Privat nätverksåtkomst för Azure Database for MySQL – flexibel server
GÄLLER FÖR: Azure Database for MySQL – flexibel server
I den här artikeln beskrivs alternativet för privat anslutning för Azure MySQL – flexibel server. I detalj lär du dig begreppen för virtuella nätverk för Azure Database for MySQL – flexibel server för att skapa en server på ett säkert sätt i Azure.
Privat åtkomst (VNet-integrering)
Azure Virtual Network (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Virtual Network integrering (VNet) med Azure Database for MySQL – Flexibel server ger Azure fördelar med nätverkssäkerhet och isolering.
Virtual Network integrering (VNet) för en Azure Database for MySQL – Flexibel server gör att du kan låsa åtkomsten till servern till endast din virtuella nätverksinfrastruktur. Ditt virtuella nätverk (VNet) kan innehålla alla program- och databasresurser i ett enda virtuellt nätverk eller sträcka sig över olika virtuella nätverk i samma region eller en annan region. Sömlös anslutning mellan olika virtuella nätverk kan upprättas genom peering, som använder Microsofts privata staminfrastruktur med låg latens och hög bandbredd. De virtuella nätverken visas som ett för anslutningsändamål.
Azure Database for MySQL – Flexibel server stöder klientanslutning från:
- Virtuella nätverk inom samma Azure-region. (lokalt peerkopplade virtuella nätverk)
- Virtuella nätverk i Azure-regioner. (Globala peerkopplade virtuella nätverk)
Med undernät kan du segmentera det virtuella nätverket i ett eller flera undernät och allokera en del av det virtuella nätverkets adressutrymme som du sedan kan distribuera Azure-resurser till. Azure Database for MySQL – Flexibel server kräver ett delegerat undernät. Ett delegerat undernät är en explicit identifierare som ett undernät endast kan vara värd för Azure Database for MySQL – flexibla servrar. Genom att delegera undernätet får tjänsten direkt behörighet att skapa tjänstspecifika resurser för att hantera dina Azure Database for MySQL – flexibel server sömlöst.
Anteckning
Det minsta intervall som du kan ange för ett undernät är /29, som tillhandahåller åtta IP-adresser, varav fem används av Azure internt. För en Azure Database for MySQL – flexibel server skulle du däremot kräva att en IP-adress per nod allokeras från det delegerade undernätet när privat åtkomst är aktiverad. HA-aktiverade servrar skulle behöva två, och icke-HA-servern skulle behöva en IP-adress. Rekommendationen är att reservera minst 2 IP-adresser per flexibel server, med tanke på att vi kan aktivera alternativ för hög tillgänglighet senare.
Azure Database for MySQL: Flexibel server integreras med Azure Privat DNS-zoner för att tillhandahålla en tillförlitlig och säker DNS-tjänst för att hantera och matcha domännamn i ett virtuellt nätverk utan att du behöver lägga till en anpassad DNS-lösning. En privat DNS-zon kan länkas till ett eller flera virtuella nätverk genom att skapa virtuella nätverkslänkar
I diagrammet ovan,
- Flexibla servrar matas in i ett delegerat undernät – 10.0.1.0/24 av VNET VNet-1.
- Program som distribueras i olika undernät i samma virtuella nätverk kan komma åt de flexibla servrarna direkt.
- Program som distribueras på ett annat VNET VNet-2 har inte direkt åtkomst till flexibla servrar. Innan de kan komma åt den flexibla servern måste du utföra en privat VNET-peering i DNS-zonen.
Begrepp för virtuella nätverk
Här följer några begrepp som du bör känna till när du använder virtuella nätverk med flexibla MySQL-servrar.
Virtuellt nätverk -
Ett Azure Virtual Network (VNet) innehåller ett privat IP-adressutrymme som konfigurerats för din användning. Gå till översikten över Azure Virtual Network om du vill veta mer om virtuella Azure-nätverk.
Ditt virtuella nätverk måste finnas i samma Azure-region som din flexibla server.
Delegerat undernät -
Ett virtuellt nätverk innehåller undernät (undernät). Med undernät kan du segmentera ditt virtuella nätverk i mindre adressutrymmen. Azure-resurser distribueras till specifika undernät i ett virtuellt nätverk.
Din flexibla MySQL-server måste finnas i ett undernät som endast är delegerat för flexibel MySQL-server. Den här delegeringen innebär att endast Azure Database for MySQL – flexibla servrar kan använda det undernätet. Inga andra Azure-resurstyper kan finnas i det delegerade undernätet. Du delegerar ett undernät genom att tilldela dess delegeringsegenskap till Microsoft.DBforMySQL/flexibleServers.
Nätverkssäkerhetsgrupper (NSG)
Med säkerhetsregler i nätverkssäkerhetsgrupper kan du filtrera vilken typ av nätverkstrafik som kan flöda in i och ut ur virtuella nätverk, undernät och nätverksgränssnitt. Mer information finns i översikten över nätverkssäkerhetsgrupper .
Privat DNS zonintegrering
Med integrering av privat DNS-zon i Azure kan du matcha den privata DNS i det aktuella virtuella nätverket eller ett peer-kopplat virtuellt nätverk i regionen där den privata DNS-zonen är länkad.
Peering för virtuella nätverk
Med peering för virtuella nätverk kan du ansluta två eller flera virtuella nätverk i Azure sömlöst. De peerkopplade virtuella nätverken visas som ett för anslutningsändamål. Trafiken mellan virtuella datorer i peerkopplade virtuella nätverk använder Microsofts stamnätsinfrastruktur. Trafiken mellan klientprogrammet och den flexibla servern i peerkopplade virtuella nätverk dirigeras endast via Microsofts privata nätverk och är isolerad till det nätverket.
Använda Privat DNS zon
Om du använder Azure Portal eller Azure CLI för att skapa flexibla servrar med VNET, etableras en ny privat DNS-zon som slutar med
mysql.database.azure.com
automatiskt per server i din prenumeration med det servernamn som angetts. Om du vill konfigurera en egen privat DNS-zon med den flexibla servern kan du läsa dokumentationen om den privata DNS-översikten .Om du använder Azure API, en Azure Resource Manager-mall (ARM-mall) eller Terraform skapar du privata DNS-zoner som slutar med
mysql.database.azure.com
och använder dem samtidigt som du konfigurerar flexibla servrar med privat åtkomst. Mer information finns i översikten över den privata DNS-zonen.Viktigt
Privat DNS zonnamn måste sluta med
mysql.database.azure.com
. Om du ansluter till en Azure Database for MySQL flexibel server med SSL och du använder ett alternativ för att utföra fullständig verifiering (sslmode=VERIFY_IDENTITY) med certifikatets ämnesnamn använder <du servername.mysql.database.azure.com> i anslutningssträngen.
Lär dig hur du skapar en flexibel server med privat åtkomst (VNet-integrering) i Azure Portal eller Azure CLI.
Integrering med en anpassad DNS-server
Om du använder den anpassade DNS-servern måste du använda en DNS-vidarebefordrare för att matcha FQDN för Azure Database for MySQL – flexibel server. Ip-adressen för vidarebefordraren ska vara 168.63.129.16. Den anpassade DNS-servern ska finnas i det virtuella nätverket eller kunna nås via det virtuella nätverkets DNS-serverinställning. Mer information finns i namnmatchning som använder DNS-servern .
Viktigt
För lyckad etablering av den flexibla servern, även om du använder en anpassad DNS-server, får du inte blockera DNS-trafik till AzurePlatformDNS med hjälp av NSG.
Privat DNS zon och VNET-peering
Privat DNS zoninställningar och VNET-peering är oberoende av varandra. Mer information om hur du skapar och använder Privat DNS zoner finns i avsnittet Använda Privat DNS zon.
Om du vill ansluta till den flexibla servern från en klient som är etablerad i ett annat virtuellt nätverk från samma region eller en annan region måste du länka den privata DNS-zonen till det virtuella nätverket. Se hur du länkar dokumentationen för det virtuella nätverket .
Anteckning
Privat DNS zonnamn som slutar med mysql.database.azure.com
kan bara länkas.
Ansluta från en lokal server till en flexibel server i en Virtual Network med ExpressRoute eller VPN
För arbetsbelastningar som kräver åtkomst till en flexibel server i ett virtuellt nätverk från ett lokalt nätverk behöver du ett ExpressRoute - eller VPN-nätverk och ett virtuellt nätverk som är anslutet till det lokala nätverket. När den här konfigurationen är på plats behöver du en DNS-vidarebefordrare för att matcha det flexibla servernamnet om du vill ansluta från klientprogram (till exempel MySQL Workbench) som körs i ett lokalt virtuellt nätverk. DNS-vidarebefordraren ansvarar för att matcha alla DNS-frågor via en vidarebefordrare på servernivå till DNS-tjänsten som tillhandahålls av Azure, 168.63.129.16.
För att konfigurera korrekt behöver du följande resurser:
- Lokalt nätverk
- MySQL – flexibel server etablerad med privat åtkomst (VNet-integrering)
- Virtuellt nätverk som är anslutet till en lokal plats
- Använda DNS-vidarebefordraren 168.63.129.16 som distribuerats i Azure
Du kan sedan använda det flexibla servernamnet (FQDN) för att ansluta från klientprogrammet i peer-kopplat virtuellt nätverk eller lokalt nätverk till en flexibel server.
Anteckning
Vi rekommenderar att du använder det fullständigt kvalificerade domännamnet (FQDN) <servername>.mysql.database.azure.com
i anslutningssträngar när du ansluter till din flexibla server. Serverns IP-adress är inte garanterad förblir statisk. Om du använder FQDN kan du undvika att göra ändringar i anslutningssträngen.
Scenarier för virtuella nätverk som inte stöds
- Offentlig slutpunkt (eller offentlig IP eller DNS) – En flexibel server som distribueras till ett virtuellt nätverk kan inte ha en offentlig slutpunkt
- När den flexibla servern har distribuerats till ett virtuellt nätverk och undernät kan du inte flytta den till ett annat virtuellt nätverk eller undernät. Du kan inte flytta det virtuella nätverket till en annan resursgrupp eller prenumeration.
- Det går inte att öka undernätets storlek (adressutrymmen) när resurserna finns i undernätet
- Flexibel server stöder inte Private Link. I stället använder den VNet-inmatning för att göra en flexibel server tillgänglig i ett virtuellt nätverk.
Nästa steg
- Lär dig hur du aktiverar privat åtkomst (VNet-integrering) med hjälp av Azure-portalen eller Azure CLI
- Lär dig hur du använder TLS