Private Link untuk Azure Database for MariaDB

Penting

Azure Database for MariaDB berada di jalur penghentian. Kami sangat menyarankan Anda bermigrasi ke Azure Database for MySQL. Untuk informasi selengkapnya tentang migrasi ke Azure Database for MySQL, lihat Apa yang terjadi pada Azure Database for MariaDB?.

Private Link memungkinkan Anda membuat titik akhir pribadi untuk Azure Database for MariaDB sehingga membawa layanan Azure di dalam Jaringan Virtual pribadi Anda (VNet). Titik akhir pribadi memperlihatkan IP privati yang dapat Anda gunakan untuk tersambung ke Azure Database for MariaDB sama seperti sumber daya lainnya di VNet.

Untuk daftar layanan PaaS yang mendukung fungsi Private Link, tinjau dokumentasi Private Link. Titik akhir privat adalah alamat IP privat dalam VNet dan Subnet tertentu.

Catatan

Fitur tautan privat hanya tersedia untuk server Azure Database for MariaDB di tingkat harga Tujuan Umum atau Memori yang Dioptimalkan. Pastikan server database berada di salah satu tingkat harga ini.

Pencegahan penyelundupan data

Eksfiltrasi data di Azure Database for MariaDB adalah ketika pengguna yang berwenang, seperti admin database, dapat mengekstrak data dari satu sistem dan memindahkannya ke lokasi atau sistem lain di luar organisasi. Misalnya, pengguna memindahkan data ke akun penyimpanan yang dimiliki oleh pihak ketiga.

Pertimbangkan skenario dengan pengguna yang menjalankan workbench MariaDB di dalam Azure VM yang menyambungkan ke instans Azure Database for MariaDB. Contoh MariaDB ini berada di pusat data US Barat. Contoh di bawah ini menunjukkan cara membatasi akses dengan titik akhir publik di Azure Database for MariaDB menggunakan kontrol akses jaringan.

• Nonaktifkan semua lalu lintas layanan Azure ke Azure Database for MariaDB melalui titik akhir publik dengan menetapkan Izinkan Layanan Azure ke NONAKTIF. Pastikan tidak ada alamat atau rentang IP yang diizinkan untuk mengakses server baik melalui aturan firewall atau titik akhir layanan jaringan virtual.

• Hanya izinkan lalu lintas ke Azure Database for MariaDB menggunakan alamat IP Pribadi VM. Untuk informasi selengkapnya, lihat artikel tentang Titik Akhir Layanan dan aturan firewall VNet.

• Di Azure VM, persempit cakupan koneksi keluar dengan menggunakan Kelompok Keamanan Jaringan (NSGs) dan Tag Layanan sebagai berikut:

  • Tentukan aturan NSG untuk mengizinkan lalu lintas untuk Tag Layanan = SQL.US Barat - hanya mengizinkan koneksi ke Azure Database for MariaDB di US Barat
  • Tentukan aturan NSG (dengan prioritas yang lebih tinggi) untuk menolak lalu lintas untuk Tag Layanan = SQL - menolak koneksi ke Database MariaDB di semua wilayah
    
    

Di akhir penyiapan ini, Azure VM hanya dapat tersambung ke Azure Database for MariaDB di wilayah US Barat. Namun, konektivitas tidak terbatas pada satu Azure Database for MariaDB. VM masih dapat tersambung ke Azure Database for MariaDB di wilayah US Barat, termasuk database yang bukan bagian dari langganan. Meskipun kami telah mengurangi cakupan eksfiltrasi data dalam skenario di atas ke wilayah tertentu, kami belum menghilangkannya sama sekali.

Dengan Private Link, kini Anda dapat mengatur kontrol akses jaringan seperti NSG untuk membatasi akses ke titik akhir privat. Sumber daya Azure PaaS individual kemudian dipetakan ke titik akhir privat tertentu. Pihak internal dengan niat jahat hanya dapat mengakses sumber daya PaaS yang dipetakan (misalnya Azure Database for MariaDB) dan bukan sumber daya lainnya.

Konektivitas on-premise melalui private peering

Saat Anda tersambung ke titik akhir publik dari komputer lokal, alamat IP Anda perlu ditambahkan ke firewall berbasis IP menggunakan aturan firewall tingkat server. Meskipun model ini bekerja dengan baik untuk memungkinkan akses ke komputer individu untuk beban kerja pengembangan atau pengujian, sulit untuk dikelola di lingkungan produksi.

Dengan Private Link, Anda dapat mengaktifkan akses lintas lokasi ke titik akhir privat menggunakan Rute Ekspres (ER), peering privat, atau terowongan VPN. Mereka selanjutnya dapat menonaktifkan semua akses melalui titik akhir publik dan tidak menggunakan firewall berbasis IP.

Catatan

Dalam beberapa kasus, Azure Database for MariaDB dan subnet VNet berada dalam langganan yang berbeda. Dalam kasus ini, Anda harus memastikan konfigurasi berikut:

• Pastikan bahwa kedua langganan memiliki penyedia sumber daya Microsoft.DBforMariaDB yang terdaftar. Untuk mengetahui informasi selengkapnya, lihat panduan pendaftaran-manajer-sumber daya

Konfigurasikan Private Link untuk Azure Database for MariaDB

Proses Pembuatan

Titik akhir privat diperlukan untuk mengaktifkan Private Link. Hal ini dapat dilakukan menggunakan panduan cara berikut.

• Portal Azure
• CLI

Proses Persetujuan

Setelah admin jaringan membuat titik akhir privat (PE), admin dapat mengelola Titik Akhir Privat(PEC) ke Azure Database for MariaDB. Pemisahan tugas antara admin jaringan dan DBA ini berguna untuk pengelolaan konektivitas Azure Database for MariaDB.

• Navigasikan ke sumber daya server Azure Database for MariaDB di portal Microsoft Azure.
  • Pilih koneksi titik akhir privat di panel kiri
  • Menampilkan daftar semua Koneksi titik akhir privat (PEC)
  • Titik akhir privat (PE) yang sesuai dibuat

• Pilih PEC individual dari daftar dengan memilihnya.

• Admin server MariaDB dapat memilih untuk menyetujui atau menolak PEC dan secara opsional menambahkan respons teks singkat.

• Setelah persetujuan atau penolakan, daftar akan mencerminkan keadaan yang sesuai bersama dengan teks tanggapan

Gunakan kasus Private Link untuk Azure Database for MariaDB

Klien dapat tersambung ke titik akhir privat dari VNet yang sama, VNet yang di-peer di wilayah yang sama atau lintas wilayah, atau melalui koneksi VNet-ke-VNet lintas wilayah. Selain itu, klien dapat terhubung dari jaringan lokal menggunakan ExpressRoute, peering pribadi, atau terowongan VPN. Di bawah ini adalah diagram sederhana yang menunjukkan kasus penggunaan umum.

Menyambungkan dari Azure VM di Jaringan Virtual (VNet) Peer

Konfigurasikan peering VNet untuk membuat konektivitas ke Azure Database for MariaDB dari VM Azure di VNet yang di-peering.

Menyambungkan dari VM Azure di lingkungan VNet-ke-VNet

Konfigurasikan koneksi gateway VPN VNet-ke-VNet untuk membangun konektivitas ke Azure Database for MariaDB dari Azure VM di wilayah atau langganan yang berbeda.

Menyambungkan dari lingkungan lokal melalui VPN

Untuk membangun konektivitas dari lingkungan lokal ke Azure Database for MariaDB, pilih dan terapkan salah satu opsi:

• Koneksi Titik-ke-Situs
• Koneksi VPN Situs-ke-Situs
• Sirkuit ExpressRoute

Private Link dikombinasikan dengan aturan firewall

Situasi dan hasil berikut ini mungkin terjadi saat Anda menggunakan Private Link bersama dengan aturan firewall:

• Jika Anda tidak mengonfigurasikan aturan firewall apa pun, maka secara default, tidak ada lalu lintas yang dapat mengakses Azure Database for MariaDB.

• Jika Anda mengonfigurasikan lalu lintas publik atau titik akhir layanan dan Anda membuat titik akhir pribadi, maka berbagai jenis lalu lintas masuk diotorisasi oleh jenis aturan firewall yang sesuai.

• Jika Anda tidak mengonfigurasikan lalu lintas publik atau titik akhir layanan dan Anda membuat titik akhir pribadi, maka Azure Database for MariaDB hanya dapat diakses melalui titik akhir privat. Jika Anda tidak mengonfigurasikan lalu lintas publik atau titik akhir layanan, setelah semua titik akhir privat yang disetujui ditolak atau dihapus, lalu lintas tidak akan dapat mengakses Azure Database for MariaDB.

Tolak akses publik untuk Azure Database for MariaDB

Jika Anda hanya ingin mengandalkan titik akhir privat untuk mengakses Azure Database for MariaDB, Anda dapat menonaktifkan pengaturan semua titik akhir publik (yaitu aturan firewall dan titik akhir layanan VNet) dengan menetapkan konfigurasi Tolak Akses Jaringan Publik di server database.

Jika setelan ini disetel ke YA, hanya koneksi melalui titik akhir privat yang diizinkan ke Azure Database for MariaDB Anda. Jika setelan ini disetel ke TIDAK, klien dapat tersambung ke Azure Database for MariaDB Anda berdasarkan setelan titik akhir layanan firewall atau VNet Anda. Selain itu, setelah nilai akses jaringan Privat ditetapkan, pelanggan tidak dapat menambah dan/atau memperbarui 'Aturan firewall' dan 'aturan titik akhir layanan VNet' yang ada.

Catatan

Fitur ini tersedia di semua wilayah Azure di mana Server tunggal Azure Database for PostgreSQL mendukung tingkat harga "Tujuan Umum" dan "Memori Dioptimalkan".

Pengaturan ini tidak berdampak pada konfigurasi SSL dan TLS untuk Azure Database for MariaDB Anda.

Untuk mempelajari cara menetapkan Tolak Akses Jaringan Publik untuk Azure Database for MariaDB dari portal Microsoft Azure, lihat Cara mengonfigurasikan Tolak Akses Jaringan Publik.

Langkah berikutnya

Untuk mempelajari selengkapnya tentang fitur keamanan Azure Database for MariaDB, lihat artikel berikut ini:

• Untuk mengonfigurasikan firewall untuk Azure Database for MariaDB, lihat Dukungan firewall.

• Untuk mempelajari cara mengonfigurasikan titik akhir layanan jaringan virtual untuk Azure Database for MariaDB Anda, lihat Mengonfigurasikan akses dari jaringan virtual.

• Untuk ringkasan tentang konektivitas Azure Database for MariaDB, lihat Arsitektur Konektivitas Azure Database for MariaDB