Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden de concepten geïntroduceerd voor het beheren van de connectiviteit met uw Azure Database for MySQL Flexible Server-exemplaar. U leert gedetailleerde informatie over de netwerkconcepten voor Azure Database for MySQL Flexible Server om veilig een server in Azure te maken en te openen.
Azure Database for MySQL Flexible Server ondersteunt drie manieren om connectiviteit met uw servers te configureren:
Openbare netwerktoegang voor Azure Database for MySQL - Flexibele server Uw flexibele server wordt geopend via een openbaar eindpunt. Het openbare eindpunt is een openbaar omzetbaar DNS-adres. De zin 'toegestane IP-adressen' verwijst naar een reeks IP's die u toestemming geeft om toegang te hebben tot uw server. Deze machtigingen worden firewallregels genoemd.
Privé-eindpunt U kunt privé-eindpunten gebruiken om hosts in een VNet van een virtueel netwerk veilig toegang te geven tot gegevens via een Private Link.
Privénetwerktoegang met behulp van integratie van virtuele netwerken voor Azure Database for MySQL - Flexible Server U kunt uw flexibele server implementeren in uw virtuele Azure-netwerk. Virtuele Azure-netwerken bieden privé- en beveiligde netwerkcommunicatie. Resources in een virtueel netwerk kunnen communiceren via privé-IP-adressen.
Note
Nadat u een server met openbare of persoonlijke toegang (via VNet-integratie) hebt geïmplementeerd, kunt u de connectiviteitsmodus niet wijzigen. Maar in de modus voor openbare toegang kunt u privé-eindpunten indien nodig in- of uitschakelen en zo nodig ook openbare toegang uitschakelen.
Een netwerkoptie kiezen
Kies openbare toegang (toegestane IP-adressen) en de methode Privé-eindpunt als u de volgende mogelijkheden wilt:
- Verbinding maken vanuit Azure-resources zonder ondersteuning voor virtueel netwerk
- Verbinding maken vanuit resources buiten Azure die niet zijn verbonden met VPN of ExpressRoute
- De flexibele server is toegankelijk via een openbaar eindpunt en kan worden geopend via geautoriseerde internetbronnen. Openbare toegang kan indien nodig worden uitgeschakeld.
- Mogelijkheid om privé-eindpunten te configureren voor toegang tot de server vanaf hosts in een virtueel netwerk (VNet)
Kies Privétoegang (VNet-integratie) als u de volgende mogelijkheden wilt:
- Verbinding maken met uw flexibele server vanuit Azure-resources binnen hetzelfde virtuele netwerk of een gekoppeld virtueel netwerk zonder dat u een privé-eindpunt hoeft te configureren
- VPN of ExpressRoute gebruiken om vanuit niet-Azure-resources verbinding te maken met uw flexibele server
- Geen openbaar eindpunt
De volgende kenmerken zijn van toepassing of u ervoor kiest om de persoonlijke toegang of de optie voor openbare toegang te gebruiken:
- Verbindingen van toegestane IP-adressen moeten worden geverifieerd bij het Exemplaar van Azure Database for MySQL Flexible Server met geldige referenties
- Verbindingsversleuteling is beschikbaar voor uw netwerkverkeer
- De server heeft een volledig gekwalificeerde domeinnaam (fqdn). U wordt aangeraden de fqdn te gebruiken in plaats van een IP-adres voor de eigenschap hostnaam in verbindingsreeks s.
- Beide opties beheren de toegang op serverniveau, niet op database- of tabelniveau. U gebruikt de roleigenschappen van MySQL om de toegang tot databases, tabellen en andere objecten te beheren.
Ondersteuning voor aangepaste poorten
Azure MySQL ondersteunt nu de mogelijkheid om een aangepaste poort op te geven tussen 250001 en 26000 tijdens het maken van de server om verbinding te maken met de server. De standaardpoort voor verbinding is 3306.
- Er wordt slechts één aangepaste poort per server ondersteund.
