Partilhar via

Conceitos de conectividade e rede para o Banco de Dados do Azure para MySQL - Servidor Flexível

Este artigo apresenta os conceitos para controlar a conectividade com sua instância do Servidor Flexível do Banco de Dados do Azure para MySQL. Você aprende em detalhes os conceitos de rede do Banco de Dados do Azure para o Servidor Flexível MySQL para criar e acessar um servidor com segurança no Azure.

O Banco de Dados do Azure para Servidor Flexível MySQL dá suporte a três maneiras de configurar a conectividade com seus servidores:

Note

Depois de implantar um servidor com acesso público ou privado (via integração VNet), não é possível modificar o modo de conectividade. Mas no modo de acesso público, você pode habilitar ou desabilitar pontos de extremidade privados, conforme necessário, e também desabilitar o acesso público, se necessário.

Escolha uma opção de rede

Escolha Acesso público (endereços IP permitidos) e Método de ponto de extremidade privado se desejar os seguintes recursos:

  • Conectar-se a partir de recursos do Azure sem suporte de rede virtual
  • Conecte-se a partir de recursos fora do Azure que não estão conectados por VPN ou Rota Expressa
  • O Servidor Flexível é acessível através de um ponto final público e pode ser acedido através de recursos autorizados da Internet. O acesso público pode ser desativado, se necessário.
  • Capacidade de configurar pontos de extremidade privados para acessar o servidor a partir de hosts em uma rede virtual (VNet)

Escolha Acesso privado (integração VNet) se desejar os seguintes recursos:

  • Conecte-se ao seu Servidor Flexível a partir de recursos do Azure dentro da mesma rede virtual ou de uma rede virtual emparelhada sem a necessidade de configurar um ponto de extremidade privado
  • Use VPN ou ExpressRoute para se conectar de recursos que não são do Azure ao seu Servidor Flexível
  • Nenhum ponto final público

As seguintes características se aplicam se você optar por usar a opção de acesso privado ou público:

  • As conexões de endereços IP permitidos precisam ser autenticadas na instância do Servidor Flexível do Banco de Dados do Azure para MySQL com credenciais válidas
  • A encriptação de ligação está disponível para o seu tráfego de rede
  • O servidor tem um nome de domínio totalmente qualificado (fqdn). Recomendamos usar o fqdn em vez de um endereço IP para a propriedade hostname em cadeias de conexão.
  • Ambas as opções controlam o acesso no nível do servidor, não no nível do banco de dados ou da tabela. Você usaria as propriedades de funções do MySQL para controlar o acesso a bancos de dados, tabelas e outros objetos.

Suporte a portas personalizadas

O Azure MySQL agora oferece suporte à capacidade de especificar uma porta personalizada entre 250001 e 26000 durante a criação do servidor para se conectar ao servidor. A porta padrão para se conectar é 3306.

  • Apenas uma porta personalizada por servidor é suportada.
  • Cenários suportados para porta customizada: criação de servidor, restauração (restauração suportada entre portas diferentes), criação de réplica de leitura, ativação de alta disponibilidade.
  • Limitações atuais:
    • A porta personalizada não pode ser atualizada após a criação do servidor.
    • Não há suporte para restauração geográfica e criação de réplica geográfica com porta personalizada.

Cenários de rede virtual não suportados

  • Ponto de extremidade público (ou IP ou DNS público) - Um servidor flexível implantado em uma rede virtual não pode ter um ponto de extremidade público.
  • Depois que o Servidor Flexível é implantado em uma rede virtual e sub-rede, você não pode movê-lo para outra rede virtual ou sub-rede.
  • Depois que o Servidor Flexível for implantado, você não poderá mover a rede virtual que o Servidor Flexível usa para outro grupo de recursos ou assinatura.
  • O tamanho da sub-rede (espaços de endereços) não pode ser aumentado a partir do momento que os recursos passam a existir na mesma.
  • A alteração do acesso Público para Privado não é permitida após a criação do servidor. A maneira recomendada é usar a restauração point-in-time.

Note

Se estiver a usar o servidor DNS personalizado, deverá usar um encaminhador DNS para resolver o FQDN da instância da Base de Dados do Azure para Servidor Flexível MySQL. Consulte a resolução de nomes que usa seu servidor DNS para saber mais.

Hostname

Independentemente da sua opção de rede, recomendamos que você use o FQDN (nome de domínio totalmente qualificado) <servername>.mysql.database.azure.com em cadeias de conexão ao se conectar à sua instância do Banco de Dados do Azure para Servidor Flexível MySQL. Não é garantido que o endereço IP do servidor permaneça estático. Usar o FQDN ajudará você a evitar fazer alterações na cadeia de conexão.

