Verbinding maken iviteit en netwerkconcepten voor Azure Database for MySQL - Flexibele server

VAN TOEPASSING OP: Azure Database for MySQL - Flexibele server

In dit artikel worden de concepten geïntroduceerd voor het beheren van de connectiviteit met uw flexibele Azure Database for MySQL-serverexemplaren. U leert meer informatie over de netwerkconcepten voor flexibele Azure Database for MySQL-server om veilig een server te maken en te openen in Azure.

Flexibele Azure Database for MySQL-server ondersteunt drie manieren om connectiviteit met uw servers te configureren:

  • Openbare toegang Uw flexibele server wordt geopend via een openbaar eindpunt. Het openbare eindpunt is een openbaar omzetbaar DNS-adres. De zin 'toegestane IP-adressen' verwijst naar een reeks IP's die u toestemming geeft om toegang te hebben tot uw server. Deze machtigingen worden firewallregels genoemd.

  • Privé-eindpunt U kunt privé-eindpunten gebruiken om hosts in een VNet van een virtueel netwerk veilig toegang te geven tot gegevens via een Private Link.

  • Persoonlijke toegang (VNet-integratie) U kunt uw flexibele server implementeren in uw virtuele Azure-netwerk. Virtuele Azure-netwerken bieden privé- en beveiligde netwerkcommunicatie. Resources in een virtueel netwerk kunnen communiceren via privé-IP-adressen.

Notitie

Nadat u een server met openbare of persoonlijke toegang (via VNet-integratie) hebt geïmplementeerd, kunt u de connectiviteitsmodus niet wijzigen. Maar in de modus voor openbare toegang kunt u privé-eindpunten indien nodig in- of uitschakelen en zo nodig ook openbare toegang uitschakelen.

Een netwerkoptie kiezen

Kies openbare toegang (toegestane IP-adressen) en de methode Privé-eindpunt als u de volgende mogelijkheden wilt:

  • Verbinding maken van Azure-resources zonder ondersteuning voor virtuele netwerken
  • Verbinding maken van resources buiten Azure die niet zijn verbonden met VPN of ExpressRoute
  • De flexibele server is toegankelijk via een openbaar eindpunt en kan worden geopend via geautoriseerde internetbronnen. Openbare toegang kan indien nodig worden uitgeschakeld.
  • Mogelijkheid om privé-eindpunten te configureren voor toegang tot de server vanaf hosts in een virtueel netwerk (VNet)

Kies Privétoegang (VNet-integratie) als u de volgende mogelijkheden wilt:

  • Verbinding maken naar uw flexibele server vanuit Azure-resources binnen hetzelfde virtuele netwerk of een gekoppeld virtueel netwerk zonder dat u een privé-eindpunt hoeft te configureren
  • VPN of ExpressRoute gebruiken om verbinding te maken met een flexibele server vanuit andere resources dan Azure
  • Geen openbaar eindpunt

De volgende kenmerken zijn van toepassing of u ervoor kiest om de persoonlijke toegang of de optie voor openbare toegang te gebruiken:

  • Verbinding maken van toegestane IP-adressen moeten worden geverifieerd bij het exemplaar van de flexibele Azure Database for MySQL-server met geldige referenties
  • Verbinding maken ion-versleuteling beschikbaar is voor uw netwerkverkeer
  • De server heeft een volledig gekwalificeerde domeinnaam (fqdn). U wordt aangeraden de fqdn te gebruiken in plaats van een IP-adres voor de eigenschap hostnaam in verbindingsreeks s.
  • Beide opties beheren de toegang op serverniveau, niet op database- of tabelniveau. U gebruikt de roleigenschappen van MySQL om de toegang tot databases, tabellen en andere objecten te beheren.

Scenario's voor niet-ondersteunde virtuele netwerken

  • Openbaar eindpunt (of openbaar IP-adres of DNS) - een flexibele server die is geïmplementeerd in een virtueel netwerk, kan geen openbaar eindpunt hebben.
  • Nadat de flexibele server is geïmplementeerd in een virtueel netwerk en subnet, kunt u deze niet verplaatsen naar een ander virtueel netwerk of subnet.
  • Nadat de flexibele server is geïmplementeerd, kunt u het virtuele netwerk dat door de flexibele server wordt gebruikt, niet verplaatsen naar een andere resourcegroep of een ander abonnement.
  • U kunt de subnetgrootte (adresruimten) niet vergroten als er resources in het subnet aanwezig zijn.
  • Wijzigen van openbaar naar privétoegang is niet toegestaan nadat de server is gemaakt. De aanbevolen manier is om herstel naar een bepaald tijdstip te gebruiken.

Notitie

Als u de aangepaste DNS-server gebruikt, moet u een DNS-doorstuurserver gebruiken om de FQDN van het flexibele serverexemplaren van Azure Database for MySQL om te zetten. Raadpleeg de naamomzetting die gebruikmaakt van uw DNS-server voor meer informatie.

Hostnaam

Ongeacht uw netwerkoptie raden we u aan om de FQDN (Fully Qualified Domain Name) <servername>.mysql.database.azure.com te gebruiken in verbindingsreeks s wanneer u verbinding maakt met uw flexibele Server-exemplaar van Azure Database for MySQL. Het IP-adres van de server blijft niet gegarandeerd statisch. Als u de FQDN gebruikt, kunt u voorkomen dat u wijzigingen aanbrengt in uw verbindingsreeks.

Een voorbeeld dat een FQDN als hostnaam gebruikt, is hostnaam = servername.mysql.database.azure.com. Vermijd waar mogelijk het gebruik van hostnaam = 10.0.0.4 (een privéadres) of hostnaam = 40.2.45.67 (een openbaar adres).

TLS en SSL

Flexibele Azure Database for MySQL-server biedt ondersteuning voor het verbinden van uw clienttoepassingen met het azure Database for MySQL flexibele serverexemplaren met SSL -versleuteling (Secure Sockets Layer) met TLS-versleuteling (Transport Layer Security). TLS is een standaardprotocol dat versleutelde netwerkverbindingen tussen uw databaseserver en clienttoepassingen mogelijk maakt zodat u kunt voldoen aan de nalevingsvereisten.

Flexibele Azure Database for MySQL-server ondersteunt standaard versleutelde verbindingen met TLS 1.2 (Transport Layer Security) en alle binnenkomende verbindingen met TLS 1.0 en TLS 1.1 worden standaard geweigerd. De afdwinging van versleutelde verbindingen of tls-versieconfiguratie op uw flexibele server kan worden geconfigureerd en gewijzigd.

Hieronder vindt u de verschillende configuraties van SSL- en TLS-instellingen die u voor uw flexibele server kunt hebben:

Scenario Serverparameterinstellingen Beschrijving
SSL uitschakelen (versleutelde verbindingen) require_secure_transport = UIT Als uw verouderde toepassing geen ondersteuning biedt voor versleutelde verbindingen met het exemplaar van de flexibele Azure Database for MySQL-server, kunt u afdwingen van versleutelde verbindingen met uw flexibele server uitschakelen door require_secure_transport=UIT te stellen.
SSL afdwingen met TLS-versie < 1.2 require_secure_transport = AAN en tls_version = TLS 1.0 of TLS 1.1 Als uw verouderde toepassing versleutelde verbindingen ondersteunt, maar TLS-versie < 1.2 vereist, kunt u versleutelde verbindingen inschakelen, maar uw flexibele server zo configureren dat verbindingen met de TLS-versie (v1.0 of v1.1) die door uw toepassing worden ondersteund
SSL afdwingen met TLS-versie = 1.2(standaardconfiguratie) require_secure_transport = AAN en tls_version = TLS 1.2 Dit is de aanbevolen en standaardconfiguratie voor een flexibele server.
SSL afdwingen met TLS-versie = 1.3(Ondersteund met MySQL v8.0 en hoger) require_secure_transport = AAN en tls_version = TLS 1.3 Dit is handig en wordt aanbevolen voor het ontwikkelen van nieuwe toepassingen

Notitie

Wijzigingen in SSL-codering op de flexibele server worden niet ondersteund. FIPS-coderingssuites worden standaard afgedwongen wanneer tls_version is ingesteld op TLS-versie 1.2. Voor andere TLS-versies dan versie 1.2 is SSL-codering ingesteld op standaardinstellingen die worden geleverd bij de installatie van de MySQL-community.

Lees hoe u verbinding maakt met SSL/TLS voor meer informatie.

Volgende stappen