Delen via


Concepten voor connectiviteit en netwerken voor Azure Database for MySQL - Flexibele server

VAN TOEPASSING OP: Azure Database for MySQL - Flexibele server

In dit artikel worden de concepten geïntroduceerd voor het beheren van de connectiviteit met uw Azure Database for MySQL Flexible Server-exemplaar. U leert gedetailleerde informatie over de netwerkconcepten voor Azure Database for MySQL Flexible Server om veilig een server in Azure te maken en te openen.

Azure Database for MySQL Flexible Server ondersteunt drie manieren om connectiviteit met uw servers te configureren:

  • Openbare toegang Uw flexibele server wordt geopend via een openbaar eindpunt. Het openbare eindpunt is een openbaar omzetbaar DNS-adres. De zin 'toegestane IP-adressen' verwijst naar een reeks IP's die u toestemming geeft om toegang te hebben tot uw server. Deze machtigingen worden firewallregels genoemd.

  • Privé-eindpunt U kunt privé-eindpunten gebruiken om hosts in een VNet van een virtueel netwerk veilig toegang te geven tot gegevens via een Private Link.

  • Persoonlijke toegang (VNet-integratie) U kunt uw flexibele server implementeren in uw virtuele Azure-netwerk. Virtuele Azure-netwerken bieden privé- en beveiligde netwerkcommunicatie. Resources in een virtueel netwerk kunnen communiceren via privé-IP-adressen.

Notitie

Nadat u een server met openbare of persoonlijke toegang (via VNet-integratie) hebt geïmplementeerd, kunt u de connectiviteitsmodus niet wijzigen. Maar in de modus voor openbare toegang kunt u privé-eindpunten indien nodig in- of uitschakelen en zo nodig ook openbare toegang uitschakelen.

Een netwerkoptie kiezen

Kies openbare toegang (toegestane IP-adressen) en de methode Privé-eindpunt als u de volgende mogelijkheden wilt:

  • Verbinding maken vanuit Azure-resources zonder ondersteuning voor virtueel netwerk
  • Verbinding maken vanuit resources buiten Azure die niet zijn verbonden met VPN of ExpressRoute
  • De flexibele server is toegankelijk via een openbaar eindpunt en kan worden geopend via geautoriseerde internetbronnen. Openbare toegang kan indien nodig worden uitgeschakeld.
  • Mogelijkheid om privé-eindpunten te configureren voor toegang tot de server vanaf hosts in een virtueel netwerk (VNet)

Kies Privétoegang (VNet-integratie) als u de volgende mogelijkheden wilt:

  • Verbinding maken met uw flexibele server vanuit Azure-resources binnen hetzelfde virtuele netwerk of een gekoppeld virtueel netwerk zonder dat u een privé-eindpunt hoeft te configureren
  • VPN of ExpressRoute gebruiken om vanuit niet-Azure-resources verbinding te maken met uw flexibele server
  • Geen openbaar eindpunt

De volgende kenmerken zijn van toepassing of u ervoor kiest om de persoonlijke toegang of de optie voor openbare toegang te gebruiken:

  • Verbindingen van toegestane IP-adressen moeten worden geverifieerd bij het Exemplaar van Azure Database for MySQL Flexible Server met geldige referenties
  • Verbindingsversleuteling is beschikbaar voor uw netwerkverkeer
  • De server heeft een volledig gekwalificeerde domeinnaam (fqdn). U wordt aangeraden de fqdn te gebruiken in plaats van een IP-adres voor de eigenschap hostnaam in verbindingsreeks s.
  • Beide opties beheren de toegang op serverniveau, niet op database- of tabelniveau. U gebruikt de roleigenschappen van MySQL om de toegang tot databases, tabellen en andere objecten te beheren.

Scenario's voor niet-ondersteunde virtuele netwerken

  • Openbaar eindpunt (of openbaar IP of DNS): een flexibele server die is geïmplementeerd in een virtueel netwerk, kan geen openbaar eindpunt hebben.
  • Nadat de flexibele server is geïmplementeerd in een virtueel netwerk en subnet, kunt u deze niet verplaatsen naar een ander virtueel netwerk of subnet.
  • Nadat de flexibele server is geïmplementeerd, kunt u het virtuele netwerk dat de flexibele server gebruikt, niet verplaatsen naar een andere resourcegroep of een ander abonnement.
  • U kunt de subnetgrootte (adresruimten) niet vergroten als er resources in het subnet aanwezig zijn.
  • Wijzigen van openbaar naar privétoegang is niet toegestaan nadat de server is gemaakt. De aanbevolen manier is om herstel naar een bepaald tijdstip te gebruiken.

Notitie

Als u de aangepaste DNS-server gebruikt, moet u een DNS-doorstuurserver gebruiken om de FQDN van het Azure Database for MySQL Flexible Server-exemplaar om te zetten. Raadpleeg de naamomzetting die gebruikmaakt van uw DNS-server voor meer informatie.

Hostnaam

Ongeacht uw netwerkoptie raden we u aan om de FQDN (Fully Qualified Domain Name) <servername>.mysql.database.azure.com te gebruiken in verbindingsreeks s wanneer u verbinding maakt met uw exemplaar van Azure Database for MySQL Flexible Server. Het IP-adres van de server blijft niet gegarandeerd statisch. Als u de FQDN gebruikt, kunt u voorkomen dat u wijzigingen aanbrengt in uw verbindingsreeks.

Een voorbeeld dat een FQDN als hostnaam gebruikt, is hostnaam = servername.mysql.database.azure.com. Vermijd waar mogelijk het gebruik van hostnaam = 10.0.0.4 (een privéadres) of hostnaam = 40.2.45.67 (een openbaar adres).

TLS en SSL

Azure Database for MySQL Flexible Server biedt ondersteuning voor het verbinden van uw clienttoepassingen met het Azure Database for MySQL Flexible Server-exemplaar met SSL -versleuteling (Secure Sockets Layer) met TLS-versleuteling (Transport Layer Security). TLS is een standaardprotocol dat versleutelde netwerkverbindingen tussen uw databaseserver en clienttoepassingen mogelijk maakt zodat u kunt voldoen aan de nalevingsvereisten.

Azure Database for MySQL Flexible Server ondersteunt standaard versleutelde verbindingen met TLS 1.2 (Transport Layer Security) en alle binnenkomende verbindingen met TLS 1.0 en TLS 1.1 worden standaard geweigerd. De configuratie van de versleutelde verbinding afdwingen of TLS-versie op uw flexibele server kan worden geconfigureerd en gewijzigd.

Hieronder vindt u de verschillende configuraties van SSL- en TLS-instellingen die u voor uw flexibele server kunt hebben:

Belangrijk

Volgens het verwijderen van ondersteuning voor de PROTOCOLLEN TLS 1.0 en TLS 1.1, vanaf begin september 2024, mogen nieuwe servers TLS 1.0 of 1.1 niet meer gebruiken en kunnen bestaande servers niet downgraden naar deze versies. Vanaf medio september 2024 starten we een verplichte upgrade van alle servers die momenteel GEBRUIKMAKEN van TLS 1.0 of 1.1 naar TLS 1.2. Dit upgradeproces wordt naar verwachting eind september 2024 voltooid. We raden klanten ten zeerste aan ervoor te zorgen dat hun toepassingen vóór eind september volledig compatibel zijn met TLS 1.2.

Scenario Serverparameterinstellingen Beschrijving
SSL uitschakelen (versleutelde verbindingen) require_secure_transport = UIT Als uw verouderde toepassing geen ondersteuning biedt voor versleutelde verbindingen met het exemplaar van Azure Database for MySQL Flexible Server, kunt u afdwingen van versleutelde verbindingen met uw flexibele server uitschakelen door require_secure_transport=UIT te stellen.
SSL afdwingen met TLS-versie < 1.2 (wordt afgeschaft in september 2024) require_secure_transport = AAN en tls_version = TLS 1.0 of TLS 1.1 Als uw verouderde toepassing versleutelde verbindingen ondersteunt, maar TLS-versie < 1.2 vereist, kunt u versleutelde verbindingen inschakelen, maar uw flexibele server zo configureren dat verbindingen met de TLS-versie (v1.0 of v1.1) die door uw toepassing worden ondersteund
SSL afdwingen met TLS-versie = 1.2(standaardconfiguratie) require_secure_transport = AAN en tls_version = TLS 1.2 Dit is de aanbevolen en standaardconfiguratie voor een flexibele server.
SSL afdwingen met TLS-versie = 1.3(Ondersteund met MySQL v8.0 en hoger) require_secure_transport = AAN en tls_version = TLS 1.3 Dit is handig en wordt aanbevolen voor het ontwikkelen van nieuwe toepassingen

Notitie

Wijzigingen in SSL-codering op de flexibele server worden niet ondersteund. FIPS-coderingssuites worden standaard afgedwongen wanneer tls_version is ingesteld op TLS-versie 1.2. Voor andere TLS-versies dan versie 1.2 is SSL-codering ingesteld op standaardinstellingen die worden geleverd bij de installatie van de MySQL-community.

Controleer de verbinding met SSL/TLS voor meer informatie over het identificeren van de TLS-versie die u gebruikt.

Volgende stappen