Поделиться через

Приватный канал для базы данных Azure для MariaDB

  • Статья

Важно!

База данных Azure для MariaDB находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить миграцию в База данных Azure для MySQL. Дополнительные сведения о переходе на База данных Azure для MySQL см. в статье "Что происходит с База данных Azure для MariaDB?".

Приватный канал позволяет создавать частные конечные точки для базы данных Azure для MariaDB и таким образом предоставляет службы Azure в частной виртуальной сети (VNet). Частная конечная точка предоставляет частный IP-адрес, который можно использовать для подключения к серверу базы данных Azure для MariaDB, как и любой другой ресурс в виртуальной сети.

Чтобы просмотреть список служб PaaS, поддерживающих функциональность Приватного канала, перейдите к документации по Приватному каналу. Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети.

Примечание.

Функция приватного канала доступна только для серверов базы данных Azure для MariaDB в ценовой категории "Общее назначение" или "Оптимизированная для операций в памяти". Убедитесь в том, что сервер базы данных находится в одной из этих ценовых категорий.

Предотвращение кражи данных

Кража данных в базе данных Azure для MariaDB происходит тогда, когда полномочный пользователь, например администратор базы данных, может извлекать данные из одной системы и перемещать их в другое расположение или систему за пределами организации. Например, пользователь перемещает данные в учетную запись хранения, принадлежащую третьей стороне.

Рассмотрим ситуацию с пользователем, работающим с MariaDB Workbench, в виртуальной машине Azure, которая подключается к экземпляру базы данных Azure для MariaDB. Этот экземпляр MariaDB находится в центре обработки данных в западной части США. В приведенном ниже примере показано, как ограничить доступ к общедоступным конечным точкам в БД Azure для MariaDB с помощью средств контроля сетевого доступа.

  • Отключите весь трафик службы Azure к базе данных Azure для MariaDB, проходящий через общедоступную конечную точку, установив для параметра "Разрешить использование служб Azure" значение ВЫКЛ. Убедитесь, что IP-адресам или диапазонам не предоставлен доступ к серверу через правила брандмауэра или конечные точки службы для виртуальной сети.

  • Разрешите трафик в базу данных Azure для MariaDB с использованием только частного IP-адреса виртуальной машины. Подробнее см. в статьях о конечной точке службы и правилах брандмауэра виртуальной сети.

  • На виртуальной машине Azure ограничьте область исходящего подключения, используя группы безопасности сети (NSG) и теги службы, как показано ниже:

    • укажите правило NSG, разрешающее трафик для тега службы = SQL.WestUs — разрешение подключения к базе данных Azure для MariaDB только в западной части США;
    • Укажите правило NSG (с более высоким приоритетом), чтобы запретить трафик для тега службы = SQL — запрет подключений к Базе данных MariaDB во всех регионах

После завершения настройки виртуальная машина Azure может подключаться к базам данных Azure для MariaDB только в западной части США. Но возможность подключения не ограничивается одной базой данных Azure для MariaDB. Виртуальная машина по-прежнему может подключаться к любым базам данных Azure для MariaDB в западной части США, включая базы данных, которые не входят в подписку. Хотя мы сократили область кражи данных в приведенном выше сценарии в определенном регионе, мы не полностью исключили его.

Теперь, используя Приватный канал, вы можете настроить элементы управления доступом к сети, например группы безопасности сети, чтобы ограничить доступ к частной конечной точке. Затем отдельные ресурсы Azure PaaS сопоставляются с конкретными частными конечными точками. Злоумышленник внутри организации может получить доступ только к сопоставленному ресурсу PaaS (например, к базе данных Azure для MariaDB) и больше ни к какому другому ресурсу.

Локальные подключения через частный пиринг

Если вы подключаетесь к общедоступной конечной точке из локальных компьютеров, ваш IP-адрес необходимо добавить в брандмауэр на основе IP-адресов, используя правило брандмауэра на уровне сервера. Хотя эта модель отлично подходит для предоставления доступа к отдельным компьютерам для рабочих нагрузок разработки или тестирования, управлять ею в рабочей среде сложно.

Используя Приватный канал, вы можете включить перекрестный доступ к частной конечной точке с помощью ExpressRoute (ER), частного пиринга или VPN-туннеля, а затем отключить доступ через общедоступную конечную точку и не использовать брандмауэр на основе IP-адресов.

Примечание.

