Поделиться через


Приватный канал для Базы данных Azure для MySQL

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для MySQL — отдельный сервер

Внимание

База данных Azure для MySQL один сервер находится на пути выхода на пенсию. Настоятельно рекомендуется выполнить обновление до База данных Azure для MySQL гибкого сервера. Дополнительные сведения о миграции на гибкий сервер База данных Azure для MySQL см. в статье "Что происходит с одним сервером База данных Azure для MySQL?"

Приватный канал позволяет подключаться к различным службам PaaS в Azure через частную конечную точку. Приватный канал Azure, по сути, предоставляет службы Azure в частной виртуальной сети (VNet). Доступ к ресурсам PaaS можно получить, используя закрытый IP-адрес и любой другой ресурс в виртуальной сети.

Чтобы просмотреть список служб PaaS, поддерживающих функциональность Приватного канала, перейдите к документации по Приватному каналу. Частная конечная точка — это частный IP-адрес в определенной виртуальной сети и подсети.

Примечание.

Возможность "Приватный канал" доступна только для серверов Базы данных Azure для MySQL ценовых категорий "Общего назначения" или "Оптимизированная для операций в памяти". Убедитесь в том, что сервер базы данных находится в одной из этих ценовых категорий.

Предотвращение кражи данных

Кража данных в Базе данных Azure для MySQL возможна тогда, когда полномочный пользователь, например администратор базы данных, может извлекать данные из одной системы и перемещать их в другое расположение или систему за пределами организации. Например, пользователь перемещает данные в учетную запись хранения, принадлежащую третьей стороне.

Рассмотрим сценарий, при котором пользователь использует MySQL Workbench в виртуальной машине Azure, которая подключается к серверу Базы данных Azure для MySQL, подготовленному к работе в западной части США. В приведенном ниже примере показано, как ограничить доступ к общедоступным конечным точкам в БД Azure для MySQL с помощью средств управления доступом к сети.

  • Отключите весь трафик службы Azure к Базе данных Azure для MySQL, проходящий через общедоступную конечную точку, установив для параметра Allow Azure Services (Разрешить использование служб Azure) значение "ВЫКЛ". Убедитесь, что IP-адресам или диапазонам не предоставлен доступ к серверу через правила брандмауэра или конечные точки службы для виртуальной сети.

  • Разрешите трафик в Базу данных Azure для MySQL с использованием только частного IP-адреса виртуальной машины. Подробнее см. в статьях о конечной точке службы и правилах брандмауэра виртуальной сети.

  • На виртуальной машине Azure ограничьте область исходящего подключения, используя группы безопасности сети (NSG) и теги службы, как показано ниже:

    • Укажите правило NSG, разрешающее трафик для тега службы = SQL.WestUs — разрешение подключения к Базе данных Azure для MySQL только в западной части США.
    • Укажите правило NSG (с более высоким приоритетом), чтобы запретить трафик для тега службы = SQL — запрет подключений к Базе данных Azure для MySQL во всех регионах

      .

После завершения настройки виртуальная машина Azure сможет подключаться к Базам данных Azure для MySQL только в регионе "Западная часть США". Но возможность подключения не ограничивается одной Базой данных Azure для MySQL. Виртуальная машина по-прежнему может подключаться к любым Базам данных Azure для MySQL в регионе "Западная часть США", в том числе к базам данных, которые не входят в подписку. Хотя мы сократили область кражи данных в приведенном выше сценарии в определенном регионе, мы не полностью исключили его.

Теперь, используя Приватный канал, вы можете настроить элементы управления доступом к сети, например группы безопасности сети, чтобы ограничить доступ к частной конечной точке. Затем отдельные ресурсы Azure PaaS сопоставляются с конкретными частными конечными точками. В результате злоумышленник внутри организации сможет получить доступ только к сопоставленному ресурсу PaaS (например, к Базе данных Azure для MySQL), поскольку доступ к другим ресурсам будет запрещен.

Локальные подключения через частный пиринг

Если вы подключаетесь к общедоступной конечной точке из локальных компьютеров, ваш IP-адрес необходимо добавить в брандмауэр на основе IP-адресов, используя правило брандмауэра на уровне сервера. Хотя эта модель отлично подходит для предоставления доступа к отдельным компьютерам для рабочих нагрузок разработки или тестирования, управлять ею в рабочей среде сложно.

Используя Приватный канал, вы можете включить перекрестный доступ к частной конечной точке с помощью ExpressRoute (ER), частного пиринга или VPN-туннеля, а затем отключить доступ через общедоступную конечную точку и не использовать брандмауэр на основе IP-адресов.

Примечание.

Иногда база данных Azure для MySQL и подсеть виртуальной сети относятся к разным подпискам. В этих случаях необходимо обеспечить следующую конфигурацию:

  • Убедитесь, что в обеих подписках зарегистрирован поставщик ресурсов Microsoft.DBforMySQL. Дополнительные сведения см. в разделе resource-manager-registration

Процесс создания

Для включения Приватного канала требуются частные конечные точки. Их можно создать, выполнив действия, изложенные в следующих руководствах.

Процесс утверждения

После того как администратор сети создаст частную конечную точку (PE), администратор MySQL сможет управлять подключением частной конечной точки (PEC) к Базе данных Azure для MySQL. Такое разделение обязанностей между администратором сети и администратором базы данных полезно для управления подключением к Базе данных Azure для MySQL.

  • Перейдите к ресурсу сервера Базы данных Azure для MySQL на портале Azure.

    • Выберите подключения частной конечной точки в области слева.
    • Просмотр списка всех подключений к частной конечной точке (PECs)
    • См. соответствующую частную конечную точку (PE)
  • Выберите отдельное PEC из списка, щелкнув его.

  • Администратор сервера MySQL может утвердить или отклонить PEC и при необходимости добавить короткий текст ответа.

  • После утверждения или отклонения в списке отобразится соответствующее состояние вместе с текстом ответа

Клиенты могут подключаться к частной конечной точке из той же виртуальной сети, одноранговой виртуальной сети в том же регионе или между регионами или через подключение типа виртуальная сеть — виртуальная сеть между регионами. Кроме того, клиенты могут подключаться из локальной среды с помощью ExpressRoute, частного пиринга или VPN-туннелирования.

Подключение из виртуальной машины Azure в одноранговой виртуальной сети (VNet)

Настройте пиринг виртуальных сетей, чтобы установить подключение к Базе данных Azure для MySQL из виртуальной машины Azure в одноранговой виртуальной сети.

Подключение из виртуальной машины Azure в среде виртуальных сетей

Настройте ПОДКЛЮЧЕНИЕ VPN-шлюза между виртуальными сетями, чтобы установить подключение к База данных Azure для MySQL из виртуальной машины Azure в другом регионе или подписке.

Подключение из локальной среды через VPN

Чтобы установить подключение из локальной среды к Базе данных Azure для MySQL, выберите и реализуйте один из вариантов:

При использовании Приватного канала совместно с правилами брандмауэра возможны следующие ситуации и результаты.

  • Если не настроить правила брандмауэра, по умолчанию трафик не будет доступен для Базы данных Azure для MySQL.

  • Если вы настраиваете общедоступный трафик или конечную точку службы и создаете частные конечные точки, то для разных типов входящего трафика применяется соответствующий тип правила брандмауэра.

  • Если вы не настраиваете общедоступный трафик или конечную точку службы, но создаете частные конечные точки, База данных Azure для MySQL будет доступна только через частные конечные точки. Если не настроить общедоступный трафик или конечную точку службы после того, как все утвержденные частные конечные точки будут отклонены или удалены, трафик не сможет получить доступ к Базе данных Azure для MySQL.

Запрет общего доступа для Базы данных Azure для MySQL

Если вы хотите использовать для доступа к своей Базе данных Azure для MySQL только частные конечные точки, можно отключить настройку всех общедоступных конечных точек (т. е. правил брандмауэра и конечных точек службы виртуальной сети), настроив параметр Deny Public Network Access (Запрет доступа к общедоступной сети) на сервере базы данных.

Если для этого параметра задано значение ДА, для Базы данных Azure для MySQL будут разрешены только подключения через частные конечные точки. Если для этого параметра установлено значение НЕТ, клиенты могут подключаться к Базе данных Azure для MySQL на основе параметров брандмауэра или конечной точки службы виртуальной сети. Кроме того, после установки значения для параметра "Доступ к частной сети" клиенты не смогут добавлять и (или) обновлять существующие правила брандмауэра и правила конечной точки службы виртуальной сети.

Примечание.

Эта функция доступна во всех регионах Azure, где База данных Azure для MySQL — отдельный сервер поддерживает ценовые категории "Общего назначения" и "Оптимизированная для памяти".

Этот параметр не влияет на конфигурации SSL и TLS для Базы данных Azure для MySQL.

Сведения о настройке запрета доступа к общедоступной сети для Базы данных Azure для MySQL на портале Azure см. в статье Настройка запрета доступа к общедоступной сети.

Следующие шаги

Дополнительные сведения о средствах безопасности Базы данных Azure для MySQL см. в следующих статьях: