Anslutnings- och nätverksbegrepp för Azure Database for MySQL – flexibel server
GÄLLER FÖR: 
Azure Database for MySQL – flexibel server
Den här artikeln beskriver begreppen för att styra anslutningen till din flexibla Azure Database for MySQL-serverinstans. Du lär dig mer i detalj om nätverksbegreppen för en flexibel Azure Database for MySQL-server för att skapa och komma åt en server på ett säkert sätt i Azure.
Azure Database for MySQL – flexibel server har stöd för tre sätt att konfigurera anslutningen till dina servrar:
Offentlig åtkomst Din flexibla server nås via en offentlig slutpunkt. Den offentliga slutpunkten är en DNS-adress som kan matchas offentligt. Frasen "tillåtna IP-adresser" refererar till ett antal IP-adresser som du väljer att ge behörighet att komma åt servern. Dessa behörigheter kallas brandväggsregler.
Privat slutpunkt Du kan använda privata slutpunkter för att tillåta värdar i ett virtuellt nätverk VNet att på ett säkert sätt komma åt data via en privat länk.
Privat åtkomst (VNet-integrering) Du kan distribuera din flexibla server till ditt virtuella Azure-nätverk. Virtuella Azure-nätverk tillhandahåller privat och säker nätverkskommunikation. Resurserna i ett virtuellt nätverk kan kommunicera via privata IP-adresser.
Kommentar
När du har distribuerat en server med offentlig eller privat åtkomst (via VNet-integrering) kan du inte ändra anslutningsläget. Men i läget för offentlig åtkomst kan du aktivera eller inaktivera privata slutpunkter efter behov och även inaktivera offentlig åtkomst om det behövs.
Välj ett nätverksalternativ
Välj Offentlig åtkomst (tillåtna IP-adresser) och Privat slutpunktsmetod om du vill ha följande funktioner:
- Ansluta från Azure-resurser utan stöd för virtuellt nätverk
- Ansluta från resurser utanför Azure som inte är anslutna via VPN eller ExpressRoute
- Den flexibla servern är tillgänglig via en offentlig slutpunkt och kan nås via auktoriserade Internetresurser. Offentlig åtkomst kan inaktiveras om det behövs.
- Möjlighet att konfigurera privata slutpunkter för åtkomst till servern från värdar i ett virtuellt nätverk (VNet)
Välj Privat åtkomst (VNet-integrering) om du vill ha följande funktioner:
- Ansluta till din flexibla server från Azure-resurser i samma virtuella nätverk eller ett peer-kopplat virtuellt nätverk utan att behöva konfigurera en privat slutpunkt
- Använda VPN eller ExpressRoute för att ansluta till din flexibla server från icke-Azure-resurser
- Ingen offentlig slutpunkt
Följande egenskaper gäller oavsett om du väljer att använda alternativet privat åtkomst eller offentlig åtkomst:
- Anslutningar från tillåtna IP-adresser måste autentiseras till azure database for MySQL– flexibel serverinstans med giltiga autentiseringsuppgifter
- Anslutningskryptering är tillgängligt för nätverkstrafiken
- Servern har ett fullständigt domännamn (fqdn). Vi rekommenderar att du använder fqdn i stället för en IP-adress för egenskapen hostname i niska veze s.
- Båda alternativen styr åtkomsten på servernivå, inte på databas- eller tabellnivå. Du skulle använda MySQL:s rollegenskaper för att styra databas, tabell och annan objektåtkomst.
Scenarier för virtuella nätverk som inte stöds
- Offentlig slutpunkt (eller offentlig IP eller DNS) – en flexibel server som distribueras till ett virtuellt nätverk kan inte ha en offentlig slutpunkt.
- När den flexibla servern har distribuerats till ett virtuellt nätverk och undernät kan du inte flytta den till ett annat virtuellt nätverk eller undernät.
- När den flexibla servern har distribuerats kan du inte flytta det virtuella nätverk som den flexibla servern använder till en annan resursgrupp eller prenumeration.
- Det går inte att öka storleken på undernätet (adressutrymmen) när resurser redan finns i undernätet.
- Ändra från Offentlig till Privat åtkomst tillåts inte när servern har skapats. Det rekommenderade sättet är att använda återställning till tidpunkt.
Kommentar
Om du använder den anpassade DNS-servern måste du använda en DNS-vidarebefordrare för att matcha FQDN för Azure Database for MySQL– flexibel serverinstans. Mer information finns i namnmatchning som använder DNS-servern.