Иногда база данных Azure для MariaDB и подсеть виртуальной сети относятся к разным подпискам. В этих случаях необходимо обеспечить следующую конфигурацию:

  • Убедитесь, что в обеих подписках зарегистрирован поставщик ресурсов Microsoft.DBforMariaDB. Дополнительные сведения см. в разделе resource-manager-registration

Процесс создания

Для включения Приватного канала требуются частные конечные точки. Их можно создать, выполнив действия, изложенные в следующих руководствах.

Процесс утверждения

После того как администратор сети создаст частную конечную точку (PE), администратор может управлять подключением частной конечной точки (PEC) к базе данных Azure для MariaDB. Такое разделение обязанностей между администратором сети и администратором базы данных полезно для управления подключением к базе данных Azure для MariaDB.

  • Перейдите к ресурсу сервера базы данных Azure для MariaDB на портале Azure.
    • Выберите подключения частной конечной точки в области слева.
    • Появится список всех подключений частных конечных точек (PEC).
    • Соответствующая частная конечная точка (PE) создана.

select the private endpoint portal

  • Выберите отдельное PEC из списка, щелкнув его.

select the private endpoint pending approval

  • Администратор сервера MariaDB может утвердить или отклонить PEC и при необходимости добавить короткий текст ответа.

select the private endpoint message

  • После утверждения или отклонения в списке отобразится соответствующее состояние вместе с текстом ответа

select the private endpoint final state

Клиенты могут подключаться к частной конечной точке из той же виртуальной сети, одноранговой виртуальной сети в том же регионе или между регионами или через подключение типа виртуальная сеть — виртуальная сеть между регионами. Кроме того, клиенты могут подключаться из локальной среды с помощью ExpressRoute, частного пиринга или VPN-туннелирования. Ниже приведена упрощенная схема, на которой показаны распространенные варианты использования.

select the private endpoint overview

Подключение из виртуальной машины Azure в одноранговой виртуальной сети (VNet)

Настройте пиринг виртуальных сетей, чтобы установить подключение к базе данных Azure для MariaDB из виртуальной машины Azure в одноранговой виртуальной сети.

Подключение из виртуальной машины Azure в среде виртуальных сетей

Настройте подключение VPN-шлюза между виртуальными сетями, чтобы установить подключение к База данных Azure для MariaDB из виртуальной машины Azure в другом регионе или подписке.

Подключение из локальной среды через VPN

Чтобы установить подключение из локальной среды к базе данных Azure для MariaDB, выберите и реализуйте один из вариантов:

При использовании Приватного канала совместно с правилами брандмауэра возможны следующие ситуации и результаты.

  • Если не настроить какие бы то ни было правила брандмауэра, по умолчанию трафик не будет доступен для базы данных Azure для MariaDB.

  • Если вы настраиваете общедоступный трафик или конечную точку службы и создаете частные конечные точки, то для разных типов входящего трафика применяется соответствующий тип правила брандмауэра.

  • Если вы не настраиваете общий трафик или конечную точку службы, но создаете частные конечные точки, база данных Azure для MariaDB будет доступна только через частные конечные точки. Если не настроить общедоступный трафик или конечную точку службы после того, как все утвержденные частные конечные точки будут отклонены или удалены, трафик не сможет получить доступ к базе данных Azure для MariaDB.

Запрет общего доступа для базы данных Azure для MariaDB

Если вы хотите использовать только частные конечные точки для доступа к своей базе данных Azure для MariaDB, можно отключить настройку всех общедоступных конечных точек (правил брандмауэра и конечных точек службы виртуальной сети), настроив параметр Запрет доступа к общедоступной сети на сервере базы данных.

Если для этого параметра задано значение ДА, для базы данных Azure для MariaDB разрешены только подключения через частные конечные точки. Если для этого параметра установлено значение НЕТ, клиенты могут подключаться к базе данных Azure для MariaDB на основе параметров брандмауэра или конечной точки службы виртуальной сети. Кроме того, после установки значения для параметра "Доступ к частной сети" клиенты не смогут добавлять и (или) обновлять существующие правила брандмауэра и правила конечной точки службы виртуальной сети.

Примечание.

Эта функция доступна во всех регионах Azure, где База данных Azure для PostgreSQL с одним сервером поддерживает ценовые категории "Общего назначения" и "Оптимизировано для операций в памяти".

Этот параметр не влияет на конфигурации SSL и TLS для базы данных Azure для MariaDB.

Сведения о настройке запрета доступа к общедоступной сети для базы данных Azure для MariaDB с портала Azure см. в разделе Настройка запрета доступа к общедоступной сети.

Следующие шаги

Дополнительные сведения о средствах безопасности базы данных Azure для MariaDB см. в следующих статьях: