Firewallregels voor Azure Database for MariaDB-server
Belangrijk
Azure Database for MariaDB bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan om te migreren naar Azure Database for MySQL. Zie Wat gebeurt er met Azure Database for MariaDB voor meer informatie over migreren naar Azure Database for MySQL.
Firewalls verhinderen alle toegang tot uw databaseserver totdat u opgeeft welke computers gemachtigd zijn. De firewall verleent toegang tot de server op basis van het IP-adres waar de aanvraag vandaan komt.
Als u een firewall wilt configureren, maakt u firewallregels die bereiken van acceptabele IP-adressen opgeven. U kunt firewallregels maken op serverniveau.
Firewallregels: Met deze regels kunnen clients toegang krijgen tot uw volledige Azure Database for MariaDB-server, dat wil gezegd, alle databases binnen dezelfde logische server. Firewallregels op serverniveau kunnen worden geconfigureerd met behulp van Azure Portal of Azure CLI-opdrachten. Als u firewallregels op serverniveau wilt maken, moet u de eigenaar van het abonnement of een bijdrager aan het abonnement zijn.
Firewalloverzicht
Alle databasetoegang tot uw Azure Database for MariaDB-server wordt standaard geblokkeerd door de firewall. Als u de server vanaf een andere computer wilt gaan gebruiken, moet u een of meer firewallregels op serverniveau opgeven om toegang tot uw server in te schakelen. Gebruik de firewallregels om op te geven welke IP-adresbereiken van internet u wilt toestaan. Toegang tot de Website van Azure Portal zelf wordt niet beïnvloed door de firewallregels.
Verbinding maken ionpogingen vanaf internet en Azure moet eerst de firewall passeren voordat ze uw Azure Database for MariaDB-database kunnen bereiken, zoals wordt weergegeven in het volgende diagram:
Verbinding maken vanuit internet
Firewallregels op serverniveau zijn van toepassing op alle databases op de Azure Database for MariaDB-server.
Als het IP-adres van de aanvraag binnen een van de bereiken valt die zijn opgegeven in de firewallregels op serverniveau, wordt de verbinding verleend.
Als het IP-adres van de aanvraag buiten de bereiken valt die zijn opgegeven in een van de firewallregels op database- of serverniveau, mislukt de verbindingsaanvraag.
Verbinding maken vanuit Azure
Het wordt aanbevolen om het uitgaande IP-adres van elke toepassing of service te vinden en expliciet toegang te verlenen tot deze afzonderlijke IP-adressen of bereiken. U kunt bijvoorbeeld het uitgaande IP-adres van een Azure-app Service vinden of een openbaar IP-adres gebruiken dat is gekoppeld aan een virtuele machine of een andere resource (zie hieronder voor informatie over het maken van verbinding met het privé-IP-adres van een virtuele machine via service-eindpunten).
Als een vast uitgaand IP-adres niet beschikbaar is voor uw Azure-service, kunt u overwegen verbindingen in te schakelen vanaf alle IP-adressen van het Azure-datacenter. Deze instelling kan worden ingeschakeld vanuit Azure Portal door de optie Toegang tot Azure-services toestaan in te stellen op AAN vanuit het beveiligingsvenster van Verbinding maken ion en op Opslaan te drukken. Vanuit de Azure CLI is een firewallregelinstelling met het begin- en eindadres gelijk aan 0.0.0.0. Als de verbindingspoging niet is toegestaan, bereikt de aanvraag de Azure Database for MariaDB-server niet.
Belangrijk
Met de optie Toegang toestaan aan Azure-services configureert u de firewall zo dat alle verbindingen vanuit Azure zijn toegestaan, inclusief verbindingen vanuit de abonnementen van andere klanten. Wanneer u deze optie selecteert, zorgt u er dan voor dat uw aanmeldings- en gebruikersmachtigingen de toegang beperken tot alleen geautoriseerde gebruikers.
Verbinding maken van een VNet
Als u veilig verbinding wilt maken met uw Azure Database for MariaDB-server vanuit een VNet, kunt u overwegen om VNet-service-eindpunten te gebruiken.
Firewallregels programmatisch beheren
Naast Azure Portal kunnen firewallregels programmatisch worden beheerd met behulp van de Azure CLI.
Zie ook Azure Database for MariaDB-firewallregels maken en beheren met behulp van Azure CLI.
Problemen met firewall oplossen
Houd rekening met de volgende punten wanneer toegang tot de Microsoft Azure Database for MariaDB-serverservice niet werkt zoals verwacht:
Wijzigingen in de acceptatielijst zijn nog niet van kracht: het kan vijf minuten duren voordat wijzigingen in de firewallconfiguratie van Azure Database for MariaDB Server van kracht worden.
De aanmelding is niet geautoriseerd of er is een onjuist wachtwoord gebruikt: als een aanmelding geen machtigingen heeft op de Azure Database for MariaDB-server of het gebruikte wachtwoord onjuist is, wordt de verbinding met de Azure Database for MariaDB-server geweigerd. Door een firewallinstellingen te maken, krijgen clients alleen de mogelijkheid om te proberen verbinding te maken met de server. Elke client moet alsnog de benodigde beveiligingsreferenties opgeven.
Dynamisch IP-adres: als u een internetverbinding hebt met dynamische IP-adressering en u problemen ondervindt bij het passeren van de firewall, kunt u een van de volgende oplossingen proberen:
Vraag uw internetprovider om het IP-adresbereik dat is toegewezen aan uw clientcomputers die toegang hebben tot de Azure Database for MariaDB-server en voeg vervolgens het IP-adresbereik toe als firewallregel.
Vraag in plaats daarvan statische IP-adressen voor uw clientcomputers en voeg de IP-adressen als firewallregels toe.
Het IP-adres van de server lijkt openbaar te zijn: Verbinding maken ies naar de Azure Database for MariaDB-server worden gerouteerd via een openbaar toegankelijke Azure-gateway. Het daadwerkelijke IP-adres van de server wordt echter beschermd door de firewall. Raadpleeg het artikel over de connectiviteitsarchitectuur voor meer informatie.
Kan geen verbinding maken vanuit een Azure-resource met toegestaan IP-adres: controleer of het Microsoft.Sql-service-eindpunt is ingeschakeld voor het subnet waaruit u verbinding maakt. Als Microsoft.Sql is ingeschakeld, geeft dit aan dat u alleen VNet-service-eindpuntregels voor dat subnet wilt gebruiken.
U ziet bijvoorbeeld de volgende fout als u verbinding maakt vanaf een Azure-VM in een subnet waarvoor Microsoft.Sql is ingeschakeld, maar geen bijbehorende VNet-regel heeft:
FATAL: Client from Azure Virtual Networks is not allowed to access the serverFirewallregel is niet beschikbaar voor IPv6-indeling: de firewallregels moeten de IPv4-indeling hebben. Als u firewallregels opgeeft in de IPv6-indeling, ziet u een validatiefout.