Udostępnij za pomocą

Pojęcia dotyczące łączności i sieci dla usługi Azure Database for MySQL — serwer elastyczny

W tym artykule przedstawiono pojęcia dotyczące kontrolowania łączności z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Szczegółowe informacje na temat pojęć związanych z siecią dla usługi Azure Database for MySQL — elastyczny serwer służący do tworzenia serwera i uzyskiwania do nich bezpiecznego dostępu na platformie Azure.

Usługa Azure Database for MySQL — elastyczny serwer obsługuje trzy sposoby konfigurowania łączności z serwerami:

Note

Po wdrożeniu serwera z dostępem publicznym lub prywatnym (za pośrednictwem integracji z siecią wirtualną) nie można zmodyfikować trybu łączności. Jednak w trybie dostępu publicznego można włączyć lub wyłączyć prywatne punkty końcowe zgodnie z potrzebami, a także wyłączyć dostęp publiczny w razie potrzeby.

Wybierz opcję sieci

Wybierz opcję Dostęp publiczny (dozwolone adresy IP) i Metodę prywatnego punktu końcowego , jeśli chcesz uzyskać następujące możliwości:

  • Nawiązywanie połączenia z zasobów platformy Azure bez obsługi sieci wirtualnej
  • Nawiązywanie połączenia z zasobów spoza platformy Azure, które nie są połączone za pomocą sieci VPN lub usługi ExpressRoute
  • Serwer elastyczny jest dostępny za pośrednictwem publicznego punktu końcowego i może być dostępny za pośrednictwem autoryzowanych zasobów internetowych. W razie potrzeby można wyłączyć dostęp publiczny.
  • Możliwość konfigurowania prywatnych punktów końcowych w celu uzyskania dostępu do serwera z hostów w sieci wirtualnej

Wybierz pozycję Dostęp prywatny (integracja z siecią wirtualną), jeśli chcesz uzyskać następujące możliwości:

  • Nawiązywanie połączenia z serwerem elastycznym z zasobów platformy Azure w tej samej sieci wirtualnej lub równorzędnej sieci wirtualnej bez konieczności konfigurowania prywatnego punktu końcowego
  • Nawiązywanie połączenia z zasobów spoza platformy Azure z serwerem elastycznym przy użyciu sieci VPN lub usługi ExpressRoute
  • Brak publicznego punktu końcowego

Następujące cechy mają zastosowanie, niezależnie od tego, czy chcesz użyć dostępu prywatnego, czy opcji dostępu publicznego:

  • Połączenia z dozwolonych adresów IP muszą być uwierzytelniane w wystąpieniu serwera elastycznego usługi Azure Database for MySQL z prawidłowymi poświadczeniami
  • Szyfrowanie połączeń jest dostępne dla ruchu sieciowego
  • Serwer ma w pełni kwalifikowaną nazwę domeny (fqdn). Zalecamy użycie nazwy fqdn zamiast adresu IP dla właściwości hostname w parametry połączenia s.
  • Obie opcje kontrolują dostęp na poziomie serwera, a nie na poziomie bazy danych lub tabeli. Właściwości ról programu MySQL służą do kontrolowania dostępu do bazy danych, tabeli i innego obiektu.

Obsługa portów niestandardowych

Usługa Azure MySQL obsługuje teraz możliwość określenia niestandardowego portu między 250001 a 26000 podczas tworzenia serwera w celu nawiązania połączenia z serwerem. Domyślny port do nawiązania połączenia to 3306.

  • Obsługiwany jest tylko jeden port niestandardowy na serwer.
  • Obsługiwane scenariusze dla portu niestandardowego: tworzenie serwera, przywracanie (przywracanie między portami jest obsługiwane), tworzenie repliki do odczytu, umożliwienie wysokiej dostępności.
  • Bieżące ograniczenia:
    • Nie można zaktualizować portu niestandardowego po utworzeniu serwera.
    • Przywracanie geograficzne i tworzenie repliki geograficznej z niestandardowym portem nie są obsługiwane.

Nieobsługiwane scenariusze sieci wirtualnej

  • Publiczny punkt końcowy (lub publiczny adres IP lub DNS) — serwer elastyczny wdrożony w sieci wirtualnej nie może mieć publicznego punktu końcowego.
  • Po wdrożeniu serwera elastycznego w sieci wirtualnej i podsieci nie można przenieść go do innej sieci wirtualnej ani podsieci.
  • Po wdrożeniu serwera elastycznego nie można przenieść sieci wirtualnej używanej przez serwer elastyczny do innej grupy zasobów lub subskrypcji.
  • Nie można zwiększyć rozmiaru podsieci (przestrzeni adresowych), gdy w podsieci istnieją zasoby.
  • Zmiana z dostępu publicznego na prywatny nie jest dozwolona po utworzeniu serwera. Zalecanym sposobem jest użycie przywracania do punktu w czasie.

Note

Jeśli używasz niestandardowego serwera DNS, musisz użyć usługi przesyłania dalej DNS, aby rozpoznać nazwę FQDN wystąpienia serwera elastycznego usługi Azure Database for MySQL. Aby dowiedzieć się więcej, zapoznaj się z tematem rozpoznawania nazw używającym serwera DNS.

Hostname

Niezależnie od opcji sieci zaleca się użycie w pełni kwalifikowanej nazwy domeny (FQDN) <servername>.mysql.database.azure.com w parametry połączenia podczas nawiązywania połączenia z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Adres IP serwera nie ma gwarancji, że pozostanie statyczny. Użycie nazwy FQDN pomoże uniknąć wprowadzania zmian w parametry połączenia.

Przykładem, który używa nazwy FQDN jako nazwy hosta, jest nazwa hosta = servername.mysql.database.azure.com. Jeśli to możliwe, unikaj używania nazwy hosta = 10.0.0.4 (adresu prywatnego) lub nazwy hosta = 40.2.45.67 (adres publiczny).

Note

Jeśli zarówno dostęp publiczny, jak i usługa Private Link są włączone na serwerze elastycznym usługi Azure Database for MySQL, publiczne adresy IP instancji zostaną zaktualizowane, aby poprawić środowisko sieciowe w ramach zmiany architektury. Przed 9 września 2025 r., jeśli używasz takich publicznych adresów IP w ciągu połączenia, musisz je zastąpić nazwą FQDN, aby uniknąć zakłóceń w połączeniu z serwerem. (Uwaga: adres IP usługi Private Link lub adres IP integracji z siecią wirtualną nie jest dotknięty). Wymagana akcja — uruchom polecenie NSLookup z sieci publicznej, aby uzyskać publiczny adres IP, który ulegnie zmianie. Następnie zaktualizuj odwołanie w parametrze połączenia, aby zamiast tego używać nazwy FQDN.

Protokoły TLS i SSL

Usługa Azure Database for MySQL — elastyczny serwer obsługuje łączenie aplikacji klienckich z wystąpieniem serwera elastycznego usługi Azure Database for MySQL przy użyciu protokołu SSL (Secure Sockets Layer) z szyfrowaniem TLS (Transport Layer Security). TLS to branżowy protokół będący standardem, który zapewnia szyfrowane połączenia sieciowe między serwerem bazy danych i aplikacjami klienckimi, co pozwala na spełnienie wymagań dotyczących zgodności.

Usługa Azure Database for MySQL — elastyczny serwer obsługuje połączenia szyfrowane przy użyciu protokołu Transport Layer Security (TLS 1.2) domyślnie, a wszystkie połączenia przychodzące z protokołami TLS 1.0 i TLS 1.1 są domyślnie odrzucane. Konfigurację wymuszania szyfrowanego połączenia lub wersji protokołu TLS na serwerze elastycznym można skonfigurować i zmienić.

Poniżej przedstawiono różne konfiguracje ustawień protokołu SSL i TLS, które można mieć dla serwera elastycznego:

Important

Zgodnie z usunięciem obsługi protokołów TLS 1.0 i TLS 1.1 wcześniej planowaliśmy całkowite wycofanie protokołów TLS 1.0 i 1.1 do września 2024 r. Jednak ze względu na zależności zidentyfikowane przez niektórych klientów postanowiliśmy rozszerzyć oś czasu.

  • Począwszy od 31 sierpnia 2025 r., rozpoczniemy wymuszone uaktualnienie dla wszystkich serwerów nadal używających protokołu TLS 1.0 lub 1.1. Po tej dacie wszystkie połączenia korzystające z protokołu TLS 1.0 lub 1.1 mogą przestać działać w dowolnym momencie. Aby uniknąć potencjalnych zakłóceń usług, zdecydowanie zalecamy, aby klienci ukończyli migrację do protokołu TLS 1.2 przed 31 sierpnia 2025 r.
  • Począwszy od września 2024 r., nowe serwery nie będą już mogły korzystać z protokołu TLS 1.0 lub 1.1, a istniejące serwery nie będą mogły obniżyć wersji do tych wersji.

Zdecydowanie zalecamy, aby klienci aktualizowali swoje aplikacje tak szybko, aby jak najszybciej obsługiwali protokół TLS 1.2, aby uniknąć przerw w działaniu usługi.

Scenario Ustawienia parametrów serwera Description
Wyłączanie protokołu SSL (szyfrowane połączenia) require_secure_transport = WYŁĄCZONE Jeśli starsza aplikacja nie obsługuje szyfrowanych połączeń z wystąpieniem serwera elastycznego usługi Azure Database for MySQL, możesz wyłączyć wymuszanie zaszyfrowanych połączeń z serwerem elastycznym przez ustawienie require_secure_transport=OFF.
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji < 1.2 (przestarzałe we wrześniu 2024 r.) require_secure_transport = ON and tls_version = TLS 1.0 lub TLS 1.1 Jeśli starsza aplikacja obsługuje połączenia szyfrowane, ale wymaga protokołu TLS w wersji < 1.2, możesz włączyć połączenia szyfrowane, ale skonfiguruj serwer elastyczny tak, aby zezwalał na połączenia z wersją protokołu TLS (wersja 1.0 lub v1.1) obsługiwaną przez aplikację
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.2 (konfiguracja domyślna) wymagaj_bezpiecznego_transportu = WŁĄCZONE i wersja_tls = TLS 1.2 Jest to zalecana i domyślna konfiguracja serwera elastycznego.
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.3 (obsługiwane w programie MySQL w wersji 8.0 lub nowszej) require_secure_transport = WŁĄCZONY i tls_version = TLS 1.3 Jest to przydatne i zalecane w przypadku tworzenia nowych aplikacji

Note

Zmiany szyfrowania SSL na serwerze elastycznym nie są obsługiwane. Zestaw szyfrujący FIPS jest domyślnie wymuszany, gdy tls_version jest ustawiona na wersję 1.2 protokołu TLS. W przypadku wersji protokołu TLS innych niż wersja 1.2 szyfrowanie SSL jest ustawione na ustawienia domyślne, które są dostarczane z instalacją społeczności mySQL.

Zapoznaj się z artykułem Nawiązywanie połączenia przy użyciu protokołu SSL/TLS , aby dowiedzieć się, jak zidentyfikować używaną wersję protokołu TLS.

Treści powiązane

  • Last updated on