Dela via

Privat länk för Azure Database for MySQL – flexibel server

  • Artikel

GÄLLER FÖR: Azure Database for MySQL – flexibel server

Med Private Link kan du ansluta till olika PaaS-tjänster, till exempel flexibel Azure Database for MySQL-server, i Azure via en privat slutpunkt. Azure Private Link ger dig tillgång till Azure-tjänster i ditt privata virtuella nätverk (VNet). Med hjälp av den privata IP-adressen är MySQL flexibel server tillgänglig precis som alla andra resurser i det virtuella nätverket.

En privat slutpunkt är en privat IP-adress inom ett specifikt virtuellt nätverk och undernät.

Kommentar

  • Det är exklusivt möjligt att aktivera Private Link för azure database for MySQL-flexibla serverinstanser som skapas med offentlig åtkomst. Lär dig hur du aktiverar privat slutpunkt med hjälp av Azure-portalen eller Azure CLI.

Här följer några fördelar med att använda funktionen privat länk för nätverk med azure database for MySQL – flexibel server.

Dataexfiltreringsskydd

Dataexfiltrering i Azure Database for MySQL – flexibel server är när en behörig användare, till exempel en databasadministratör, kan extrahera data från ett system och flytta dem till en annan plats eller ett annat system utanför organisationen. Användaren flyttar till exempel data till ett lagringskonto som ägs av en tredje part.

Med Private Link kan du nu konfigurera nätverksåtkomstkontroller som NSG:er för att begränsa åtkomsten till den privata slutpunkten. Genom att mappa enskilda Azure PaaS-resurser till specifika privata slutpunkter begränsas åtkomsten enbart till den avsedda PaaS-resursen. Detta begränsar effektivt en skadlig användare från att komma åt andra resurser utanför deras auktoriserade omfång.

Lokal anslutning via privat peering

När du ansluter till den offentliga slutpunkten från lokala datorer måste din IP-adress läggas till i den IP-baserade brandväggen med hjälp av en brandväggsregel på servernivå. Den här modellen ger åtkomst till enskilda datorer för utvecklings- eller testarbetsbelastningar, men det är svårt att hantera i en produktionsmiljö.

Med Private Link kan du aktivera åtkomst mellan platser till den privata slutpunkten med Express Route (ER), privat peering eller VPN-tunnel. De kan sedan inaktivera all åtkomst via en offentlig slutpunkt och inte använda den IP-baserade brandväggen.

Kommentar

I vissa fall finns Azure Database for MySQL flexibel serverinstans och VNet-undernätet i olika prenumerationer. I dessa fall måste du se till att följande konfigurationer:

  • Kontrollera att båda prenumerationerna har resursprovidern Microsoft.DBforMySQL/flexibleServers registrerad. Mer information finns i resource-manager-registration.

Klienter kan ansluta till den privata slutpunkten från samma virtuella nätverk, peer-kopplade virtuella nätverk i samma region eller mellan regioner eller via VNet-till-VNet-anslutning mellan regioner. Dessutom kan klienter ansluta lokalt med ExpressRoute, privat peering eller VPN-tunneltrafik. Nedan visas ett förenklat diagram som visar vanliga användningsfall.

Diagram över privat länk.

Ansluta från en virtuell Azure-dator i peer-kopplat virtuellt nätverk (VNet)

Konfigurera VNet-peering för att upprätta anslutning till Azure Database for MySQL från en virtuell Azure-dator i ett peer-kopplat virtuellt nätverk.

Ansluta från en virtuell Azure-dator i en VNet-till-VNet-miljö

Konfigurera VPN-gatewayanslutning mellan virtuella nätverk för att upprätta anslutning till en flexibel Azure Database for MySQL-serverinstans från en virtuell Azure-dator i en annan region eller prenumeration.

Ansluta från en lokal miljö via VPN

Om du vill upprätta en anslutning från en lokal miljö till azure database for MySQL– flexibel serverinstans väljer du och implementerar något av alternativen:

Att kombinera Private Link med brandväggsregler kan resultera i flera scenarier och resultat:

  • Azure Database for MySQL– flexibel serverinstans är inte tillgänglig utan brandväggsregler eller en privat slutpunkt. Servern blir otillgänglig om alla godkända privata slutpunkter tas bort eller avvisas och ingen offentlig åtkomst har konfigurerats.

  • Privata slutpunkter är det enda sättet att komma åt Azure Database for MySQL flexibel serverinstans när offentlig trafik inte tillåts.

  • Olika former av inkommande trafik auktoriseras baserat på lämpliga brandväggsregler när offentlig åtkomst aktiveras med privata slutpunkter.

Neka offentlig åtkomst

Du kan inaktivera offentlig åtkomst på din flexibla Azure Database for MySQL-serverinstans om du föredrar att enbart förlita dig på privata slutpunkter för åtkomst.

Skärmbild av kryssrutan offentlig åtkomst.

Klienter kan ansluta till servern baserat på brandväggskonfigurationen när den här inställningen är aktiverad. Om den här inställningen är inaktiverad tillåts endast anslutningar via privata slutpunkter och användarna kan inte ändra brandväggsreglerna.

Kommentar

Den här inställningen påverkar inte SSL- och TLS-konfigurationerna för din flexibla Azure Database for MySQL-serverinstans.

Mer information om hur du anger Neka åtkomst till offentligt nätverk för din flexibla Azure Database for MySQL-serverinstans från Azure-portalen finns i Neka åtkomst till offentligt nätverk med hjälp av Azure-portalen.

Begränsning

När en användare försöker ta bort både den flexibla serverinstansen i Azure Database for MySQL och den privata slutpunkten samtidigt kan det uppstå ett internt serverfel. För att undvika det här problemet rekommenderar vi att du tar bort de privata slutpunkterna först och sedan fortsätter att ta bort azure Database for MySQL-instansen för flexibel server efter en kort paus.

Nästa steg

Mer information om säkerhetsfunktioner för flexibel server i Azure Database for MySQL finns i följande artiklar: