Link Privado para o Banco de Dados do Azure para MySQL

  • Artigo

APLICA-SE A: Banco de Dados do Azure para MySQL – Servidor único

Importante

O Banco de Dados do Azure para servidor único MySQL está no caminho de desativação. É altamente recomendável que você atualize para o Banco de Dados do Azure para o servidor flexível MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para o servidor flexível MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para Servidor Único MySQL?

O Link Privado permite que você se conecte a vários serviços de PaaS no Azure por meio de um ponto de extremidade privado. O Link Privado do Azure essencialmente traz os serviços do Azure dentro de sua VNet (Rede Virtual privada). Os recursos de PaaS podem ser acessados usando o endereço IP privado, assim como qualquer outro recurso na VNet.

Para obter uma lista dos serviços de PaaS que dão suporte à funcionalidade de Link Privado, leia a Documentação do Link Privado. Um ponto de extremidade privado é um endereço IP privado em uma VNET e sub-rede específicas.

Observação

O recurso de link privado está disponível apenas para servidores do Bancos de Dados do Azure para MySQL nas camadas de preços de Uso Geral ou Otimizado para Memória. Assegure-se de que o servidor de banco de dados esteja em um desses níveis de preços.

Prevenção contra exportação de dados

A exportação de dados no Banco de Dados do Azure para MySQL ocorre quando um usuário autorizado, como um administrador de banco de dados, tem a capacidade de extrair dados de um sistema e movê-los para outra localização ou outro sistema fora da organização. Por exemplo, o usuário move os dados para uma conta de armazenamento pertencente a terceiros.

Considere um cenário com um usuário que executa o MySQL Workbench dentro de uma VM (máquina virtual) do Azure que está se conectando a um servidor de Banco de Dados do Azure para MySQL provisionado no Oeste dos EUA. O exemplo abaixo mostra como limitar o acesso com pontos de extremidade públicos no Banco de Dados do Azure para MySQL usando controles de acesso à rede.

  • Desabilite todo o tráfego de serviço do Azure para o Banco de Dados do Azure para MySQL por meio do ponto de extremidade público. Para isso, configure Permitir Serviços do Azure como DESATIVADO. Garanta que nenhum endereço IP ou intervalo tem permissão para acessar o servidor por meio de regras de firewall ou pontos de extremidade de serviço de rede virtual.

  • Só permita o tráfego para o Banco de Dados do Azure para MySQL que usa o endereço IP privado da VM. Para obter mais informações, confira os artigos sobre o ponto de extremidade de serviço e as regras de firewall da VNET.

  • Na VM do Azure, restrinja o escopo da conexão de saída usando NSGs (grupos de segurança de rede) e Marcas de Serviço, conforme mostrado a seguir

    • Especifique uma regra NSG para permitir o tráfego para Tag de serviço = SQL.WestUs – só permitindo a conexão com o Banco de Dados do Azure para MySQL no Oeste dos EUA
    • Especifique uma regra NSG (com uma prioridade mais alta) para negar o tráfego para a Tag de Serviço = SQL – negando as conexões com a Atualização para o Banco de Dados do Azure para MySQL em todas as regiões

Ao final desta configuração, a VM do Azure só poderá se conectar ao Banco de Dados do Azure para MySQL na região Oeste dos EUA. No entanto, a conectividade não é restrita a um único Banco de Dados do Azure para MySQL. A VM ainda pode se conectar a qualquer Banco de Dados do Azure para MySQL na região Oeste dos EUA, incluindo os bancos de dados que não fazem parte da assinatura. Embora tenhamos reduzido o escopo da exportação de dados no cenário acima a uma região específica, não o eliminamos por completo.

Com o Link Privado, agora você pode configurar controles de acesso à rede, como NSGs, para restringir o acesso ao ponto de extremidade privado. Os recursos de PaaS individuais do Azure são então mapeados para pontos de extremidade privados específicos. Um usuário interno mal-intencionado só pode acessar o recurso de PaaS mapeado (por exemplo, um Banco de Dados do Azure para MySQL) e nenhum outro recurso.

Conectividade local no emparelhamento privado

Quando você se conecta ao ponto de extremidade público a partir de computadores locais, seu endereço IP precisa ser adicionado ao firewall baseado em IP usando uma regra de firewall no nível de servidor. Embora esse modelo funcione bem para permitir o acesso a computadores individuais para cargas de trabalho de desenvolvimento ou teste, é difícil gerenciá-lo em um ambiente de produção.

Com o Link Privado, você pode habilitar o acesso entre instalações ao ponto de extremidade privado usando o Express Route (ER), o emparelhamento privado ou o túnel de VPN. Em seguida, eles poderão desabilitar todo o acesso por meio do ponto de extremidade público e não usar o firewall baseado em IP.

Observação

Em alguns casos, o Banco de Dados do Azure para MySQL e a sub-rede da VNet estão em assinaturas diferentes. Nesses casos, você deve garantir as seguintes configurações:

  • Verifique se as duas assinaturas têm o provedor de recursos Microsoft.DBforMySQL registrado. Para obter mais informações, confira resource-manager-registration

Processo de criação

Pontos de extremidade privados são necessários para habilitar o Link Privado. Isso pode ser feito usando os guias de instruções a seguir.

Processo de aprovação

Depois que o administrador de rede criar o PE (ponto de extremidade privado), o administrador do MySQL poderá gerenciar a PEC (conexão de ponto de extremidade privado) com o Banco de Dados do Azure para MySQL. Essa separação de tarefas entre o administrador de rede e o DBA é útil para o gerenciamento da conectividade do Banco de Dados do Azure para MySQL.

  • Navegue até o recurso do servidor do Banco de Dados do Azure para MySQL no portal do Azure.
    • Selecione as conexões de ponto de extremidade privado no painel esquerdo.
    • Mostra uma lista de todas as PECs (conexões de ponto de extremidade privado)
    • Ponto de extremidade privado correspondente (PE) criado

select the private endpoint portal

  • Selecione uma PEC individual na lista selecionando-a.

select the private endpoint pending approval

  • O administrador do servidor MySQL pode optar por aprovar ou rejeitar uma PEC e, opcionalmente, adicionar uma resposta de texto curto.

select the private endpoint message

  • Após a aprovação ou a rejeição, a lista refletirá o estado apropriado junto com o texto de resposta

select the private endpoint final state

Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, da VNet emparelhada na mesma região ou por meio da conexão VNet a VNet nas regiões. Além disso, os clientes podem se conectar localmente usando o ExpressRoute, o emparelhamento privado ou o túnel de VPN. Veja abaixo um diagrama simplificado que mostra os casos de uso comuns.

select the private endpoint overview

Como se conectar por meio de uma VM do Azure na VNET (Rede Virtual) emparelhada

Configure o Emparelhamento VNet para estabelecer a conectividade com o Banco de Dados do Azure para MySQL por meio de uma VM do Azure em uma VNet emparelhada.

Como se conectar por meio de uma VM do Azure no ambiente VNET a VNET

Configure a conexão de gateway de VPN VNET a VNET para estabelecer a conectividade com um Banco de Dados do Azure para MySQL por meio de uma VM do Azure em uma região ou uma assinatura diferente.

Como se conectar por meio de um ambiente local pela VPN

Para estabelecer a conectividade de um ambiente local com o banco de dados no Banco de Dados do Azure para MySQL, escolha e implemente uma das opções:

As seguintes situações e resultados são possíveis quando você usa o Link Privado em combinação com regras de firewall:

  • Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego será capaz de acessar o Banco de Dados do Azure para MySQL.

  • Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, os tipos diferentes de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.

  • Se você não configurar nenhum tráfego público ou ponto de extremidade de serviço e criar pontos de extremidades privados, o Banco de Dados do Azure para MySQL poderá ser acessado somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidades privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o Banco de Dados do Azure para MySQL.

Negar acesso público para o Banco de Dados do Azure para MySQL

Se você quiser confiar apenas nos pontos de extremidade privados para acessar o Banco de Dados do Azure para MySQL deles, poderá desabilitar a configuração de todos os pontos de extremidade públicos (ou seja, regras de firewall e pontos de extremidade de serviço de VNet) definindo a configuração Negar acesso à rede pública no servidor e banco de dados.

Quando essa configuração é definida como SIM, somente as conexões por meio de pontos de extremidade privados são permitidas para o Banco de Dados do Azure para MySQL. Quando essa configuração é definida como NÃO, os clientes podem se conectar ao Banco de Dados do Azure para MySQL com base em suas configurações de firewall ou de ponto de extremidade de serviço da VNet. Além disso, quando o valor do acesso à rede privada estiver definido, os clientes não poderão adicionar e/ou atualizar as existentes “regras de firewall” e “regras de ponto de extremidade de serviço de VNet”.

Observação

Esse recurso está disponível em todas as regiões do Azure nas quais o Banco de Dados do Azure para MySQL – Servidor Único dá suporte aos tipos de preço Uso Geral e Otimizado para memória.

Essa configuração não tem nenhum impacto sobre as configurações de SSL e TLS para o Banco de Dados do Azure para MySQL.

Para saber como definir a opção Negar acesso à rede pública para seu Banco de Dados do Azure para MySQL do portal do Azure, confira Como configurar a opção de negar acesso à rede pública.

Próximas etapas

Para saber mais sobre os recursos de segurança do Banco de Dados do Azure para MySQL, confira os seguintes artigos: