Anslut ivitet och nätverksbegrepp för Azure Database for MySQL – flexibel server
GÄLLER FÖR:
Azure Database for MySQL – flexibel server
Den här artikeln beskriver begreppen för att styra anslutningen till din flexibla Azure Database for MySQL-serverinstans. Du lär dig mer i detalj om nätverksbegreppen för en flexibel Azure Database for MySQL-server för att skapa och komma åt en server på ett säkert sätt i Azure.
Azure Database for MySQL – flexibel server har stöd för tre sätt att konfigurera anslutningen till dina servrar:
Offentlig åtkomst Din flexibla server nås via en offentlig slutpunkt. Den offentliga slutpunkten är en DNS-adress som kan matchas offentligt. Frasen "tillåtna IP-adresser" refererar till ett antal IP-adresser som du väljer att ge behörighet att komma åt servern. Dessa behörigheter kallas brandväggsregler.
Privat slutpunkt Du kan använda privata slutpunkter för att tillåta värdar i ett virtuellt nätverk VNet att på ett säkert sätt komma åt data via en privat länk.
Privat åtkomst (VNet-integrering) Du kan distribuera din flexibla server till ditt virtuella Azure-nätverk. Virtuella Azure-nätverk tillhandahåller privat och säker nätverkskommunikation. Resurserna i ett virtuellt nätverk kan kommunicera via privata IP-adresser.
Kommentar
När du har distribuerat en server med offentlig eller privat åtkomst (via VNet-integrering) kan du inte ändra anslutningsläget. Men i läget för offentlig åtkomst kan du aktivera eller inaktivera privata slutpunkter efter behov och även inaktivera offentlig åtkomst om det behövs.
Välj ett nätverksalternativ
Välj Offentlig åtkomst (tillåtna IP-adresser) och Privat slutpunktsmetod om du vill ha följande funktioner:
- Anslut från Azure-resurser utan stöd för virtuella nätverk
- Anslut från resurser utanför Azure som inte är anslutna via VPN eller ExpressRoute
- Den flexibla servern är tillgänglig via en offentlig slutpunkt och kan nås via auktoriserade Internetresurser. Offentlig åtkomst kan inaktiveras om det behövs.
- Möjlighet att konfigurera privata slutpunkter för åtkomst till servern från värdar i ett virtuellt nätverk (VNet)
Välj Privat åtkomst (VNet-integrering) om du vill ha följande funktioner:
- Anslut till din flexibla server från Azure-resurser i samma virtuella nätverk eller ett peer-kopplat virtuellt nätverk utan att behöva konfigurera en privat slutpunkt
- Använda VPN eller ExpressRoute för att ansluta till din flexibla server från icke-Azure-resurser
- Ingen offentlig slutpunkt
Följande egenskaper gäller oavsett om du väljer att använda alternativet privat åtkomst eller offentlig åtkomst:
- Anslut joner från tillåtna IP-adresser måste autentiseras till azure database for MySQL– flexibel serverinstans med giltiga autentiseringsuppgifter
- Anslut jonkryptering är tillgängligt för din nätverkstrafik
- Servern har ett fullständigt domännamn (fqdn). Vi rekommenderar att du använder fqdn i stället för en IP-adress för egenskapen hostname i anslutningssträng s.
- Båda alternativen styr åtkomsten på servernivå, inte på databas- eller tabellnivå. Du skulle använda MySQL:s rollegenskaper för att styra databas, tabell och annan objektåtkomst.
Scenarier för virtuella nätverk som inte stöds
- Offentlig slutpunkt (eller offentlig IP eller DNS) – en flexibel server som distribueras till ett virtuellt nätverk kan inte ha en offentlig slutpunkt.
- När den flexibla servern har distribuerats till ett virtuellt nätverk och undernät kan du inte flytta den till ett annat virtuellt nätverk eller undernät.
- När den flexibla servern har distribuerats kan du inte flytta det virtuella nätverk som den flexibla servern använder till en annan resursgrupp eller prenumeration.
- Det går inte att öka storleken på undernätet (adressutrymmen) när resurser redan finns i undernätet.
- Ändra från Offentlig till Privat åtkomst tillåts inte när servern har skapats. Det rekommenderade sättet är att använda återställning till tidpunkt.
Kommentar
Om du använder den anpassade DNS-servern måste du använda en DNS-vidarebefordrare för att matcha FQDN för Azure Database for MySQL– flexibel serverinstans. Mer information finns i namnmatchning som använder DNS-servern.
Värdnamn
Oavsett nätverksalternativ rekommenderar vi att du använder det fullständigt kvalificerade domännamnet (FQDN) <servername>.mysql.database.azure.com i anslutningssträng när du ansluter till din flexibla Azure Database for MySQL-serverinstans. Serverns IP-adress är inte garanterad att förbli statisk. Med hjälp av FQDN kan du undvika att göra ändringar i din anslutningssträng.
Ett exempel som använder ett FQDN som värdnamn är värdnamn = servername.mysql.database.azure.com. Undvik om möjligt att använda värdnamnet = 10.0.0.4 (en privat adress) eller värdnamnet = 40.2.45.67 (en offentlig adress).
TLS och SSL
Azure Database for MySQL – flexibel server stöder anslutning av klientprogram till Azure Database for MySQL– flexibel serverinstans med hjälp av SSL (Secure Sockets Layer) med TLS-kryptering (Transport Layer Security). TLS är ett branschstandardprotokoll som säkerställer krypterade nätverksanslutningar mellan din databasserver och klientprogram. Det gör att du kan följa efterlevnadskraven.
Azure Database for MySQL – flexibel server stöder krypterade anslutningar med transportnivåsäkerhet (TLS 1.2) som standard, och alla inkommande anslutningar med TLS 1.0 och TLS 1.1 nekas som standard. Konfigurationen av krypterad anslutning eller TLS-version på den flexibla servern kan konfigureras och ändras.
Följande är de olika konfigurationerna av SSL- och TLS-inställningar som du kan ha för din flexibla server:
| Scenario | Inställningar för serverparameter | beskrivning |
|---|---|---|
| Inaktivera SSL (krypterade anslutningar) | require_secure_transport = AV | Om ditt äldre program inte stöder krypterade anslutningar till azure database for MySQL– flexibel serverinstans kan du inaktivera tillämpningen av krypterade anslutningar till den flexibla servern genom att ange require_secure_transport=OFF. |
| Framtvinga SSL med TLS version < 1.2 | require_secure_transport = ON och tls_version = TLS 1.0 eller TLS 1.1 | Om ditt äldre program stöder krypterade anslutningar men kräver TLS version < 1.2 kan du aktivera krypterade anslutningar, men konfigurera din flexibla server för att tillåta anslutningar med TLS-versionen (v1.0 eller v1.1) som stöds av ditt program |
| Framtvinga SSL med TLS-version = 1.2(standardkonfiguration) | require_secure_transport = ON och tls_version = TLS 1.2 | Detta är den rekommenderade och standardkonfigurationen för en flexibel server. |
| Framtvinga SSL med TLS-version = 1.3(Stöds med MySQL v8.0 och senare) | require_secure_transport = ON och tls_version = TLS 1.3 | Detta är användbart och rekommenderas för utveckling av nya program |
Kommentar
Ändringar i SSL-chiffer på den flexibla servern stöds inte. FIPS-chiffersviter tillämpas som standard när tls_version är inställt på TLS version 1.2. För andra TLS-versioner än version 1.2 är SSL-chiffer inställt på standardinställningar som medföljer installation av MySQL-communityn.
Läs mer om hur du ansluter med SSL/TLS .
Nästa steg
- Lär dig hur du aktiverar privat åtkomst (VNet-integrering) med hjälp av Azure-portalen eller Azure CLI
- Lär dig hur du aktiverar offentlig åtkomst (tillåtna IP-adresser) med hjälp av Azure-portalen eller Azure CLI
- Lär dig hur du konfigurerar en privat länk för en flexibel Azure Database for MySQL-server från Azure-portalen.