Основные понятия о подключениях и сети для Базы данных Azure для MySQL — гибкий сервер
ОБЛАСТЬ ПРИМЕНЕНИЯ:
База данных Azure для MySQL — гибкий сервер
В этой статье приводятся основные понятия для управления подключением к База данных Azure для MySQL гибкому экземпляру сервера. Вы подробно узнаете о сетевых концепциях для База данных Azure для MySQL гибкого сервера для создания и безопасного доступа к серверу в Azure.
База данных Azure для MySQL гибкий сервер поддерживает три способа настройки подключения к серверам:
Общедоступный доступ к гибкому серверу осуществляется через общедоступную конечную точку. Общедоступная конечная точка — это общедоступный DNS-адрес. Фраза "разрешенные IP-адреса" относится к диапазону IP-адресов, который вы выбрали для предоставления разрешения на доступ к серверу. Эти разрешения называются правилами брандмауэра.
Частная конечная точка позволяет узлам виртуальной сетибезопасно получать доступ к данным через Приватный канал.
Частный доступ (интеграция с виртуальной сетью) Можно развернуть гибкий сервер в виртуальная сеть Azure. Виртуальные сети Azure используют частное и безопасное сетевое подключение. Это позволит ресурсам в виртуальной сети взаимодействовать через частные IP-адреса.
Примечание.
После развертывания сервера с общедоступным или частным доступом (через интеграцию с виртуальной сетью) невозможно изменить режим подключения. Но в режиме общедоступного доступа можно включить или отключить частные конечные точки по мере необходимости, а также отключить общедоступный доступ при необходимости.
Выбор параметра сети
Выберите общедоступный доступ (разрешенные IP-адреса) и метод частной конечной точки , если вам нужны следующие возможности:
- Подключение из ресурсов Azure без поддержки виртуальной сети
- Подключение из ресурсов за пределами Azure, которые не подключены VPN или ExpressRoute
- Гибкий сервер доступен через общедоступную конечную точку и может быть доступен через авторизованные интернет-ресурсы. При необходимости общедоступный доступ можно отключить.
- Возможность настройки частных конечных точек для доступа к серверу с узлов в виртуальной сети (виртуальная сеть)
Выберите частный доступ (интеграция с виртуальной сетью), если вам нужны следующие возможности:
- Подключение на гибкий сервер из ресурсов Azure в одной виртуальной сети или одноранговой виртуальной сети без необходимости настройки частной конечной точки
- Использование VPN или ExpressRoute для подключения к гибкому серверу со стороны ресурсов, не относящихся к Azure.
- Отсутствие общедоступной конечной точки
Если вы решили использовать частный доступ или параметр общего доступа, применяются следующие характеристики.
- Подключение с разрешенных IP-адресов необходимо пройти проверку подлинности в База данных Azure для MySQL гибком экземпляре сервера с допустимыми учетными данными.
- Шифрование подключения доступно для сетевого трафика
- Сервер имеет полное доменное имя (FQDN). Мы рекомендуем использовать полное доменное имя вместо IP-адреса для свойства имени узла в строка подключения.
- Оба параметра управляют доступом на уровне сервера, а не на уровне базы данных или таблицы. Свойства ролей MySQL используются для управления доступом к базе данных, таблице и другим объектам.
Неподдерживаемые сценарии виртуальной сети
- Общедоступная конечная точка (или общедоступный IP-адрес, или DNS): гибкий сервер, развернутый в виртуальной сети, не может использовать общедоступную конечную точку.
- После развертывания гибкого сервера в виртуальной сети или подсети его нельзя переместить в другую виртуальную сеть или подсеть.
- После развертывания гибкого сервера невозможно переместить виртуальную сеть, которую гибкий сервер использует в другую группу ресурсов или подписку.
- Размер подсети (диапазон адресов) невозможно увеличить после размещения ресурсов в подсети.
