MySQL için Azure Veritabanı için bağlantı ve ağ kavramları - Esnek Sunucu
ŞUNLAR IÇIN GEÇERLIDIR: 
MySQL için Azure Veritabanı - Esnek Sunucu
Bu makalede, MySQL için Azure Veritabanı Esnek Sunucu örneğiniz ile bağlantıyı denetleme kavramları tanıtılır. Azure'da güvenli bir şekilde sunucu oluşturmak ve bu sunucuya erişmek için MySQL için Azure Veritabanı Esnek Sunucu'ya yönelik ağ kavramlarını ayrıntılı olarak öğreneceksiniz.
MySQL için Azure Veritabanı Esnek Sunucu, sunucularınıza bağlantıyı yapılandırmanın üç yolunu destekler:
Genel erişim Esnek Sunucunuza genel uç nokta üzerinden erişilir. Genel uç nokta, genel olarak çözümlenebilen bir DNS adresidir. "İzin verilen IP adresleri" tümceciği, sunucunuza erişim izni vermeyi seçtiğiniz IP aralığını ifade eder. Bu izinlere güvenlik duvarı kuralları denir.
Özel Uç Nokta Sanal ağ sanal ağındaki konakların verilere Özel Bağlantı üzerinden güvenli bir şekilde erişmesine izin vermek için özel uç noktaları kullanabilirsiniz.
Özel erişim (VNet Tümleştirmesi) Esnek Sunucunuzu Azure Sanal Ağ dağıtabilirsiniz. Azure sanal ağları özel ve güvenli ağ iletişimi sağlar. Sanal ağdaki kaynaklar özel IP adresleri üzerinden iletişim kurabilir.
Not
Genel veya özel erişimli bir sunucu dağıtıldıktan sonra (sanal ağ tümleştirmesi aracılığıyla), bağlantı modunu değiştiremezsiniz. Ancak genel erişim modunda, gerektiğinde özel uç noktaları etkinleştirebilir veya devre dışı bırakabilir ve gerekirse genel erişimi devre dışı bırakabilirsiniz.
Bir ağ seçeneği belirleyin
Aşağıdaki özellikleri istiyorsanız Genel erişim (izin verilen IP adresleri) ve Özel uç nokta yöntemi'ni seçin:
- Sanal ağ desteği olmadan Azure kaynaklarından bağlanma
- VPN veya ExpressRoute ile bağlı olmayan Azure dışındaki kaynaklardan bağlanma
- Esnek Sunucuya genel uç nokta üzerinden erişilebilir ve yetkili İnternet kaynakları üzerinden erişilebilir. Gerekirse genel erişim devre dışı bırakılabilir.
- Sanal ağdaki (VNet) konaklardan sunucuya erişmek için Özel uç noktaları yapılandırma olanağı
Aşağıdaki özellikleri istiyorsanız Özel erişim (VNet tümleştirmesi) seçeneğini belirleyin:
- Özel uç nokta yapılandırmaya gerek kalmadan aynı sanal ağ veya eşlenmiş sanal ağ içindeki Azure kaynaklarından Esnek Sunucunuza bağlanın
- Azure dışı kaynaklardan Esnek Sunucunuza bağlanmak için VPN veya ExpressRoute kullanma
- Genel uç nokta yok
Aşağıdaki özellikler, ister özel erişimi ister genel erişim seçeneğini kullanmayı tercih edin:
- İzin verilen IP adreslerinden gelen bağlantıların geçerli kimlik bilgileriyle MySQL için Azure Veritabanı Esnek Sunucu örneğinde kimlik doğrulamasına sahip olması gerekir
- Ağ trafiğiniz için bağlantı şifrelemesi kullanılabilir
- Sunucunun tam etki alanı adı (fqdn) vardır. bağlantı dizesi s içindeki konak adı özelliği için IP adresi yerine fqdn kullanmanızı öneririz.
- Her iki seçenek de erişimi veritabanı veya tablo düzeyinde değil sunucu düzeyinde denetler. Veritabanı, tablo ve diğer nesne erişimini denetlemek için MySQL'in rol özelliklerini kullanırsınız.
Desteklenmeyen sanal ağ senaryoları
- Genel uç nokta (veya genel IP veya DNS) - Bir sanal ağa dağıtılan Esnek Sunucunun genel uç noktası olamaz.
- Esnek Sunucu bir sanal ağa ve alt ağa dağıtıldıktan sonra başka bir sanal ağa veya alt ağa taşıyamazsınız.
- Esnek Sunucu dağıtıldıktan sonra Esnek Sunucu'nun kullandığı sanal ağı başka bir kaynak grubuna veya aboneliğe taşıyamazsınız.
- Alt ağa kaynaklar yerleştirildikten sonra alt ağ boyutu (adres alanları) artırılamaz.
- Sunucu oluşturulduktan sonra Genel erişimden Özel erişime geçişe izin verilmez. Önerilen yol belirli bir noktaya geri yükleme kullanmaktır.
Not
Özel DNS sunucusu kullanıyorsanız, MySQL için Azure Veritabanı Esnek Sunucu örneğinin FQDN'sini çözümlemek için bir DNS ileticisi kullanmanız gerekir. Daha fazla bilgi edinmek için DNS sunucunuzu kullanan ad çözümlemesine bakın.
