Aturan firewall server Azure Database for MySQL
BERLAKU UNTUK
Azure Database for MySQL - Server Tunggal
Penting
Server tunggal Azure Database for MySQL berada di jalur penghentian. Kami sangat menyarankan Agar Anda meningkatkan ke server fleksibel Azure Database for MySQL. Untuk informasi selengkapnya tentang migrasi ke server fleksibel Azure Database for MySQL, lihat Apa yang terjadi pada Server Tunggal Azure Database for MySQL?
Firewall mencegah semua akses ke server database Anda hingga Anda menentukan komputer mana yang memiliki izin. Firewall memberikan akses ke server berdasarkan alamat IP asal dari setiap permintaan.
Untuk mengonfigurasi firewall, Anda membuat aturan firewall yang menentukan rentang alamat IP yang dapat diterima. Anda bisa membuat aturan firewall pada tingkat server.
Aturan firewall: Aturan ini memungkinkan klien untuk mengakses seluruh Azure Database for MySQL, yaitu semua database dalam server logika yang sama. Aturan firewall tingkat server dapat dikonfigurasi menggunakan portal Microsoft Azure atau komando Azure CLI. Untuk membuat aturan firewall tingkat server, Anda harus menjadi pemilik atau kontributor langganan.
Ringkasan Firewall
Semua akses database ke server Azure Database for MySQL Anda secara default diblokir oleh firewall. Untuk mulai menggunakan server dari komputer lain, Anda perlu menentukan satu atau beberapa aturan firewall tingkat server untuk membuka akses ke server Anda. Gunakan aturan firewall untuk menentukan alamat IP mana yang berkisar dari Internet untuk memperbolehkan. Akses ke situs web portal Microsoft Azure itu sendiri tidak terpengaruh oleh aturan firewall.
Upaya koneksi dari Internet dan Azure harus terlebih dahulu melewati firewall sebelum mereka bisa mencapai database Azure Database for MySQL Anda, seperti yang diperlihatkan dalam diagram berikut ini:
Menyambungkan dari internet
Aturan firewall tingkat server berlaku untuk semua database di server Azure Database for MySQL.
Jika alamat IP permintaan berada dalam salah satu rentang yang ditentukan dalam aturan firewall tingkat server, maka permintaan koneksi disetujui.
Jika alamat IP permintaan berada di luar rentang yang ditentukan dalam salah satu aturan firewall tingkat database atau tingkat server, maka permintaan koneksi gagal.
Menyambungkan dari Azure
Anda disarankan untuk menemukan alamat IP keluar dari aplikasi atau layanan apa pun dan secara eksplisit mengizinkan akses ke alamat atau rentang IP individu tersebut. Misalnya, Anda dapat menemukan alamat IP keluar dari Azure App Service atau menggunakan IP publik yang terkait dengan mesin virtual atau sumber daya lain (lihat di bawah ini untuk info tentang menghubungkan dengan IP pribadi mesin virtual melalui titik akhir layanan).
Jika alamat IP keluar tetap tidak tersedia untuk layanan Azure Anda, Anda dapat mempertimbangkan untuk mengaktifkan koneksi dari semua alamat IP pusat data Azure. Pengaturan ini dapat diaktifkan dari portal Microsoft Azure dengan mengatur opsi Perbolehkan akses ke layanan Azure ke AKTIF dari panel Keamanan koneksi dan menekan Simpan. Dari Azure CLI, pengaturan aturan firewall dengan alamat awal dan akhir sama dengan 0.0.0.0 setara. Jika upaya koneksi tidak diizinkan, permintaan tidak akan menjangkau server Azure Database for MySQL.
Penting
Opsi Izinkan akses ke layanan Azure mengonfigurasi firewall untuk mengizinkan semua koneksi dari Azure, termasuk koneksi dari langganan pelanggan lainnya. Saat memilih opsi ini, pastikan aktivitas masuk dan izin pengguna Anda membatasi akses hanya untuk pengguna yang diotorisasi.
Menyambungkan dari VNet
Untuk menyambungkan dengan aman ke server Azure Database for MySQL dari VNet, pertimbangkan untuk menggunakan titik akhir layanan VNet.
Mengelola aturan firewall secara terprogram
Selain portal Microsoft Azure, aturan firewall dapat dikelola secara terprogram dengan menggunakan Azure CLI. Lihat juga Buat dan kelola aturan firewall Azure Database for MySQL menggunakan Azure CLI
Pemecahan masalah firewall
Pertimbangkan poin berikut saat akses ke layanan server Microsoft Azure Database for MySQL tidak berperilaku seperti yang diharapkan:
Perubahan pada daftar perkenankan belum berlaku: Mungkin ada penundaan lima menit untuk perubahan pada konfigurasi firewall Azure Database for MySQL Server yang akan diterapkan.
Log masuk tidak berwenang atau kata sandi yang salah digunakan: Jika log masuk tidak memiliki izin di server Azure Database for MySQL atau kata sandi yang digunakan salah, koneksi ke server Azure Database for MySQL ditolak. Membuat pengaturan firewall hanya memberi klien kesempatan untuk mencoba menyambungkan ke server Anda; setiap klien harus memberikan info masuk keamanan yang diperlukan.
Alamat IP dinamis: Jika Anda memiliki koneksi Internet dengan alamat IP dinamis dan Anda mengalami masalah saat melewati firewall, cobalah salah satu solusi berikut:
Tanyakan kepada Penyedia Layanan Internet (ISP) Anda untuk rentang alamat IP yang ditetapkan ke komputer klien Anda yang mengakses server Azure Database for MySQL, lalu tambahkan rentang alamat IP sebagai aturan firewall.
Dapatkan alamat IP statis sebagai gantinya untuk komputer klien Anda, lalu tambahkan alamat IP sebagai aturan firewall.
IP server tampaknya bersifat publik: Koneksi ke server Azure Database for MySQL dirutekan melalui gateway Azure yang dapat diakses publik. Namun, IP server yang sebenarnya dilindungi oleh firewall. Untuk mengetahui informasi selengkapnya, kunjungi artikel arsitektur konektivitas.
Tidak dapat tersambung dari sumber daya Azure dengan IP yang diizinkan: Periksa apakah titik akhir layanan Microsoft.Sql diaktifkan untuk subnet tempat Anda menyambungkan. Jika Microsoft.Sql diaktifkan, hal ini menandakan bahwa Anda hanya ingin menggunakan aturan titik akhir layanan VNet pada subnet tersebut.
Misalnya, Anda akan menemui kesalahan berikut jika menyambungkan dari Azure VM pada subnet dengan Microsoft.Sql yang diaktifkan, tetapi tidak memiliki aturan VNet yang sesuai:
FATAL: Client from Azure Virtual Networks is not allowed to access the serverAturan firewall tidak tersedia untuk format IPv6: Aturan firewall harus berupa format IPv4. Jika Anda menentukan aturan firewall dalam format IPv6, aturan firewall tersebut akan menampilkan kesalahan validasi.