- После создания сервера не допускается переход с общедоступного на частный доступ. Рекомендуется использовать восстановление на определенный момент времени.
Примечание.
Если вы используете пользовательский DNS-сервер, необходимо использовать сервер пересылки DNS для разрешения полного доменного имени экземпляра База данных Azure для MySQL гибкого сервера. Дополнительные сведения см. в разделе "Разрешение имен", которое использует DNS-сервер.
Hostname (Имя узла)
Независимо от параметра сети рекомендуется использовать полное доменное имя (FQDN) <servername>.mysql.database.azure.com в строка подключения при подключении к База данных Azure для MySQL гибкому экземпляру сервера. IP-адрес сервера необязательно должен быть статическим. Использование полного доменного имени поможет избежать внесения изменений в строку подключения.
Пример, использующий полное доменное имя в качестве имени узла, — имя узла = servername.mysql.database.azure.com. По возможности избегайте использования имени узла = 10.0.0.4 (частный адрес) или имени узла = 40.2.45.67 (общедоступный адрес).
TLS и SSL
База данных Azure для MySQL гибкий сервер поддерживает подключение клиентских приложений к База данных Azure для MySQL гибкому экземпляру сервера с помощью протокола SSL с шифрованием TLS. TLS — это стандартный для отрасли протокол, обеспечивающий шифрование сетевых подключений между сервером базы данных и клиентскими приложениями, что позволяет обеспечить соответствие нормативным требованиям.
База данных Azure для MySQL гибкий сервер поддерживает зашифрованные подключения с помощью протокола TLS 1.2 по умолчанию, а все входящие подключения с TLS 1.0 и TLS 1.1 по умолчанию запрещены. Конфигурация принудительного применения шифрования или версии TLS на гибком сервере может быть настроена и изменена.
Ниже приведены различные конфигурации параметров SSL и TLS, которые можно использовать для гибкого сервера.
| Сценарий | Параметры сервера | Description |
|---|---|---|
| Отключить SSL (зашифрованные соединения) | require_secure_transport = OFF | Если устаревшее приложение не поддерживает зашифрованные подключения к База данных Azure для MySQL гибкому экземпляру сервера, вы можете отключить принудительное применение зашифрованных подключений к гибкому серверу, задав require_secure_transport=OFF. |
| Применение SSL с TLS версии ниже 1.2 | require_secure_transport = ON и tls_version = TLS 1.0 или TLS 1.1 | Если устаревшее приложение поддерживает зашифрованные подключения, но требует tls версии < 1.2, вы можете включить зашифрованные подключения, но настроить гибкий сервер для разрешения подключений с версией TLS (версии 1.0 или версии 1.1), поддерживаемой приложением. |
| Принудительное использование SSL с версией TLS = 1.2 (конфигурация по умолчанию) | require_secure_transport = ON и tls_version = TLS 1.2 | Это рекомендуемая конфигурация и конфигурация по умолчанию для гибкого сервера. |
| Принудительное использование SSL с TLS версии = 1.3 (поддерживается с MySQL v 8.0 и более поздних версий) | require_secure_transport = ON и tls_version = TLS 1.3 | Это полезно и рекомендуется для разработки новых приложений |
Примечание.
Изменения шифра SSL на гибком сервере не поддерживаются. Наборы шифров FIPS применяются по умолчанию, если для tls_version задано значение TLS версии 1.2. Для версий TLS, отличных от версии 1.2, для шифра SSL заданы параметры по умолчанию, которые входят в состав установщика от сообщества MySQL.
Дополнительные сведения см. в статье Подключение с помощью SSL/TLS.
Следующие шаги
- Узнайте, как включить закрытый доступ (интеграция с виртуальной сетью) с помощью портала Azure или Azure CLI.
- Узнайте, как включить открытый доступ (разрешенные IP-адреса) с помощью портала Azure или Azure CLI.
- Узнайте, как настроить приватный канал для гибкого сервера База данных Azure для MySQL из портал Azure.