Privénetwerktoegang met behulp van integratie van virtuele netwerken voor Azure Database for MySQL - Flexibele server

VAN TOEPASSING OP: Azure Database for MySQL - Flexibele server

In dit artikel wordt de optie voor privéconnectiviteit voor flexibele Azure Database for MySQL-server beschreven. U leert gedetailleerde informatie over de concepten van virtuele netwerken voor flexibele Azure Database for MySQL-servers om veilig een server te maken in Azure.

Privétoegang (integratie van virtueel netwerk)

Azure Virtual Network) is de fundamentele bouwsteen voor uw privénetwerk in Azure. Integratie van virtuele netwerken met Flexibele Azure Database for MySQL-server biedt de voordelen van netwerkbeveiliging en isolatie van Azure.

Dankzij de integratie van een virtueel netwerk voor een exemplaar van een flexibele Azure Database for MySQL-server kunt u de toegang tot de server vergrendelen tot alleen uw virtuele netwerkinfrastructuur. Uw virtuele netwerk kan al uw toepassings- en databasebronnen in één virtueel netwerk bevatten of zich uitstrekken over verschillende virtuele netwerken in dezelfde regio of een andere regio. Naadloze connectiviteit tussen verschillende virtuele netwerken kan tot stand worden gebracht door peering, die gebruikmaakt van de lage latentie van Microsoft, een privé-backbone-infrastructuur met hoge bandbreedte. De virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden.

Flexibele Azure Database for MySQL-server biedt ondersteuning voor clientconnectiviteit vanuit:

• Virtuele netwerken binnen dezelfde Azure-regio (lokaal gekoppelde virtuele netwerken)
• Virtuele netwerken in Azure-regio's (wereldwijde gekoppelde virtuele netwerken)

Met subnetten kunt u het virtuele netwerk segmenteren in een of meer subnetten en een deel van de adresruimte van het virtuele netwerk toewijzen waaraan u vervolgens Azure-resources kunt implementeren. Voor een flexibele Azure Database for MySQL-server is een gedelegeerd subnet vereist. Een gedelegeerd subnet is een expliciete id die door een subnet alleen azure Database for MySQL flexibele serverexemplaren kan hosten. Door het subnet te delegeren, krijgt de service directe machtigingen om servicespecifieke resources te maken om uw exemplaar van flexibele Azure Database for MySQL-servers naadloos te beheren.

Notitie

Het kleinste CIDR-bereik dat u kunt opgeven voor het subnet voor het hosten van azure Database for MySQL flexibele server is /29, dat acht IP-adressen biedt. Het eerste en laatste adres in een netwerk of subnet kunnen echter niet worden toegewezen aan een afzonderlijke host. Azure reserveert vijf IP-adressen voor intern gebruik door Azure-netwerken, inclusief de twee IP-adressen die niet aan een host kunnen worden toegewezen. Dit laat drie beschikbare IP-adressen voor een /29 CIDR-bereik over. Voor flexibele Azure Database for MySQL-server is het vereist om één IP-adres per knooppunt toe te wijzen vanuit het gedelegeerde subnet wanneer privétoegang is ingeschakeld. Servers met hoge beschikbaarheid vereisen twee IP-adressen en een niet-HA-server vereist één IP-adres. Het wordt aanbevolen om ten minste twee IP-adressen per exemplaar van Azure Database for MySQL flexibele server te reserveren, omdat opties voor hoge beschikbaarheid later kunnen worden ingeschakeld. Flexibele Azure Database for MySQL-server kan worden geïntegreerd met Azure Privé-DNS-zones om een betrouwbare, beveiligde DNS-service te bieden voor het beheren en omzetten van domeinnamen in een virtueel netwerk zonder dat u een aangepaste DNS-oplossing hoeft toe te voegen. Een privé-DNS-zone kan worden gekoppeld aan een of meer virtuele netwerken door virtuele netwerkkoppelingen te maken

In het bovenstaande diagram,

1. Azure Database for MySQL Flexibele serverexemplaren worden geïnjecteerd in een gedelegeerd subnet - 10.0.1.0/24 van VNet-1 van het virtuele netwerk.
2. Toepassingen die zijn geïmplementeerd op verschillende subnetten binnen hetzelfde virtuele netwerk, hebben rechtstreeks toegang tot de exemplaren van de flexibele Azure Database for MySQL-server.
3. Toepassingen die zijn geïmplementeerd op een ander virtueel netwerk,VNet-2 hebben geen directe toegang tot exemplaren van flexibele Azure Database for MySQL-servers. Voordat ze toegang hebben tot een exemplaar, moet u peering van een virtueel NETWERK in een privé-DNS-zone uitvoeren.

Concepten van virtuele netwerken

Hier volgen enkele concepten waarmee u vertrouwd moet zijn bij het gebruik van virtuele netwerken met azure Database for MySQL flexibele serverexemplaren.

• Virtueel netwerk -

  Een virtueel Azure-netwerk bevat een privé-IP-adresruimte die is geconfigureerd voor uw gebruik. Ga naar het overzicht van Azure Virtual Network voor meer informatie over virtuele Netwerken van Azure.

  Uw virtuele netwerk moet zich in dezelfde Azure-regio bevinden als uw exemplaar van flexibele Azure Database for MySQL-server.

• Gedelegeerd subnet -

  Een virtueel netwerk bevat subnetten (subnetten). Met subnetten kunt u uw virtuele netwerk segmenteren in kleinere adresruimten. Azure-resources worden geïmplementeerd in specifieke subnetten binnen een virtueel netwerk.

  Uw exemplaar van flexibele Azure Database for MySQL-servers moet zich in een subnet bevinden dat alleen is gedelegeerd voor flexibele Azure Database for MySQL-server. Deze delegatie betekent dat alleen exemplaren van flexibele Azure Database for MySQL-servers dat subnet kunnen gebruiken. Er kunnen zich geen andere Azure-resourcetypen in het gedelegeerde subnet bevinden. U delegeert een subnet door de overdrachteigenschap ervan toe te wijzen als Microsoft.DBforMySQL/flexibleServers.

• Netwerkbeveiligingsgroepen (NSG's)

  Met beveiligingsregels in netwerkbeveiligingsgroepen kunt u filteren op het type netwerkverkeer dat van en naar subnetten van virtuele netwerken en netwerkinterfaces kan stromen. Bekijk het overzicht van de netwerkbeveiligingsgroep voor meer informatie.

• Privé-DNS zone-integratie

  Met azure-privé-DNS-zoneintegratie kunt u de privé-DNS omzetten binnen het huidige virtuele netwerk of een virtueel netwerk in de regio waaraan de privé-DNS-zone is gekoppeld.

• Peering op virtueel netwerk

  Met peering van een virtueel netwerk kunt u naadloos twee of meer virtuele netwerken in Azure verbinden. De gekoppelde virtuele netwerken worden weergegeven als één voor connectiviteitsdoeleinden. Het verkeer tussen virtuele machines in gekoppelde virtuele netwerken maakt gebruik van de Microsoft-backbone-infrastructuur. Het verkeer tussen de clienttoepassing en het flexibele serverexemplaren van Azure Database for MySQL in gekoppelde virtuele netwerken wordt alleen gerouteerd via het privénetwerk van Microsoft en wordt geïsoleerd naar dat netwerk.

Privé-DNS zone gebruiken

• Als u Azure Portal of de Azure CLI gebruikt om exemplaren van flexibele Azure Database for MySQL-servers te maken met een virtueel netwerk, wordt een nieuwe privé-DNS-zone die eindigt mysql.database.azure.com automatisch toegewezen per server in uw abonnement met behulp van de opgegeven servernaam. Als u uw eigen privé-DNS-zone wilt instellen met het flexibele serverexemplaren van Azure Database for MySQL, raadpleegt u de privé-DNS-overzichtsdocumentatie .

• Als u Azure API, een AZURE Resource Manager-sjabloon (ARM-sjabloon) of Terraform gebruikt, maakt u privé-DNS-zones die eindigen op mysql.database.azure.com en gebruikt u deze tijdens het configureren van exemplaren van flexibele Azure Database for MySQL-servers met privétoegang. Zie het overzicht van de privé-DNS-zone voor meer informatie.

  Belangrijk

  Privé-DNS zonenamen moeten eindigen met mysql.database.azure.com. Als u verbinding maakt met een exemplaar van een flexibele Azure Database for MySQL-server met SSL en u een optie gebruikt om volledige verificatie (sslmode=VERIFY_IDENTITY) uit te voeren met de onderwerpnaam van het certificaat, gebruikt <u servernaam.mysql.database.azure.com> in uw verbindingsreeks.

Meer informatie over het maken van een exemplaar van een flexibele Azure Database for MySQL-server met privétoegang (integratie van virtueel netwerk) in Azure Portal of de Azure CLI.

Integratie met een aangepaste DNS-server

Als u de aangepaste DNS-server gebruikt, moet u een DNS-doorstuurserver gebruiken om de FQDN van het flexibele serverexemplaren van Azure Database for MySQL om te zetten. Het IP-adres van de doorstuurserver moet 168.63.129.16 zijn. De aangepaste DNS-server moet zich in het virtuele netwerk bevinden of bereikbaar zijn via de DNS-serverinstelling van het virtuele netwerk. Raadpleeg de naamomzetting die gebruikmaakt van uw DNS-server voor meer informatie.

Belangrijk

Voor een geslaagde inrichting van het flexibele azure Database for MySQL-serverexemplaren, zelfs als u een aangepaste DNS-server gebruikt, moet u DNS-verkeer naar AzurePlatformDNS niet blokkeren met behulp van NSG.

Privé-DNS zone en peering van virtuele netwerken

Privé-DNS zone-instellingen en peering van virtuele netwerken zijn onafhankelijk van elkaar. Zie de sectie Privé-DNS Zone gebruiken voor meer informatie over het maken en gebruiken van Privé-DNS zones.

Als u verbinding wilt maken met het flexibele Server-exemplaar van Azure Database for MySQL vanaf een client die is ingericht in een ander virtueel netwerk vanuit dezelfde regio of een andere regio, moet u de privé-DNS-zone koppelen aan het virtuele netwerk. Zie hoe u de documentatie voor het virtuele netwerk koppelt.

Notitie

Alleen privé-DNS-zonenamen die eindigen mysql.database.azure.com , kunnen worden gekoppeld.

Verbinding maken van een on-premises server naar een exemplaar van een flexibele Azure Database for MySQL-server in een virtueel netwerk met behulp van ExpressRoute of VPN

Voor workloads die toegang nodig hebben tot een exemplaar van een flexibele Azure Database for MySQL-server in een virtueel netwerk vanuit een on-premises netwerk, hebt u een ExpressRoute- of VPN- en virtueel netwerk nodig dat is verbonden met on-premises. Met deze installatie hebt u een DNS-doorstuurserver nodig om de servernaam van de flexibele Server van Azure Database for MySQL om te zetten als u verbinding wilt maken vanuit clienttoepassingen (zoals MySQL Workbench) die worden uitgevoerd op on-premises virtuele netwerken. Deze DNS-doorstuurfunctie is verantwoordelijk voor het omzetten van alle DNS-query's, via een doorstuurfunctie op serverniveau, naar de met Azure geleverde DNS-service 168.63.129.16.

U hebt de volgende resources nodig om correct te configureren:

• Een on-premises netwerk.
• Een exemplaar van een flexibele Azure Database for MySQL-server dat is ingericht met privétoegang (integratie van virtueel netwerk).
• Een virtueel netwerk dat is verbonden met on-premises.
• Een DNS-doorstuurserver 168.63.129.16 geïmplementeerd in Azure.

Vervolgens kunt u de servernaam (FQDN) van azure Database for MySQL flexibele server gebruiken om verbinding te maken vanuit de clienttoepassing in het gekoppelde virtuele netwerk of on-premises netwerk met het exemplaar van de flexibele Azure Database for MySQL-server.

Notitie

U wordt aangeraden de FQDN (Fully Qualified Domain Name) <servername>.mysql.database.azure.com te gebruiken in verbindingsreeks s wanneer u verbinding maakt met uw flexibele Azure Database for MySQL-serverexemplaren. Het IP-adres van de server blijft niet gegarandeerd statisch. Als u de FQDN gebruikt, kunt u voorkomen dat u wijzigingen aanbrengt in uw verbindingsreeks.

Scenario's voor niet-ondersteunde virtuele netwerken

• Openbaar eindpunt (of openbaar IP of DNS): een exemplaar van een flexibele Azure Database for MySQL-server dat is geïmplementeerd in een virtueel netwerk, kan geen openbaar eindpunt hebben.
• Nadat het exemplaar van de flexibele Azure Database for MySQL-server is geïmplementeerd in een virtueel netwerk en subnet, kunt u het niet verplaatsen naar een ander virtueel netwerk of subnet. U kunt het virtuele netwerk niet verplaatsen naar een andere resourcegroep of een ander abonnement.
• Privé-DNS integratieconfiguratie kan niet worden gewijzigd na de implementatie.
• U kunt de subnetgrootte (adresruimten) niet vergroten als er resources in het subnet aanwezig zijn.

Volgende stappen

• Meer informatie over het inschakelen van privétoegang (integratie van virtuele netwerken) met behulp van Azure Portal of Azure CLI.
• Meer informatie over het gebruik van TLS.