Konak adı
Ağ seçeneğiniz ne olursa olsun, MySQL için Azure Veritabanı Esnek Sunucu örneğine bağlanırken bağlantı dizesi'lerde tam etki alanı adını (FQDN) <servername>.mysql.database.azure.com kullanmanızı öneririz. Sunucunun IP adresinin statik kalacağı garanti değildir. FQDN'yi kullanmak, bağlantı dizesi değişiklik yapmaktan kaçınmanıza yardımcı olur.
Ana bilgisayar adı olarak FQDN kullanan bir örnek, konak adı = servername.mysql.database.azure.com'dir. Mümkünse konak adı = 10.0.0.4 (özel adres) veya konak adı = 40.2.45.67 (genel adres) kullanmaktan kaçının.
TLS ve SSL
MySQL için Azure Veritabanı Esnek Sunucu, Aktarım katmanı güvenliği (TLS) şifrelemesi ile Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarınızı MySQL için Azure Veritabanı Esnek Sunucu örneğine bağlamayı destekler. TLS, veritabanı sunucunuz ile istemci uygulamalarınız arasında şifrelenmiş ağ bağlantılarına olanak tanıyan ve uyumluluk gereksinimlerini karşılamanızı sağlayan sektör standardı bir protokoldür.
MySQL için Azure Veritabanı Esnek Sunucu varsayılan olarak Aktarım Katmanı Güvenliği (TLS 1.2) kullanılarak şifrelenmiş bağlantıları destekler ve TLS 1.0 ve TLS 1.1 ile gelen tüm bağlantılar varsayılan olarak reddedilir. Esnek Sunucunuzdaki şifreli bağlantı zorlaması veya TLS sürüm yapılandırması yapılandırılabilir ve değiştirilebilir.
Esnek Sunucunuz için sahip olabileceğiniz ssl ve TLS ayarlarının farklı yapılandırmaları aşağıdadır:
Önemli
Eylül 2024'ün başlarından itibaren TLS 1.0 ve TLS 1.1 Protokolleri için Desteğin Kaldırılmasına göre, yeni sunucuların artık TLS 1.0 veya 1.1 kullanmasına izin verilmeyecek ve mevcut sunucuların bu sürümlere indirilmesine izin verilmeyecek. Eylül 2024'ün ortasından itibaren, şu anda TLS 1.0 veya 1.1 kullanan tüm sunucuların TLS 1.2'ye zorunlu bir yükseltmesini başlatacağız. Bu yükseltme işleminin Eylül 2024 sonuna kadar tamamlanması bekleniyor. Müşterilerin Eylül ayı sonundan önce uygulamalarının TLS 1.2 ile tam olarak uyumlu olduğundan emin olmalarını kesinlikle öneririz.
| Senaryo | Sunucu parametresi ayarları | Açıklama |
|---|---|---|
| SSL'yi devre dışı bırakma (şifreli bağlantılar) | require_secure_transport = KAPALI | Eski uygulamanız MySQL için Azure Veritabanı Esnek Sunucu örneğine şifreli bağlantıları desteklemiyorsa, require_secure_transport=KAPALI ayarını yaparak Esnek Sunucunuza şifreli bağlantıların uygulanmasını devre dışı bırakabilirsiniz. |
| TLS sürüm < 1.2 ile SSL'i zorunlu kılma (Eylül 2024'te kullanım dışı bırakılacak) | require_secure_transport = ON ve tls_version = TLS 1.0 veya TLS 1.1 | Eski uygulamanız şifreli bağlantıları destekliyorsa ancak TLS sürüm < 1.2 gerektiriyorsa, şifrelenmiş bağlantıları etkinleştirebilir, ancak Esnek Sunucunuzu uygulamanız tarafından desteklenen TLS sürümüyle (v1.0 veya v1.1) bağlantılara izin verecek şekilde yapılandırabilirsiniz |
| TLS sürümü = 1.2 (Varsayılan yapılandırma) ile SSL'i zorunlu kılma | require_secure_transport = ON ve tls_version = TLS 1.2 | Bu, Esnek Sunucu için önerilen ve varsayılan yapılandırmadır. |
| TLS sürüm = 1.3 ile SSL'i zorunlu kılma (MySQL v8.0 ve üzeri sürümlerle desteklenir) | require_secure_transport = ON ve tls_version = TLS 1.3 | Bu, yeni uygulama geliştirme için kullanışlıdır ve önerilir |
Not
Esnek Sunucu'da SSL Şifrelemesinde yapılan değişiklikler desteklenmez. TLS_VERSION TLS sürüm 1.2 olarak ayarlandığında FIPS şifreleme paketleri varsayılan olarak zorlanır. 1.2 sürümü dışındaki TLS sürümleri için SSL Şifrelemesi, MySQL topluluk yüklemesi ile birlikte gelen varsayılan ayarlara ayarlanır.
Kullandığınız TLS sürümünü tanımlamayı öğrenmek için SSL/TLS kullanarak bağlanmayı gözden geçirin.
Sonraki adımlar
- Azure portalı veya Azure CLI'yı kullanarak özel erişimi (Sanal ağ tümleştirmesi) nasıl etkinleştirebileceğinizi öğrenin
- Azure portalını veya Azure CLI'yi kullanarak genel erişimi (izin verilen IP adresleri) nasıl etkinleştirebileceğinizi öğrenin
- Azure portalından MySQL için Azure Veritabanı Esnek Sunucu için özel bağlantı yapılandırmayı öğrenin.