Delen via


Firewallregels van Azure Database for MySQL-server

VAN TOEPASSING OP: Azure Database for MySQL - enkele server

Belangrijk

Azure Database for MySQL enkele server bevindt zich op het buitengebruikstellingspad. We raden u ten zeerste aan een upgrade uit te voeren naar een flexibele Azure Database for MySQL-server. Zie Wat gebeurt er met Azure Database for MySQL Enkele server voor meer informatie over migreren naar Azure Database for MySQL Flexibele server ?

Firewalls verhinderen alle toegang tot uw databaseserver totdat u opgeeft welke computers gemachtigd zijn. De firewall verleent toegang tot de server op basis van het IP-adres waar de aanvraag vandaan komt.

Als u een firewall wilt configureren, maakt u firewallregels die bereiken van acceptabele IP-adressen opgeven. U kunt firewallregels maken op serverniveau.

Firewallregels: Met deze regels kunnen clients toegang krijgen tot uw volledige Azure Database for MySQL-server, dat wil gezegd, alle databases binnen dezelfde logische server. Firewallregels op serverniveau kunnen worden geconfigureerd met behulp van Azure Portal of Azure CLI-opdrachten. Als u firewallregels op serverniveau wilt maken, moet u de eigenaar van het abonnement of een bijdrager aan het abonnement zijn.

Firewalloverzicht

Alle databasetoegang tot uw Azure Database for MySQL-server wordt standaard geblokkeerd door de firewall. Als u de server vanaf een andere computer wilt gaan gebruiken, moet u een of meer firewallregels op serverniveau opgeven om toegang tot uw server in te schakelen. Gebruik de firewallregels om op te geven welke IP-adresbereiken van internet u wilt toestaan. Toegang tot de Website van Azure Portal zelf wordt niet beïnvloed door de firewallregels.

Verbindingspogingen vanaf internet en Azure moeten eerst de firewall passeren voordat ze uw Azure Database for MySQL-database kunnen bereiken.

Verbinding maken vanuit internet

Firewallregels op serverniveau zijn van toepassing op alle databases op de Azure Database for MySQL-server.

Als het IP-adres van de aanvraag binnen een van de bereiken valt die zijn opgegeven in de firewallregels op serverniveau, wordt de verbinding verleend.

Als het IP-adres van de aanvraag buiten de bereiken valt die zijn opgegeven in een van de firewallregels op database- of serverniveau, mislukt de verbindingsaanvraag.

Verbinding maken vanuit Azure

Het wordt aanbevolen om het uitgaande IP-adres van elke toepassing of service te vinden en expliciet toegang te verlenen tot deze afzonderlijke IP-adressen of bereiken. U kunt bijvoorbeeld het uitgaande IP-adres van een Azure-app Service vinden of een openbaar IP-adres gebruiken dat is gekoppeld aan een virtuele machine of een andere resource (zie hieronder voor informatie over het maken van verbinding met het privé-IP-adres van een virtuele machine via service-eindpunten).

Als een vast uitgaand IP-adres niet beschikbaar is voor uw Azure-service, kunt u overwegen verbindingen in te schakelen vanaf alle IP-adressen van het Azure-datacenter. Deze instelling kan worden ingeschakeld vanuit Azure Portal door de optie Toegang tot Azure-services toestaan in te stellen op AAN vanuit het deelvenster Verbindingsbeveiliging en op Opslaan te drukken. Vanuit de Azure CLI is een firewallregelinstelling met het begin- en eindadres gelijk aan 0.0.0.0. Als de verbindingspoging niet is toegestaan, bereikt de aanvraag de Azure Database for MySQL-server niet.

Belangrijk

Met de optie Toegang toestaan aan Azure-services configureert u de firewall zo dat alle verbindingen vanuit Azure zijn toegestaan, inclusief verbindingen vanuit de abonnementen van andere klanten. Wanneer u deze optie selecteert, zorgt u er dan voor dat uw aanmeldings- en gebruikersmachtigingen de toegang beperken tot alleen geautoriseerde gebruikers.

Verbinding maken vanuit een VNet

Als u vanuit een VNet veilig verbinding wilt maken met uw Azure Database for MySQL-server, kunt u overwegen om VNet-service-eindpunten te gebruiken.

Firewallregels programmatisch beheren

Naast Azure Portal kunnen firewallregels programmatisch worden beheerd met behulp van de Azure CLI. Zie ook Azure Database for MySQL-firewallregels maken en beheren met behulp van Azure CLI

Problemen met firewall oplossen

Houd rekening met de volgende punten wanneer toegang tot de Microsoft Azure Database for MySQL-serverservice niet werkt zoals verwacht:

  • Wijzigingen in de acceptatielijst zijn nog niet van kracht: het kan vijf minuten duren voordat wijzigingen in de firewallconfiguratie van Azure Database for MySQL Server van kracht worden.

  • De aanmelding is niet geautoriseerd of er is een onjuist wachtwoord gebruikt: als een aanmelding geen machtigingen heeft op de Azure Database for MySQL-server of het gebruikte wachtwoord onjuist is, wordt de verbinding met de Azure Database for MySQL-server geweigerd. Door een firewallinstellingen te maken, krijgen clients alleen de mogelijkheid om te proberen verbinding te maken met de server. Elke client moet alsnog de benodigde beveiligingsreferenties opgeven.

  • Dynamisch IP-adres: als u een internetverbinding hebt met dynamische IP-adressering en u problemen ondervindt bij het passeren van de firewall, kunt u een van de volgende oplossingen proberen:

    • Vraag uw internetprovider om het IP-adresbereik dat is toegewezen aan uw clientcomputers die toegang hebben tot de Azure Database for MySQL-server en voeg vervolgens het IP-adresbereik toe als firewallregel.

    • Vraag in plaats daarvan statische IP-adressen voor uw clientcomputers en voeg de IP-adressen als firewallregels toe.

  • Het IP-adres van de server lijkt openbaar te zijn: verbindingen met de Azure Database for MySQL-server worden gerouteerd via een openbaar toegankelijke Azure-gateway. Het daadwerkelijke IP-adres van de server wordt echter beschermd door de firewall. Raadpleeg het artikel over de connectiviteitsarchitectuur voor meer informatie.

  • Kan geen verbinding maken vanuit een Azure-resource met toegestaan IP-adres: controleer of het Microsoft.Sql-service-eindpunt is ingeschakeld voor het subnet waaruit u verbinding maakt. Als Microsoft.Sql is ingeschakeld, geeft dit aan dat u alleen VNet-service-eindpuntregels voor dat subnet wilt gebruiken.

    U ziet bijvoorbeeld de volgende fout als u verbinding maakt vanaf een Azure-VM in een subnet waarvoor Microsoft.Sql is ingeschakeld, maar geen bijbehorende VNet-regel heeft: FATAL: Client from Azure Virtual Networks is not allowed to access the server

  • Firewallregel is niet beschikbaar voor IPv6-indeling: de firewallregels moeten de IPv4-indeling hebben. Als u firewallregels opgeeft in de IPv6-indeling, ziet u een validatiefout.

Volgende stappen