Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo presenta i concetti relativi al controllo della connettività all'istanza del server flessibile di Database di Azure per MySQL. Vengono illustrati in dettaglio i concetti di rete per il server flessibile di Database di Azure per MySQL per creare e accedere a un server in modo sicuro in Azure.
Il server flessibile di Database di Azure per MySQL supporta tre modi per configurare la connettività ai server:
Accesso alla rete pubblica per Database di Azure per MySQL È possibile accedere al server flessibile tramite un endpoint pubblico. L'endpoint pubblico è un indirizzo DNS risolvibile pubblicamente. L'espressione "indirizzi IP consentiti" si riferisce a un intervallo di indirizzi IP a cui si sceglie di concedere l'autorizzazione per l'accesso al server. Queste autorizzazioni si definiscono regole del firewall.
Endpoint privato È possibile usare endpoint privati per i cluster per consentire agli host in una rete virtuale di accedere in modo sicuro ai dati tramite un collegamento privato.
Accesso alla rete privata usando l'integrazione della rete virtuale per Database di Azure per MySQL - Server flessibile È possibile distribuire il server flessibile nella Rete virtuale di Azure. Le reti virtuali di Azure forniscono comunicazioni private e sicure. Le risorse di una rete virtuale possono comunicare tramite indirizzi IP privati.
Note
Dopo aver distribuito un server con accesso pubblico o privato (tramite integrazione rete virtuale), non è possibile modificare la modalità di connettività. In modalità di accesso pubblico, tuttavia, è possibile abilitare o disabilitare gli endpoint privati in base alle esigenze e disabilitare anche l'accesso pubblico, se necessario.
Scegliere un'opzione di rete
Scegliere il metodo Accesso pubblico (indirizzi IP consentiti) e endpoint privato se si desiderano le funzionalità seguenti:
- Connettersi da risorse di Azure senza supporto per la rete virtuale
- Connettersi da risorse esterne di Azure che non sono connesse tramite VPN o ExpressRoute
- Il server flessibile è accessibile tramite un endpoint pubblico ed è accessibile tramite risorse Internet autorizzate. Se necessario, l'accesso pubblico può essere disabilitato.
- Possibilità di configurare gli endpoint privati per accedere al server dagli host su una rete virtuale (VNet)
Scegliere Accesso privato (integrazione rete virtuale) se si desiderano le funzionalità seguenti:
- Connettersi al server flessibile dalle risorse di Azure all'interno della stessa rete virtuale o di una rete virtuale con peering senza la necessità di configurare un endpoint privato
- Usare VPN o ExpressRoute per connettersi al server flessibile da risorse non di Azure
- Nessun endpoint pubblico
Se si sceglie di usare l'accesso privato o l'opzione di accesso pubblico, si applicano le caratteristiche seguenti:
- Le connessioni da indirizzi IP consentiti devono eseguire l'autenticazione all'istanza del server flessibile di Database di Azure per MySQL con credenziali valide
- La crittografia della connessione è disponibile per il traffico di rete
- Il server dispone di un nome di dominio completo (fqdn). È consigliabile usare fqdn anziché un indirizzo IP per la proprietà nome host nelle stringhe di connessione.
- Entrambe le opzioni controllano l'accesso a livello di server, non a livello di database o di tabella. Si userebbero le proprietà dei ruoli di MySQL per controllare l'accesso a database, tabelle e altri oggetti.
Scenari di rete virtuale non supportati
- Endpoint pubblico (o indirizzo IP pubblico o DNS): un server flessibile distribuito in una rete virtuale non può avere un endpoint pubblico.
- Dopo che il server flessibile è stato distribuito a una rete virtuale e una subnet, non è possibile spostarlo in un'altra rete virtuale o subnet.
- Dopo aver distribuito il server flessibile, non è possibile spostare la rete virtuale usata dal server flessibile in un altro gruppo di risorse o in un'altra sottoscrizione.
- Dopo la creazione di risorse non è possibile aumentare le dimensioni della subnet (spazi indirizzi).
- La modifica dall'accesso pubblico a privato non è consentita dopo la creazione del server. Il modo consigliato consiste nell'usare il recupero temporizzato.
Note
Se si usa il server DNS personalizzato, è necessario usare un server d'inoltro DNS per risolvere il nome di dominio completo dell'istanza del server flessibile di Database di Azure per MySQL. Per altre informazioni, vedere risoluzione dei nomi che usa il server DNS.
Nome host
Indipendentemente dall'opzione di rete, è consigliabile usare il nome di dominio completo (FQDN) <servername>.mysql.database.azure.com nelle stringhe di connessione per la connessione all'istanza del server flessibile di Database di Azure per MySQL. L'indirizzo IP del server non è garantito che rimanga statico. L'uso del nome di dominio completo eviterà di dover apportare modifiche alla stringa di connessione.