- Ondersteunde scenario's voor aangepaste poort: server maken, herstellen (ondersteund herstel op meerdere poorten), het maken van replica's lezen, hoge beschikbaarheid inschakelen.
- Huidige beperkingen:
- Aangepaste poort kan niet worden bijgewerkt na het maken van de server.
- Geo-herstel en het maken van geo-replica's met aangepaste poort worden niet ondersteund.
Scenario's voor niet-ondersteunde virtuele netwerken
- Openbaar eindpunt (of openbaar IP of DNS): een flexibele server die is geïmplementeerd in een virtueel netwerk, kan geen openbaar eindpunt hebben.
- Nadat de flexibele server is geïmplementeerd in een virtueel netwerk en subnet, kunt u deze niet verplaatsen naar een ander virtueel netwerk of subnet.
- Nadat de flexibele server is geïmplementeerd, kunt u het virtuele netwerk dat de flexibele server gebruikt, niet verplaatsen naar een andere resourcegroep of een ander abonnement.
- U kunt de subnetgrootte (adresruimten) niet vergroten als er resources in het subnet aanwezig zijn.
- Wijzigen van openbaar naar privétoegang is niet toegestaan nadat de server is gemaakt. De aanbevolen manier is om herstel naar een bepaald tijdstip te gebruiken.
Note
Als u de aangepaste DNS-server gebruikt, moet u een DNS-doorstuurserver gebruiken om de FQDN van het Azure Database for MySQL Flexible Server-exemplaar om te zetten. Raadpleeg de naamomzetting die gebruikmaakt van uw DNS-server voor meer informatie.
Hostname
Ongeacht uw netwerkoptie raden we u aan om de FQDN (Fully Qualified Domain Name) <servername>.mysql.database.azure.com te gebruiken in verbindingsreeks s wanneer u verbinding maakt met uw exemplaar van Azure Database for MySQL Flexible Server. Het IP-adres van de server blijft niet gegarandeerd statisch. Als u de FQDN gebruikt, kunt u voorkomen dat u wijzigingen aanbrengt in uw verbindingsreeks.
Een voorbeeld dat een FQDN als hostnaam gebruikt, is hostnaam = servername.mysql.database.azure.com. Vermijd waar mogelijk het gebruik van hostnaam = 10.0.0.4 (een privéadres) of hostnaam = 40.2.45.67 (een openbaar adres).
Note
Als uw Azure Database for MySQL Flexibele server zowel openbare toegang als Private Link heeft ingeschakeld, worden openbare IP-adressen voor uw exemplaar bijgewerkt als onderdeel van de architectuurwijziging om de netwerkervaring beter te maken. Als u dergelijke openbare IP-adressen in uw verbindingsreeks hebt gebruikt, moet u vóór 9 september 2025 vervangen door FQDN om onderbrekingen in de serververbinding te voorkomen. (Opmerking: Private Link IP of VNet-integratie-IP is niet van invloed). Vereiste actie: voer NSLookup uit vanuit uw openbare netwerk om het openbare IP-adres op te halen dat wordt gewijzigd en u moet de verwijzing in de verbindingsreeks bijwerken om in plaats daarvan FQDN te gebruiken.
TLS en SSL
Azure Database for MySQL Flexible Server biedt ondersteuning voor het verbinden van uw clienttoepassingen met het Azure Database for MySQL Flexible Server-exemplaar met SSL -versleuteling (Secure Sockets Layer) met TLS-versleuteling (Transport Layer Security). TLS is een standaardprotocol dat versleutelde netwerkverbindingen tussen uw databaseserver en clienttoepassingen mogelijk maakt zodat u kunt voldoen aan de nalevingsvereisten.
Azure Database for MySQL Flexible Server ondersteunt standaard versleutelde verbindingen met TLS 1.2 (Transport Layer Security) en alle binnenkomende verbindingen met TLS 1.0 en TLS 1.1 worden standaard geweigerd. De configuratie van de versleutelde verbinding afdwingen of TLS-versie op uw flexibele server kan worden geconfigureerd en gewijzigd.
Hieronder vindt u de verschillende configuraties van SSL- en TLS-instellingen die u voor uw flexibele server kunt hebben:
Important
Volgens de afschaffing van ondersteuning voor de TLS 1.0 en TLS 1.1 protocollen waren we eerder van plan TLS 1.0 en 1.1 in september 2024 volledig af te schaffen. Vanwege afhankelijkheden die door sommige klanten zijn geïdentificeerd, hebben we echter besloten de tijdlijn uit te breiden.
- Vanaf 31 augustus 2025 beginnen we met de geforceerde upgrade voor alle servers die nog steeds TLS 1.0 of 1.1 gebruiken. Na deze datum werken alle verbindingen die afhankelijk zijn van TLS 1.0 of 1.1 mogelijk op elk gewenst moment niet meer. Om potentiële serviceonderbrekingen te voorkomen, raden we klanten ten zeerste aan om hun migratie naar TLS 1.2 vóór 31 augustus 2025 te voltooien.
- Vanaf september 2024 mogen nieuwe servers tls 1.0 of 1.1 niet meer gebruiken en kunnen bestaande servers niet downgraden naar deze versies.
We raden klanten ten zeerste aan hun toepassingen bij te werken om TLS 1.2 zo snel mogelijk te ondersteunen om serviceonderbrekingen te voorkomen.
| Scenario | Serverparameterinstellingen | Description |
|---|---|---|
| SSL uitschakelen (versleutelde verbindingen) | require_secure_transport = UIT | Als uw verouderde toepassing geen ondersteuning biedt voor versleutelde verbindingen met het exemplaar van Azure Database for MySQL Flexible Server, kunt u afdwingen van versleutelde verbindingen met uw flexibele server uitschakelen door require_secure_transport=UIT te stellen. |
| SSL afdwingen met TLS-versie < 1.2 (verouderd in september 2024) | require_secure_transport = AAN en tls_version = TLS 1.0 of TLS 1.1 | Als uw verouderde toepassing versleutelde verbindingen ondersteunt, maar TLS-versie < 1.2 vereist, kunt u versleutelde verbindingen inschakelen, maar uw flexibele server zo configureren dat verbindingen met de TLS-versie (v1.0 of v1.1) die door uw toepassing worden ondersteund |
| SSL afdwingen met TLS-versie = 1.2(standaardconfiguratie) | require_secure_transport = AAN en tls_version = TLS 1.2 | Dit is de aanbevolen en standaardconfiguratie voor een flexibele server. |
| SSL afdwingen met TLS-versie = 1.3(Ondersteund met MySQL v8.0 en hoger) | require_secure_transport = AAN en tls_version = TLS 1.3 | Dit is handig en wordt aanbevolen voor het ontwikkelen van nieuwe toepassingen |
Note
Wijzigingen in SSL-codering op de flexibele server worden niet ondersteund. FIPS-coderingssuite wordt standaard afgedwongen wanneer tls_version is ingesteld op TLS-versie 1.2. Voor andere TLS-versies dan versie 1.2 is SSL-codering ingesteld op standaardinstellingen die worden geleverd bij de installatie van de MySQL-community.
Controleer de verbinding met SSL/TLS voor meer informatie over het identificeren van de TLS-versie die u gebruikt.
Verwante inhoud
- Virtuele netwerken maken en beheren voor Azure Database for MySQL - Flexible Server met behulp van Azure Portal
- Virtuele netwerken maken en beheren voor Azure Database for MySQL - Flexible Server met behulp van de Azure CLI
- Firewallregels beheren voor Azure Database for MySQL - Flexible Server met behulp van Azure Portal
- Firewallregels beheren voor Azure Database for MySQL - Flexible Server met behulp van Azure CLI
- Private Link configureren voor Azure Database for MySQL Flexible Server vanuit De Azure-portal