Um exemplo que usa um FQDN como um nome de host é hostname = servername.mysql.database.azure.com. Sempre que possível, evite usar hostname = 10.0.0.4 (um endereço privado) ou hostname = 40.2.45.67 (um endereço público).

Note

Se o seu Banco de Dados do Azure para Servidor Flexível MySQL tiver acesso público e Link Privado habilitado, os IPs públicos para sua instância serão atualizados como parte da alteração arquitetônica para melhorar a experiência de rede. Se você estiver usando esses IPs públicos em sua cadeia de conexão, deverá substituir por FQDN antes de 9 de setembro de 2025 para evitar qualquer interrupção na conexão do servidor. (Nota: Private Link IP ou VNet Integration IP não é afetado). Ação necessária - Execute o NSLookup a partir da sua rede pública para obter o IP público que será alterado; é necessário atualizar a referência na cadeia de conexão para usar o FQDN.

TLS e SSL

O Banco de Dados do Azure para Servidor Flexível MySQL dá suporte à conexão de seus aplicativos cliente à instância do Servidor Flexível do Banco de Dados do Azure para MySQL usando SSL (Secure Sockets Layer) com criptografia TLS (Transport layer security). O TLS é um protocolo padrão da indústria que garante ligações de rede encriptadas entre o seu servidor de bases de dados e as aplicações cliente, o que lhe permite cumprir os requisitos de conformidade.

O Banco de Dados do Azure para Servidor Flexível MySQL dá suporte a conexões criptografadas usando TLS 1.2 (Transport Layer Security) por padrão, e todas as conexões de entrada com TLS 1.0 e TLS 1.1 são negadas por padrão. A imposição de conexão criptografada ou a configuração da versão TLS no seu Servidor Flexível pode ser configurada e alterada.

A seguir estão as diferentes configurações de SSL e TLS que você pode ter para o seu Servidor Flexível:

Important

De acordo com a Remoção do Suporte para os Protocolos TLS 1.0 e TLS 1.1, planejamos anteriormente descartar totalmente o TLS 1.0 e 1.1 até setembro de 2024. No entanto, devido a dependências identificadas por alguns clientes, decidimos estender o cronograma.

  • A partir de 31 de agosto de 2025, começaremos a atualização forçada para todos os servidores que ainda usam TLS 1.0 ou 1.1. Após essa data, todas as conexões que dependem do TLS 1.0 ou 1.1 podem parar de funcionar a qualquer momento. Para evitar possíveis interrupções do serviço, recomendamos que os clientes concluam a migração para o TLS 1.2 antes de 31 de agosto de 2025.
  • A partir de setembro de 2024, os novos servidores não terão mais permissão para usar o TLS 1.0 ou 1.1 e os servidores existentes não poderão fazer downgrade para essas versões.

É altamente recomendável que os clientes atualizem seus aplicativos para oferecer suporte ao TLS 1.2 o mais rápido possível para evitar interrupções no serviço.

Scenario Configurações de parâmetros do servidor Description
Desativar SSL (conexões criptografadas) require_secure_transport = DESLIGADO Se seu aplicativo herdado não oferecer suporte a conexões criptografadas com o Banco de Dados do Azure para a instância do Servidor Flexível MySQL, você poderá desabilitar a imposição de conexões criptografadas ao seu Servidor Flexível definindo require_secure_transport=OFF.
Forçar SSL com TLS versão < 1.2 (obsoleto em setembro de 2024) require_secure_transport = ON e tls_version = TLS 1.0 ou TLS 1.1 Se seu aplicativo herdado oferecer suporte a conexões criptografadas, mas exigir TLS versão < 1.2, você poderá habilitar conexões criptografadas, mas configurar seu Servidor Flexível para permitir conexões com a versão TLS (v1.0 ou v1.1) suportada pelo seu aplicativo
Impor SSL com TLS versão = 1.2 (configuração padrão) require_secure_transport = ON e tls_version = TLS 1.2 Esta é a configuração recomendada e padrão para um Servidor Flexível.
Impor SSL com TLS versão = 1.3 (Suportado com MySQL v8.0 e superior) require_secure_transport = ON e tls_version = TLS 1.3 Isso é útil e recomendado para o desenvolvimento de novas aplicações

Note

Não há suporte para alterações na Cifra SSL no Servidor Flexível. O conjunto de codificação FIPS é imposto por padrão quando tls_version é definido como TLS versão 1.2. Para versões TLS diferentes da versão 1.2, SSL Cipher é definido para as configurações padrão que vem com a instalação da comunidade MySQL.

Revise a conexão usando SSL/TLS para saber como identificar a versão do TLS que você está usando.

Conteúdo relacionado

  • Last updated on