Regras de firewall do servidor da Base de Dados do Azure para MySQL

APLICA-SE A: Base de Dados do Azure para MySQL - Servidor Único

As firewalls impedem todo o acesso ao servidor da base de dados até especificar quais os computadores que têm permissão. A firewall concede acesso ao servidor com base no endereço IP de origem de cada pedido.

Para configurar uma firewall, crie regras de firewall que especifiquem intervalos de endereços IP aceitáveis. Pode criar regras da firewall ao nível do servidor.

Regras de firewall: Estas regras permitem que os clientes acedam a todo o seu servidor Base de Dados do Azure para MySQL, ou seja, todas as bases de dados dentro do mesmo servidor lógico. As regras de firewall ao nível do servidor podem ser configuradas utilizando os comandos portal do Azure ou Azure CLI. Para criar regras da firewall ao nível do servidor, tem de ser o proprietário da subscrição ou um contribuinte da subscrição.

Descrição geral das firewalls

Todos os acessos de base de dados ao seu servidor Base de Dados do Azure para MySQL estão bloqueados por defeito pela firewall. Para começar a utilizar o seu servidor a partir de outro computador, tem de especificar uma ou mais regras de firewall ao nível do servidor para permitir o acesso ao seu servidor. Utilize as regras de firewall para especificar quais os endereços IP que variam a partir da Internet para permitir. O acesso ao portal do Azure próprio website não é afetado pelas regras de firewall.

As tentativas de ligação da Internet e do Azure devem primeiro passar pela firewall antes de poderem chegar à sua base de dados Base de Dados do Azure para MySQL, como mostra o seguinte diagrama:

Example flow of how the firewall works

Ligar a partir da Internet

As regras de firewall ao nível do servidor aplicam-se a todas as bases de dados do servidor Base de Dados do Azure para MySQL.

Se o endereço IP do pedido estiver dentro de uma das gamas especificadas nas regras de firewall ao nível do servidor, então a ligação é concedida.

Se o endereço IP do pedido estiver fora dos intervalos especificados em qualquer uma das regras de firewall de nível de base de dados ou de nível de servidor, então o pedido de ligação falha.

Ligar a partir do Azure

Recomenda-se que encontre o endereço IP de saída de qualquer aplicação ou serviço e permita explicitamente o acesso a esses endereços ou intervalos IP individuais. Por exemplo, pode encontrar o endereço IP de saída de um Serviço de Aplicações do Azure ou utilizar um IP público ligado a uma máquina virtual ou outro recurso (ver abaixo para obter informações sobre a ligação com o IP privado de uma máquina virtual sobre os pontos finais de serviço).

Se um endereço IP de saída fixo não estiver disponível para o seu serviço Azure, pode considerar ativar ligações a partir de todos os endereços IP do datacenter Azure. Esta definição pode ser ativada a partir do portal do Azure definindo a opção De acesso a Serviços Azure para ON a partir do painel de segurança De Ligação e bater Em Guardar. A partir do CLI Azure, uma definição de regra de firewall com endereço inicial e final igual a 0.0.0.0 faz o equivalente. Se a tentativa de ligação não for permitida, o pedido não chega ao servidor Base de Dados do Azure para MySQL.

Importante

A opção Allow access to Azure services (Permitir acesso aos serviços do Azure) configura a firewall para permitir todas as ligações a partir do Azure, incluindo ligações de subscrições de outros clientes. Quando selecionar esta opção, certifique-se de que as suas permissões de início de sessão e de utilizador limitam o acesso apenas a utilizadores autorizados.

Configure Allow access to Azure services in the portal

Ligação a partir de um VNet

Para ligar de forma segura ao seu servidor Base de Dados do Azure para MySQL a partir de um VNet, considere utilizar pontos finais de serviço VNet.

Gerir regras de firewall programaticamente

Além da portal do Azure, as regras de firewall podem ser geridas programáticamente utilizando o CLI Azure. Ver também Criar e gerir Base de Dados do Azure para MySQL regras de firewall utilizando O Azure CLI

Resolver problemas da firewall

Considere os seguintes pontos quando o acesso à Base de Dados Microsoft Azure para o serviço de servidores MySQL não se comporta como esperado:

  • As alterações à lista de autorizações ainda não produziram efeitos: Pode haver um atraso de cinco minutos para que as alterações na configuração de firewall do Base de Dados do Azure para MySQL Server entrem em vigor.

  • O login não é autorizado ou foi utilizada uma palavra-passe incorreta: Se um login não tiver permissões no servidor Base de Dados do Azure para MySQL ou a palavra-passe utilizada estiver incorreta, a ligação ao servidor Base de Dados do Azure para MySQL é negada. Criar uma definição de firewall só proporciona aos clientes uma oportunidade para tentar ligar ao seu servidor; cada cliente tem de indicar as credenciais de segurança necessárias.

  • Endereço IP dinâmico: Se tiver uma ligação à Internet com endereço IP dinâmico e estiver com dificuldades em passar pela firewall, pode experimentar uma das seguintes soluções:

    • Peça ao seu Fornecedor de Serviços de Internet (ISP) para obter o intervalo de endereços IP atribuído aos computadores clientes que acedem ao servidor Base de Dados do Azure para MySQL e, em seguida, adicione o intervalo de endereços IP como regra de firewall.

    • Em alternativa, obtenha o endereçamento IP estático para os computadores cliente e adicione os endereços IP como regras de firewall.

  • O IP do servidor parece ser público: As ligações ao servidor Base de Dados do Azure para MySQL são encaminhada através de um gateway Azure acessível ao público. No entanto, o IP real do servidor está protegido pela firewall. Para obter mais informações, veja o artigo sobre a arquitetura de conectividade.

  • Não é possível ligar a partir do recurso Azure com o IP permitido: Verifique se o ponto final do serviço Microsoft.Sql está ativado para a sub-rede a que está a ligar. Se o Microsoft.Sql estiver ativado, indica que só pretende utilizar as regras de ponto final de serviço VNet nessa sub-rede.

    Por exemplo, poderá ver o seguinte erro se estiver a ligar a partir de um Azure VM numa sub-rede que tenha o Microsoft.Sql ativado mas não tem nenhuma regra VNet correspondente: FATAL: Client from Azure Virtual Networks is not allowed to access the server

  • A regra de firewall não está disponível para o formato IPv6: As regras de firewall devem estar no formato IPv4. Se especificar as regras da firewall no formato IPv6, é apresentado o erro de validação.

Passos seguintes