Un esempio che usa un FQDN come nome host è hostname = servername.mysql.database.azure.com. Se possibile, evitare di usare hostname = 10.0.0.4 (indirizzo privato) o nome host = 40.2.45.67 (indirizzo pubblico).
TLS e SSL
Database di Azure per MySQL server flessibile supporta la connessione delle applicazioni client all'istanza del server flessibile Database di Azure per MySQL tramite SSL (Secure Sockets Layer) con la crittografia TLS (Transport Layer Security). TLS è un protocollo standard del settore che garantisce connessioni di rete crittografate tra il server di database e le applicazioni client, consentendo di rispettare i requisiti di conformità.
Il server flessibile di Database di Azure per MySQL supporta le connessioni crittografate tramite Transport Layer Security (TLS 1.2) per impostazione predefinita e tutte le connessioni in ingresso con TLS 1.0 e TLS 1.1 vengono negate per impostazione predefinita. L'imposizione della connessione crittografata o la configurazione della versione TLS nel server flessibile può essere configurata e modificata.
Di seguito sono riportate le diverse configurazioni delle impostazioni SSL e TLS disponibili per il server flessibile:
Importante
In base alla rimozione del supporto per i protocolli TLS 1.0 e TLS 1.1, in precedenza era prevista la deprecazione completa di TLS 1.0 e 1.1 entro settembre 2024. Tuttavia, a causa delle dipendenze identificate da alcuni clienti, abbiamo deciso di estendere la sequenza temporale.
- A partire dal 31 agosto 2025, verrà avviato l'aggiornamento forzato per tutti i server che usano ancora TLS 1.0 o 1.1. Dopo questa data, le connessioni che si basano su TLS 1.0 o 1.1 potrebbero smettere di funzionare in qualsiasi momento. Per evitare potenziali interruzioni del servizio, è consigliabile che i clienti completino la migrazione a TLS 1.2 prima del 31 agosto 2025.
- A partire da settembre 2024, i nuovi server non potranno più usare TLS 1.0 o 1.1 e i server esistenti non potranno effettuare il downgrade a queste versioni.
È consigliabile che i clienti aggiornino le applicazioni per supportare TLS 1.2 il prima possibile per evitare interruzioni del servizio.
| Sceneggiatura | Impostazioni dei parametri del server | Descrizione |
|---|---|---|
| Disabilitare SSL (connessioni crittografate) | require_secure_transport = OFF | Se l'applicazione legacy non supporta le connessioni crittografate all'istanza del server flessibile di Database di Azure per MySQL, è possibile disabilitare l'imposizione delle connessioni crittografate al server flessibile impostando require_secure_transport=OFF. |
| Applicare SSL con TLS versione < 1.2 (sarà deprecato a settembre 2024) | require_secure_transport = ON e tls_version = TLS 1.0 o TLS 1.1 | Se l'applicazione legacy supporta connessioni crittografate ma richiede TLS versione < 1.2, è possibile abilitare le connessioni crittografate, ma configurare il server flessibile per consentire le connessioni con la versione TLS (v1.0 o v1.1) supportata dall'applicazione |
| Applicare SSL con TLS versione = 1.2 (configurazione predefinita) | require_secure_transport = ON e tls_version = TLS 1.2 | Si tratta della configurazione consigliata e predefinita per un server flessibile. |
| Applicare SSL con TLS versione = 1.3 (supportato con MySQL v8.0 e versioni successive) | require_secure_transport = ON e tls_version = TLS 1.3 | Questo è utile e consigliato per lo sviluppo di nuove applicazioni |
Note
Le modifiche apportate alla crittografia SSL nel server flessibile non sono supportate. I pacchetti di crittografia FIPS vengono applicati per impostazione predefinita quando tls_version è impostato su TLS versione 1.2. Per le versioni TLS diverse dalla versione 1.2, la crittografia SSL è impostata su impostazioni predefinite, incluse nell'installazione della community MySQL.
Vedere Connettersi con SSL/TLS per informazioni su come identificare la versione TLS in uso.
Contenuti correlati
- Creare e gestire reti virtuali per il server flessibile di Database MySQL di Azure usando il portale di Azure
- Creare e gestire reti virtuali per Database di Azure per MySQL - Server flessibile usando l'interfaccia della riga di comando di Azure
- Gestire le regole del firewall per Database di Azure per MySQL - Server flessibile tramite il portale di Azure
- Gestire le regole del firewall per Database di Azure per MySQL - Server flessibile tramite l'interfaccia della riga di comando di Azure
- configurare un collegamento privato per il server flessibile di Database di Azure per MySQL dal portale di Azure