ini tidak berdampak pada konfigurasi SSL dan TLS untuk Azure Database for MySQL Anda.

Untuk mempelajari cara menetapkan Tolak Akses Jaringan Publik untuk Azure Database for MySQL dari portal Microsoft Azure, lihat Cara mengonfigurasi Tolak Akses Jaringan Publik.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang fitur keamanan Azure Database for MySQL, lihat artikel berikut ini: