Private Link voor Azure Database for MariaDB

Belangrijk

Azure Database for MariaDB bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan om te migreren naar Azure Database for MySQL. Zie Wat gebeurt er met Azure Database for MariaDB voor meer informatie over migreren naar Azure Database for MySQL.

Met Private Link kunt u privé-eindpunten maken voor Azure Database for MariaDB en zo kunt u Azure-services binnen uw privé-VNet (Virtual Network) brengen. Het privé-eindpunt maakt een privé-IP beschikbaar die u kunt gebruiken om verbinding te maken met uw Azure Database for MariaDB-databaseserver, net als elke andere resource in het VNet.

Raadpleeg de Private Link-documentatie voor een lijst met PaaS-services die ondersteuning bieden voor Private Link-functionaliteit. Een privé-eindpunt is een privé-IP-adres binnen een specifiek VNet en subnet.

Notitie

De functie Private Link is alleen beschikbaar voor Azure Database for MariaDB-servers in de prijscategorieën Algemeen gebruik of Geoptimaliseerd voor geheugen. Zorg ervoor dat de databaseserver zich in een van deze prijscategorieën bevindt.

Preventie van gegevensexfiltratie

Gegevens ex-filtratie in Azure Database for MariaDB is wanneer een geautoriseerde gebruiker, zoals een databasebeheerder, gegevens uit het ene systeem kan extraheren en naar een andere locatie of een ander systeem buiten de organisatie kan verplaatsen. De gebruiker verplaatst bijvoorbeeld de gegevens naar een opslagaccount dat eigendom is van een derde partij.

Overweeg een scenario met een gebruiker die MariaDB workbench uitvoert binnen een Azure-VM die verbinding maakt met een Azure Database for MariaDB-exemplaar. Dit MariaDB-exemplaar bevindt zich in het datacenter vs - west. In het onderstaande voorbeeld ziet u hoe u de toegang met openbare eindpunten in Azure Database for MariaDB beperkt met behulp van besturingselementen voor netwerktoegang.

• Schakel al het Azure-serviceverkeer naar Azure Database for MariaDB uit via het openbare eindpunt door Azure-services toestaan in te stellen op UIT. Zorg ervoor dat geen IP-adressen of bereiken toegang hebben tot de server via firewallregels of service-eindpunten voor virtuele netwerken.

• Sta alleen verkeer naar Azure Database for MariaDB toe met behulp van het privé-IP-adres van de virtuele machine. Zie de artikelen over Service-eindpunt en VNet-firewallregelsvoor meer informatie.

• Beperk op de Azure-VM het bereik van de uitgaande verbinding met behulp van netwerkbeveiligingsgroepen (NSG's) en servicetags als volgt:

  • Geef een NSG-regel op om verkeer toe te staan voor servicetag = SQL. WestUs: alleen verbinding met Azure Database for MariaDB in VS - west toestaan
  • Geef een NSG-regel (met een hogere prioriteit) op om verkeer voor servicetag = SQL te weigeren- verbindingen met MariaDB-database in alle regio's weigeren
    
    

Aan het einde van deze installatie kan de Azure-VM alleen verbinding maken met Azure Database for MariaDB in de regio VS - west. De connectiviteit is echter niet beperkt tot één Azure Database for MariaDB. De VIRTUELE machine kan nog steeds verbinding maken met azure Database for MariaDB in de regio VS - west, inclusief de databases die geen deel uitmaken van het abonnement. Hoewel we het bereik van gegevensexfiltratie in het bovenstaande scenario hebben verkleind tot een specifieke regio, hebben we deze helemaal niet geëlimineerd.

Met Private Link kunt u nu netwerktoegangsbeheer instellen, zoals NSG's om de toegang tot het privé-eindpunt te beperken. Afzonderlijke Azure PaaS-resources worden vervolgens toegewezen aan specifieke privé-eindpunten. Een kwaadwillende insider heeft alleen toegang tot de toegewezen PaaS-resource (bijvoorbeeld een Azure Database for MariaDB) en geen andere resource.

On-premises connectiviteit via privé-peering

Wanneer u vanaf on-premises machines verbinding maakt met het openbare eindpunt, moet uw IP-adres worden toegevoegd aan de firewall op IP-niveau met behulp van een firewallregel op serverniveau. Hoewel dit model goed werkt voor het toestaan van toegang tot afzonderlijke computers voor ontwikkel- of testwerkbelastingen, is het moeilijk te beheren in een productieomgeving.

Met Private Link kunt u cross-premises toegang tot het privé-eindpunt inschakelen met behulp van Express Route (ER), privépeering of VPN-tunnel. Ze kunnen vervolgens alle toegang via een openbaar eindpunt uitschakelen en niet de firewall op basis van IP gebruiken.

Notitie

In sommige gevallen bevinden de Azure Database for MariaDB en het VNet-subnet zich in verschillende abonnementen. In deze gevallen moet u de volgende configuraties controleren:

• Zorg ervoor dat voor beide abonnementen de Microsoft.DBforMariaDB-resourceprovider is geregistreerd. Raadpleeg resource-manager-registratie voor meer informatie

Private Link configureren voor Azure Database for MariaDB

Proces maken

Privé-eindpunten zijn vereist om Private Link in te schakelen. U kunt dit doen met behulp van de volgende instructiegidsen.

• Azure-portal
• CLI

Goedkeuringsproces

Zodra de netwerkbeheerder het privé-eindpunt (PE) heeft gemaakt, kan de beheerder het privé-eindpunt beheren Verbinding maken ion (PEC) naar Azure Database for MariaDB. Deze scheiding van taken tussen de netwerkbeheerder en de DBA is handig voor het beheer van de Azure Database for MariaDB-connectiviteit.

• Navigeer naar de Azure Database for MariaDB-serverresource in Azure Portal.
  • Selecteer de privé-eindpuntverbindingen in het linkerdeelvenster
  • Toont een lijst met alle privé-eindpunten Verbinding maken ionen (PEC's)
  • Bijbehorend privé-eindpunt (PE) gemaakt

• Selecteer een individuele PEC uit de lijst door deze te kiezen.

• De MariaDB-serverbeheerder kan ervoor kiezen om een PEC goed te keuren of af te wijzen en eventueel een korte tekstreactie toe te voegen.

• Na goedkeuring of afwijzing geeft de lijst de juiste status weer, samen met de antwoordtekst

Gebruiksvoorbeelden van Private Link voor Azure Database for MariaDB

Clients kunnen verbinding maken met het privé-eindpunt vanuit hetzelfde VNet, gekoppeld VNet in dezelfde regio of tussen regio's, of via een VNet-naar-VNet-verbinding tussen regio's. Daarnaast kunnen clients via on-premises verbinding maken met behulp van ExpressRoute, privé peering of VPN-tunneling. Hieronder ziet u een vereenvoudigd diagram waarin de algemene gebruikscases worden weergegeven.

Verbinding maken vanaf een Azure VM in een Peered Virtual Network (VNet)

Configureer VNet-peering om connectiviteit met Azure Database for MariaDB tot stand te brengen vanaf een Azure-VM in een gekoppeld VNet.

Verbinding maken vanaf een Azure VM in VNet-naar-VNet-omgeving

Configureer een VPN-gatewayverbinding tussen VNets om verbinding te maken met een Azure Database for MariaDB vanaf een Azure-VM in een andere regio of een ander abonnement.

Verbinding maken vanuit een on-premises omgeving via VPN

Als u verbinding wilt maken vanuit een on-premises omgeving met De Azure Database for MariaDB, kiest en implementeert u een van de volgende opties:

• Punt-naar-site-verbinding
• Site-naar-site-VPN-verbinding
• ExpressRoute-circuit

Private Link in combinatie met firewallregels

De volgende situaties en resultaten zijn mogelijk wanneer u Private Link gebruikt in combinatie met firewallregels:

• Als u geen firewallregels configureert, heeft het verkeer standaard geen toegang tot De Azure Database for MariaDB.

• Als u openbaar verkeer of een service-eindpunt configureert en u privé-eindpunten maakt, worden verschillende typen binnenkomend verkeer geautoriseerd door het bijbehorende type firewallregel.

• Als u geen openbaar verkeer of service-eindpunt configureert en u privé-eindpunten maakt, is De Azure Database for MariaDB alleen toegankelijk via de privé-eindpunten. Als u geen openbaar verkeer of een service-eindpunt configureert, hebben alle goedgekeurde privé-eindpunten geen toegang tot Azure Database for MariaDB nadat alle goedgekeurde privé-eindpunten zijn geweigerd of verwijderd.

Openbare toegang weigeren voor Azure Database for MariaDB

Als u volledig wilt vertrouwen op privé-eindpunten voor toegang tot hun Azure Database for MariaDB, kunt u het instellen van alle openbare eindpunten (firewallregels en VNet-service-eindpunten) uitschakelen door de configuratie openbare netwerktoegang weigeren in te stellen op de databaseserver.

Wanneer deze instelling is ingesteld op JA, zijn alleen verbindingen via privé-eindpunten toegestaan voor uw Azure Database for MariaDB. Wanneer deze instelling is ingesteld op NEE, kunnen clients verbinding maken met uw Azure Database for MariaDB op basis van uw firewall- of VNet-service-eindpuntinstellingen. Bovendien kunnen klanten, zodra de waarde van de toegang tot het particuliere netwerk is ingesteld, bestaande firewallregels en VNet-service-eindpuntregels niet toevoegen en/of bijwerken.

Notitie

Deze functie is beschikbaar in alle Azure-regio's waar Azure Database for PostgreSQL - Enkele server de prijscategorieën Algemeen gebruik en Geoptimaliseerd voor geheugen ondersteunt.

Deze instelling heeft geen invloed op de SSL- en TLS-configuraties voor uw Azure Database for MariaDB.

Als u wilt weten hoe u openbare netwerktoegang weigeren instelt voor uw Azure Database for MariaDB vanuit de Azure-portal, raadpleegt u Openbare netwerktoegang weigeren configureren.

Volgende stappen

Zie de volgende artikelen voor meer informatie over azure Database for MariaDB-beveiligingsfuncties:

• Zie Firewall-ondersteuning voor het configureren van een firewall voor Azure Database for MariaDB.

• Zie Toegang configureren vanuit virtuele netwerken voor meer informatie over het configureren van een service-eindpunt voor een virtueel netwerk voor uw Azure Database for MariaDB.

• Zie Azure Database for MariaDB-Verbinding maken iviteitsarchitectuur voor een overzicht van azure Database for MariaDB-connectiviteit