Particuliere netwerktoegang met behulp van virtueel netwerkintegratie voor Azure Database for MySQL - Flexibele server

VAN TOEPASSING OP: Azure Database for MySQL - Flexibele server

In dit artikel wordt de optie voor privéconnectiviteit voor Azure Database for MySQL Flexible Server beschreven. U leert gedetailleerde informatie over de concepten van virtuele netwerken voor Azure Database for MySQL Flexible Server om een server veilig te maken in Azure.

Privétoegang (integratie van virtueel netwerk)

Azure Virtual Network) is de fundamentele bouwsteen voor uw privénetwerk in Azure. Integratie van virtuele netwerken met Azure Database for MySQL Flexible Server biedt de voordelen van netwerkbeveiliging en isolatie van Azure.

Dankzij de integratie van een virtueel netwerk voor een exemplaar van Azure Database for MySQL Flexible Server kunt u de toegang tot de server vergrendelen tot alleen uw virtuele netwerkinfrastructuur. Uw virtuele netwerk kan al uw toepassings- en databasebronnen in één virtueel netwerk bevatten of zich uitstrekken over verschillende virtuele netwerken in dezelfde regio of een andere regio. Naadloze connectiviteit tussen verschillende virtuele netwerken kan tot stand worden gebracht door peering, die gebruikmaakt van de lage latentie van Microsoft, een privé-backbone-infrastructuur met hoge bandbreedte. De virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden.

Azure Database for MySQL Flexible Server biedt ondersteuning voor clientconnectiviteit vanuit:

• Virtuele netwerken binnen dezelfde Azure-regio (lokaal gekoppelde virtuele netwerken)
• Virtuele netwerken in Azure-regio's (wereldwijde gekoppelde virtuele netwerken)

Met subnetten kunt u het virtuele netwerk segmenteren in een of meer subnetten en een deel van de adresruimte van het virtuele netwerk toewijzen waaraan u vervolgens Azure-resources kunt implementeren. Voor Azure Database for MySQL Flexible Server is een gedelegeerd subnet vereist. Een gedelegeerd subnet is een expliciete id die door een subnet alleen Azure Database for MySQL Flexible Server-exemplaren kan hosten. Door het subnet te delegeren, krijgt de service directe machtigingen om servicespecifieke resources te maken voor het naadloos beheren van uw exemplaar van Azure Database for MySQL Flexible Server.

Notitie

Het kleinste CIDR-bereik dat u kunt opgeven voor het subnet voor het hosten van Azure Database for MySQL Flexible Server is /29, dat acht IP-adressen biedt. Het eerste en laatste adres in een netwerk of subnet kunnen echter niet worden toegewezen aan een afzonderlijke host. Azure reserveert vijf IP-adressen voor intern gebruik door Azure-netwerken, inclusief de twee IP-adressen die niet aan een host kunnen worden toegewezen. Dit laat drie beschikbare IP-adressen voor een /29 CIDR-bereik over. Voor Azure Database for MySQL Flexibele server is het vereist om één IP-adres per knooppunt toe te wijzen vanuit het gedelegeerde subnet wanneer privétoegang is ingeschakeld. Servers met hoge beschikbaarheid vereisen twee IP-adressen en een niet-HA-server vereist één IP-adres. Het wordt aanbevolen om ten minste twee IP-adressen per Azure Database for MySQL Flexible Server-exemplaar te reserveren, omdat opties voor hoge beschikbaarheid later kunnen worden ingeschakeld. Azure Database for MySQL Flexible Server kan worden geïntegreerd met Azure Privé-DNS-zones om een betrouwbare, beveiligde DNS-service te bieden voor het beheren en omzetten van domeinnamen in een virtueel netwerk zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen. Een privé-DNS-zone kan worden gekoppeld aan een of meer virtuele netwerken door virtuele netwerkkoppelingen te maken

In het bovenstaande diagram,

1. Azure Databases for MySQL Flexible Server-exemplaren worden geïnjecteerd in een gedelegeerd subnet - 10.0.1.0/24 van VNet-1 van het virtuele netwerk.
2. Toepassingen die zijn geïmplementeerd op verschillende subnetten binnen hetzelfde virtuele netwerk, hebben rechtstreeks toegang tot de exemplaren van Azure Database for MySQL Flexible Server.
3. Toepassingen die zijn geïmplementeerd op een ander virtueel netwerk , hebben geen directe toegang tot Azure Database for MySQL Flexible Server-exemplaren . Voordat ze toegang hebben tot een exemplaar, moet u peering van een virtueel NETWERK in een privé-DNS-zone uitvoeren.

Concepten van virtuele netwerken

Hier volgen enkele concepten waarmee u vertrouwd moet zijn bij het gebruik van virtuele netwerken met Azure Database for MySQL Flexible Server-exemplaren.

• Virtueel netwerk -

  Een virtueel Azure-netwerk bevat een privé-IP-adresruimte die is geconfigureerd voor uw gebruik. Ga naar het overzicht van Azure Virtual Network voor meer informatie over virtuele Netwerken van Azure.

  Uw virtuele netwerk moet zich in dezelfde Azure-regio bevinden als uw Azure Database for MySQL Flexible Server-exemplaar.

• Gedelegeerd subnet -

  Een virtueel netwerk bevat subnetten (subnetten). Met subnetten kunt u uw virtuele netwerk segmenteren in kleinere adresruimten. Azure-resources worden geïmplementeerd in specifieke subnetten binnen een virtueel netwerk.

  Uw Azure Database for MySQL Flexible Server-exemplaar moet zich in een subnet bevinden dat alleen is gedelegeerd voor gebruik van Azure Database for MySQL Flexible Server. Deze delegatie betekent dat alleen Exemplaren van Azure Database for MySQL Flexible Server dat subnet kunnen gebruiken. Er kunnen zich geen andere Azure-resourcetypen in het gedelegeerde subnet bevinden. U delegeert een subnet door de overdrachteigenschap ervan toe te wijzen als Microsoft.DBforMySQL/flexibleServers.

• Netwerkbeveiligingsgroepen (NSG's)

  Met beveiligingsregels in netwerkbeveiligingsgroepen kunt u filteren op het type netwerkverkeer dat van en naar subnetten van virtuele netwerken en netwerkinterfaces kan stromen. Bekijk het overzicht van de netwerkbeveiligingsgroep voor meer informatie.

• Privé-DNS zone-integratie

  Met azure-privé-DNS-zoneintegratie kunt u de privé-DNS omzetten binnen het huidige virtuele netwerk of een virtueel netwerk in de regio waaraan de privé-DNS-zone is gekoppeld.

• Peering op virtueel netwerk

  Met peering van een virtueel netwerk kunt u naadloos twee of meer virtuele netwerken in Azure verbinden. De gekoppelde virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden. Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken maakt gebruik van de Microsoft-backbone-infrastructuur. Het verkeer tussen de clienttoepassing en het Azure Database for MySQL Flexible Server-exemplaar in gekoppelde virtuele netwerken wordt alleen gerouteerd via het privénetwerk van Microsoft en wordt geïsoleerd naar dat netwerk.

Privé-DNS zone gebruiken

• Als u Azure Portal of de Azure CLI gebruikt om Azure Database for MySQL Flexible Server-exemplaren te maken met een virtueel netwerk, wordt een nieuwe privé-DNS-zone die eindigt mysql.database.azure.com automatisch per server in uw abonnement ingesteld met behulp van de opgegeven servernaam. Als u uw eigen privé-DNS-zone wilt instellen met het exemplaar van Azure Database for MySQL Flexible Server, raadpleegt u de privé-DNS-overzichtsdocumentatie .

• Als u Azure API, een Azure Resource Manager-sjabloon (ARM-sjabloon) of Terraform gebruikt, maakt u privé-DNS-zones die eindigen op mysql.database.azure.com en gebruikt u deze tijdens het configureren van Azure Database for MySQL Flexible Server-exemplaren met privétoegang. Zie het overzicht van de privé-DNS-zone voor meer informatie.

  Belangrijk

  Privé-DNS zonenamen moeten eindigen met mysql.database.azure.com. Als u verbinding maakt met een exemplaar van Azure Database for MySQL Flexible Server met SSL en u een optie gebruikt om volledige verificatie (sslmode=VERIFY_IDENTITY) uit te voeren met de onderwerpnaam van het certificaat, gebruikt <u servernaam.mysql.database.azure.com> in uw verbindingsreeks.

Meer informatie over het maken van een Azure Database for MySQL Flexible Server-exemplaar met privétoegang (integratie van virtueel netwerk) in Azure Portal of de Azure CLI.

Integratie met een aangepaste DNS-server

Als u de aangepaste DNS-server gebruikt, moet u een DNS-doorstuurserver gebruiken om de FQDN van het azure Database for MySQL Flexible Server-exemplaar om te zetten. Het IP-adres van de doorstuurserver moet 168.63.129.16 zijn. De aangepaste DNS-server moet zich in het virtuele netwerk bevinden of bereikbaar zijn via de DNS-serverinstelling van het virtuele netwerk. Raadpleeg de naamomzetting die gebruikmaakt van uw DNS-server voor meer informatie.

Belangrijk

Voor een geslaagde inrichting van het exemplaar van Azure Database for MySQL Flexible Server, zelfs als u een aangepaste DNS-server gebruikt, moet u DNS-verkeer naar AzurePlatformDNS niet blokkeren met behulp van NSG.

Privé-DNS zone en peering van virtuele netwerken

Privé-DNS zone-instellingen en peering van virtuele netwerken zijn onafhankelijk van elkaar. Zie de sectie Privé-DNS Zone gebruiken voor meer informatie over het maken en gebruiken van Privé-DNS zones.

Als u verbinding wilt maken met het Azure Database for MySQL Flexible Server-exemplaar vanaf een client die is ingericht in een ander virtueel netwerk vanuit dezelfde regio of een andere regio, moet u de privé-DNS-zone koppelen aan het virtuele netwerk. Zie hoe u de documentatie voor het virtuele netwerk koppelt.

Notitie

Alleen privé-DNS-zonenamen die eindigen mysql.database.azure.com , kunnen worden gekoppeld.

Verbinding maken vanaf een on-premises server met een exemplaar van Azure Database for MySQL Flexible Server in een virtueel netwerk met behulp van ExpressRoute of VPN

Voor workloads die toegang nodig hebben tot een Azure Database for MySQL Flexible Server-exemplaar in een virtueel netwerk vanuit een on-premises netwerk, hebt u een ExpressRoute- of VPN- en virtueel netwerk nodig dat is verbonden met on-premises. Met deze installatie hebt u een DNS-doorstuurserver nodig om de servernaam van Azure Database for MySQL Flexible Server om te zetten als u verbinding wilt maken vanuit clienttoepassingen (zoals MySQL Workbench) die wordt uitgevoerd op on-premises virtuele netwerken. Deze DNS-doorstuurfunctie is verantwoordelijk voor het omzetten van alle DNS-query's, via een doorstuurfunctie op serverniveau, naar de met Azure geleverde DNS-service 168.63.129.16.

U hebt de volgende resources nodig om correct te configureren:

• Een on-premises netwerk.
• Een Azure Database for MySQL Flexible Server-exemplaar dat is ingericht met privétoegang (integratie van virtueel netwerk).
• Een virtueel netwerk dat is verbonden met on-premises.
• Een DNS-doorstuurserver 168.63.129.16 geïmplementeerd in Azure.

Vervolgens kunt u de Servernaam (FQDN) van Azure Database for MySQL Flexible Server gebruiken om verbinding te maken vanuit de clienttoepassing in het gekoppelde virtuele netwerk of on-premises netwerk met het exemplaar van Azure Database for MySQL Flexible Server.

Notitie

U wordt aangeraden de FQDN (Fully Qualified Domain Name) <servername>.mysql.database.azure.com te gebruiken in verbindingsreeks s wanneer u verbinding maakt met uw Azure Database for MySQL Flexible Server-exemplaar. Het IP-adres van de server blijft niet gegarandeerd statisch. Als u de FQDN gebruikt, kunt u voorkomen dat u wijzigingen aanbrengt in uw verbindingsreeks.

Scenario's voor niet-ondersteunde virtuele netwerken

• Openbaar eindpunt (of openbaar IP of DNS): een Azure Database for MySQL Flexible Server-exemplaar dat is geïmplementeerd in een virtueel netwerk, kan geen openbaar eindpunt hebben.
• Nadat het Azure Database for MySQL Flexible Server-exemplaar is geïmplementeerd in een virtueel netwerk en subnet, kunt u het niet verplaatsen naar een ander virtueel netwerk of subnet. U kunt het virtuele netwerk niet verplaatsen naar een andere resourcegroep of een ander abonnement.
• Privé-DNS integratieconfiguratie kan niet worden gewijzigd na de implementatie.
• U kunt de subnetgrootte (adresruimten) niet vergroten als er resources in het subnet aanwezig zijn.

Overstappen van privétoegangsnetwerk (geïntegreerd virtueel netwerk) naar openbare toegang of privékoppeling

Azure Database for MySQL Flexible Server kan worden overgezet van privétoegang (geïntegreerd virtueel netwerk) tot openbare toegang, met de optie voor het gebruik van Private Link. Met deze functionaliteit kunnen servers naadloos overschakelen van een virtueel netwerk dat is geïntegreerd met private link/openbare infrastructuur, zonder dat de servernaam of gegevens hoeven te worden gewijzigd, waardoor het proces voor klanten eenvoudiger wordt.

Notitie

Dat zodra de overgang is gemaakt, deze niet kan worden omgekeerd. De overgang omvat een downtime van ongeveer 5-10 minuten voor servers zonder hoge beschikbaarheid en ongeveer 20 minuten voor servers met hoge beschikbaarheid.

Het proces wordt uitgevoerd in de offlinemodus en bestaat uit twee stappen:

1. De server loskoppelen van de infrastructuur van het virtuele netwerk.
2. Een Private Link tot stand brengen of openbare toegang inschakelen.

• Ga naar Move from private access (geïntegreerd virtueel netwerk) naar openbare toegang of Private Link verplaatsen naar openbare toegang (geïntegreerd virtueel netwerk) of Private Link met de Azure-portal voor hulp bij de overgang van het privétoegangsnetwerk naar Openbare toegang of Private Link. Deze resource biedt stapsgewijze instructies om het proces te vergemakkelijken.

Gerelateerde inhoud

• Azure-portal
• Azure-CLI
• TLS gebruiken