Värdnamn
Oavsett nätverksalternativ rekommenderar vi att du använder det fullständigt kvalificerade domännamnet (FQDN) <servername>.mysql.database.azure.com i niska veze när du ansluter till din flexibla Azure Database for MySQL-serverinstans. Serverns IP-adress är inte garanterad att förbli statisk. Med hjälp av FQDN kan du undvika att göra ändringar i dina niska veze.
Ett exempel som använder ett FQDN som värdnamn är värdnamn = servername.mysql.database.azure.com. Undvik om möjligt att använda värdnamnet = 10.0.0.4 (en privat adress) eller värdnamnet = 40.2.45.67 (en offentlig adress).
TLS och SSL
Azure Database for MySQL – flexibel server stöder anslutning av klientprogram till Azure Database for MySQL– flexibel serverinstans med hjälp av SSL (Secure Sockets Layer) med TLS-kryptering (Transport Layer Security). TLS är ett branschstandardprotokoll som säkerställer krypterade nätverksanslutningar mellan din databasserver och klientprogram. Det gör att du kan följa efterlevnadskraven.
Azure Database for MySQL – flexibel server stöder krypterade anslutningar med transportnivåsäkerhet (TLS 1.2) som standard, och alla inkommande anslutningar med TLS 1.0 och TLS 1.1 nekas som standard. Konfigurationen av krypterad anslutning eller TLS-version på den flexibla servern kan konfigureras och ändras.
Följande är de olika konfigurationerna av SSL- och TLS-inställningar som du kan ha för din flexibla server:
Viktigt!
Enligt borttagning av stöd för TLS 1.0- och TLS 1.1-protokollen kommer nya servrar från och med början av september 2024 inte längre att tillåtas använda TLS 1.0 eller 1.1, och befintliga servrar kommer inte att tillåtas nedgradera till dessa versioner. Från och med mitten av september 2024 initierar vi en obligatorisk uppgradering av alla servrar som för närvarande använder TLS 1.0 eller 1.1 till TLS 1.2. Uppgraderingsprocessen förväntas vara klar i slutet av september 2024. Vi rekommenderar starkt att kunderna ser till att deras program är helt kompatibla med TLS 1.2 före slutet av september.
| Scenario | Inställningar för serverparameter | beskrivning |
|---|---|---|
| Inaktivera SSL (krypterade anslutningar) | require_secure_transport = AV | Om ditt äldre program inte stöder krypterade anslutningar till azure database for MySQL– flexibel serverinstans kan du inaktivera tillämpningen av krypterade anslutningar till den flexibla servern genom att ange require_secure_transport=OFF. |
| Framtvinga SSL med TLS version < 1.2 (kommer att bli inaktuell i september 2024) | require_secure_transport = ON och tls_version = TLS 1.0 eller TLS 1.1 | Om ditt äldre program stöder krypterade anslutningar men kräver TLS version < 1.2 kan du aktivera krypterade anslutningar, men konfigurera din flexibla server för att tillåta anslutningar med TLS-versionen (v1.0 eller v1.1) som stöds av ditt program |
| Framtvinga SSL med TLS-version = 1.2(standardkonfiguration) | require_secure_transport = ON och tls_version = TLS 1.2 | Detta är den rekommenderade och standardkonfigurationen för en flexibel server. |
| Framtvinga SSL med TLS-version = 1.3(Stöds med MySQL v8.0 och senare) | require_secure_transport = ON och tls_version = TLS 1.3 | Detta är användbart och rekommenderas för utveckling av nya program |
Kommentar
Ändringar i SSL-chiffer på den flexibla servern stöds inte. FIPS-chiffersviter tillämpas som standard när tls_version är inställt på TLS version 1.2. För andra TLS-versioner än version 1.2 är SSL-chiffer inställt på standardinställningar som medföljer installation av MySQL-communityn.
Läs ansluta med hjälp av SSL/TLS för att lära dig hur du identifierar den TLS-version som du använder .
Nästa steg
- Lär dig hur du aktiverar privat åtkomst (VNet-integrering) med hjälp av Azure-portalen eller Azure CLI
- Lär dig hur du aktiverar offentlig åtkomst (tillåtna IP-adresser) med hjälp av Azure-portalen eller Azure CLI
- Lär dig hur du konfigurerar en privat länk för en flexibel Azure Database for MySQL-server från Azure-portalen.