Partilhar via

Private Link para o Azure Database for MariaDB

  • Artigo

Importante

O Banco de Dados do Azure para MariaDB está no caminho da aposentadoria. É altamente recomendável migrar para o Banco de Dados do Azure para MySQL. Para obter mais informações sobre como migrar para o Banco de Dados do Azure para MySQL, consulte O que está acontecendo com o Banco de Dados do Azure para MariaDB?.

O Private Link permite que você crie pontos de extremidade privados para o Banco de Dados do Azure para MariaDB e, assim, traz os serviços do Azure para dentro de sua Rede Virtual privada (VNet). O ponto de extremidade privado expõe um IP privado que você pode usar para se conectar ao seu banco de dados do Azure para servidor de banco de dados MariaDB como qualquer outro recurso na rede virtual.

Para obter uma lista dos serviços PaaS que suportam a funcionalidade Private Link, consulte a documentação do Private Link. Um ponto final privado é um endereço IP privado numa VNet e Sub-rede específicas.

Nota

O recurso de link privado só está disponível para o Banco de Dados do Azure para servidores MariaDB nas camadas de preços de Uso Geral ou Memória Otimizada. Verifique se o servidor de banco de dados está em uma dessas camadas de preços.

Data exfiltration prevention (Prevenção da transferência de dados não autorizada)

A ex-filtragem de dados no Banco de Dados do Azure para MariaDB ocorre quando um usuário autorizado, como um administrador de banco de dados, é capaz de extrair dados de um sistema e movê-los para outro local ou sistema fora da organização. Por exemplo, o usuário move os dados para uma conta de armazenamento de propriedade de terceiros.

Considere um cenário com um usuário executando o workbench do MariaDB dentro de uma VM do Azure conectando-se a uma instância do Banco de Dados do Azure para MariaDB. Esta instância do MariaDB está no data center do oeste dos EUA. O exemplo abaixo mostra como limitar o acesso com pontos de extremidade públicos no Banco de Dados do Azure para MariaDB usando controles de acesso à rede.

  • Desabilite todo o tráfego do serviço do Azure para o Banco de Dados do Azure para MariaDB por meio do ponto de extremidade público definindo Permitir que os Serviços do Azure sejam DESATIVADOS. Certifique-se de que nenhum endereço IP ou intervalo tenha permissão para acessar o servidor por meio de regras de firewall ou pontos de extremidade de serviço de rede virtual.

  • Permita apenas o tráfego para o Banco de Dados do Azure para MariaDB usando o endereço IP privado da VM. Para obter mais informações, consulte os artigos sobre Service Endpoint e regras de firewall VNet.

  • Na VM do Azure, restrinja o escopo da conexão de saída usando NSGs (Grupos de Segurança de Rede) e Marcas de Serviço da seguinte maneira:

    • Especifique uma regra NSG para permitir tráfego para Service Tag = SQL. WestUs - permitindo apenas a conexão com o Banco de Dados do Azure para MariaDB no oeste dos EUA
    • Especifique uma regra NSG (com prioridade mais alta) para negar tráfego para Service Tag = SQL - negando conexões com o banco de dados MariaDB em todas as regiões

No final desta configuração, a VM do Azure pode se conectar somente ao Banco de Dados do Azure para MariaDB na região Oeste dos EUA. No entanto, a conectividade não está restrita a um único Banco de Dados do Azure para MariaDB. A VM ainda pode se conectar a qualquer Banco de Dados do Azure para MariaDB na região Oeste dos EUA, incluindo os bancos de dados que não fazem parte da assinatura. Embora tenhamos reduzido o escopo da exfiltração de dados no cenário acima para uma região específica, não o eliminamos completamente.

Com o Private Link, agora você pode configurar controles de acesso à rede, como NSGs, para restringir o acesso ao ponto de extremidade privado. Os recursos individuais de PaaS do Azure são mapeados para pontos de extremidade privados específicos. Um insider mal-intencionado só pode acessar o recurso PaaS mapeado (por exemplo, um Banco de Dados do Azure para MariaDB) e nenhum outro recurso.

Conectividade no local em peering privado

Quando você se conecta ao ponto de extremidade público a partir de máquinas locais, seu endereço IP precisa ser adicionado ao firewall baseado em IP usando uma regra de firewall no nível do servidor. Embora esse modelo funcione bem para permitir o acesso a máquinas individuais para cargas de trabalho de desenvolvimento ou teste, é difícil de gerenciar em um ambiente de produção.

Com o Private Link, você pode habilitar o acesso entre locais ao ponto de extremidade privado usando a Rota Expressa (ER), emparelhamento privado ou túnel VPN. Eles podem posteriormente desativar todo o acesso via ponto final público e não usar o firewall baseado em IP.

Nota

Em alguns casos, o Banco de Dados do Azure para MariaDB e a sub-rede VNet estão em assinaturas diferentes. Nesses casos, você deve garantir as seguintes configurações:

  • Certifique-se de que ambas as assinaturas tenham o provedor de recursos Microsoft.DBforMariaDB registrado. Para obter mais informações, consulte resource-manager-registration

Processo de Criação

Os pontos de extremidade privados são necessários para habilitar o Private Link. Isso pode ser feito usando os seguintes guias de instruções.

Processo de aprovação

Depois que o administrador de rede cria o ponto de extremidade privado (PE), ele pode gerenciar a Conexão de ponto de extremidade privada (PEC) para o Banco de Dados do Azure para MariaDB. Essa separação de tarefas entre o administrador de rede e o DBA é útil para o gerenciamento da conectividade do Banco de Dados do Azure para MariaDB.

  • Navegue até o recurso de servidor Banco de Dados do Azure para MariaDB no portal do Azure.
    • Selecione as conexões de ponto de extremidade privado no painel esquerdo
    • Mostra uma lista de todas as conexões de ponto de extremidade privadas (PECs)
    • Ponto de extremidade privado (PE) correspondente criado

Selecione o Portal de Ponto Final Privado

  • Selecione um PEC individual na lista selecionando-o.

Selecione o ponto de extremidade privado pendente de aprovação

  • O administrador do servidor MariaDB pode optar por aprovar ou rejeitar um PEC e, opcionalmente, adicionar uma resposta de texto curto.

Selecione a mensagem de ponto de extremidade privado

  • Após a aprovação ou rejeição, a lista refletirá o estado apropriado juntamente com o texto da resposta

Selecione o estado final do ponto de extremidade privado

Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, VNet emparelhada na mesma região ou entre regiões, ou via conexão VNet-to-VNet entre regiões. Além disso, os clientes podem se conectar localmente usando a Rota Expressa, emparelhamento privado ou túnel VPN. Abaixo está um diagrama simplificado mostrando os casos de uso comuns.

Selecione a visão geral do ponto de extremidade privado

Conectando-se a partir de uma VM do Azure na Rede Virtual Emparelhada (VNet)

Configure o emparelhamento de VNet para estabelecer conectividade com o Banco de Dados do Azure para MariaDB a partir de uma VM do Azure em uma VNet emparelhada.

Conectando-se de uma VM do Azure no ambiente VNet-to-VNet

Configure a conexão de gateway VPN VNet-to-VNet para estabelecer conectividade com um Banco de Dados do Azure para MariaDB a partir de uma VM do Azure em uma região ou assinatura diferente.

Ligar a partir de um ambiente no local por VPN

Para estabelecer conectividade de um ambiente local com o Banco de Dados do Azure para MariaDB, escolha e implemente uma das opções:

As seguintes situações e resultados são possíveis quando você usa o Private Link em combinação com regras de firewall:

  • Se você não configurar nenhuma regra de firewall, por padrão, nenhum tráfego poderá acessar o Banco de Dados do Azure para MariaDB.

  • Se você configurar o tráfego público ou um ponto de extremidade de serviço e criar pontos de extremidade privados, diferentes tipos de tráfego de entrada serão autorizados pelo tipo correspondente de regra de firewall.

  • Se você não configurar nenhum ponto de extremidade de serviço ou tráfego público e criar pontos de extremidade privados, o Banco de Dados do Azure para MariaDB estará acessível somente por meio dos pontos de extremidade privados. Se você não configurar o tráfego público ou um ponto de extremidade de serviço, depois que todos os pontos de extremidade privados aprovados forem rejeitados ou excluídos, nenhum tráfego poderá acessar o Banco de Dados do Azure para MariaDB.

Negar acesso público ao Banco de Dados do Azure para MariaDB

Se você quiser confiar completamente apenas em pontos de extremidade privados para acessar seu Banco de Dados do Azure para MariaDB, poderá desabilitar a configuração de todos os pontos de extremidade públicos (regras de firewall e pontos de extremidade de serviço VNet) definindo a configuração Negar Acesso à Rede Pública no servidor de banco de dados.

Quando essa configuração é definida como YES, somente conexões por meio de pontos de extremidade privados são permitidas ao seu Banco de Dados do Azure para MariaDB. Quando essa configuração é definida como NO, os clientes podem se conectar ao Banco de Dados do Azure para MariaDB com base nas configurações de ponto de extremidade do firewall ou do serviço VNet. Além disso, uma vez definido o valor do acesso à rede privada, os clientes não podem adicionar e/ou atualizar as 'Regras de firewall' e as 'Regras de ponto de extremidade do serviço VNet' existentes.

Nota

Esta funcionalidade está disponível em todas as regiões do Azure onde a Base de Dados do Azure para PostgreSQL - Servidor único suporta níveis de preços de Finalidade Geral e Memória Otimizada.

Essa configuração não tem nenhum impacto nas configurações de SSL e TLS para seu Banco de Dados do Azure para MariaDB.

Para saber como definir o Negar Acesso à Rede Pública para seu Banco de Dados do Azure para MariaDB no portal do Azure, consulte Como configurar Negar Acesso à Rede Pública.

Próximos passos

Para saber mais sobre os recursos de segurança do Banco de Dados do Azure para MariaDB, consulte os seguintes artigos: