你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure Database for MySQL–灵活服务器的专用链接

适用于: Azure Database for MySQL - 灵活服务器

使用专用链接可以通过专用终结点连接到 Azure 中的各种 PaaS 服务,例如 Azure Database for MySQL 灵活服务器。 Azure 专用链接实质上是将 Azure 服务引入专用虚拟网络 (VNet) 中。 使用专用 IP 地址,可以像访问 VNet 中的任何其他资源那样访问 MySQL 灵活服务器。

专用终结点是特定 VNet 和子网中的专用 IP 地址。

注意

  • 只有使用公共访问权限创建的 Azure Database for MySQL 灵活服务器实例能启用专用链接。 了解如何使用 Azure 门户Azure CLI 启用专用终结点。

下面是将网络专用链接功能与 Azure Database for MySQL 灵活服务器配合使用的一些优势。

防止数据外泄

Azure Database for MySQL 灵活服务器中的数据渗透是指已获授权的用户(例如数据库管理员)能够从一个系统提取数据,并将其移到组织外部的其他位置或系统。 例如,该用户将数据移到第三方拥有的存储帐户。

借助专用链接,你现在可以设置 NSG 之类的网络访问控制来限制对专用终结点的访问。 通过将单个 Azure PaaS 资源映射到特定的专用终结点,访问仅限于指定的 PaaS 资源。 这实际上限制了恶意用户访问超出其授权范围的任何其他资源。

通过专用对等互连建立本地连接

当你从本地计算机连接到公共终结点时,必须使用服务器级防火墙规则将 IP 地址添加到基于 IP 的防火墙。 尽管此模型允许对开发或测试工作负荷的单个计算机进行访问,但在生产环境中却难以管理。

借助专用链接,你可以使用 Express Route (ER)、专用对等互连或 VPN 隧道实现对专用终结点的跨界访问。 随后,它们可以禁用通过公共终结点的所有访问,而不使用基于 IP 的防火墙。

注意

在某些情况下,Azure Database for MySQL 灵活服务器实例和 VNet 子网位于不同的订阅中。 在这些情况下,必须确保以下配置:

  • 确保两个订阅都注册了 Microsoft.DBforMySQL/flexibleServers 资源提供程序。 有关详细信息,请参阅资源管理器注册

客户端可以通过以下方式连接到专用终结点:同一 VNet;同一区域中或跨区域的对等互连 VNet;或者跨区域的 VNet 到 VNet 连接。 此外,客户端可以使用 ExpressRoute、专用对等互连或 VPN 隧道从本地进行连接。 以下简化示意图显示了常见用例。

专用链接的示意图。

从对等互连虚拟网络 (VNet) 中的 Azure VM 进行连接

配置 VNet 对等互连,以便从对等互连的 VNet 中的 Azure VM 建立与 Azure Database for MySQL 的连接。

从 VNet 到 VNet 环境中的 Azure VM 进行连接

配置 VNet 到 VNet VPN 网关连接,以便从另一区域或订阅中的 Azure VM 与 Azure Database for MySQL 灵活服务器实例建立连接。

通过 VPN 从本地环境进行连接

若要建立从本地环境到 Azure Database for MySQL 灵活服务器实例的连接,请选择并实施以下选项之一:

结合使用专用链接与防火墙规则会产生以下几种情况和结果:

  • 在没有防火墙规则或专用终结点的情况下,无法访问 Azure Database for MySQL 灵活服务器实例。 如果删除或拒绝所有批准的专用终结点且未配置公共访问,服务器将变得不可访问。

  • 若不允许公共流量,则只能通过专用终结点访问 Azure Database for MySQL 灵活服务器实例。

  • 使用专用终结点启用公共访问时,会根据适当的防火墙规则对不同形式的传入流量进行授权。

拒绝公共访问

如果希望仅依赖专用终结点进行访问,可以在 Azure Database for MySQL 灵活服务器实例上禁用公共访问。

“公共访问”复选框的屏幕截图。

启用此设置后,客户端可以根据防火墙配置连接到服务器。 如果禁用此设置,则仅允许通过专用终结点进行连接,并且用户无法修改防火墙规则。

注意

此设置不会影响 Azure Database for MySQL 灵活服务器的 SSL 和 TLS 配置。

若要了解如何从 Azure 门户为 Azure Database for MySQL 灵活服务器实例设置“拒绝公共网络访问”,请参阅使用 Azure 门户拒绝公共网络访问

限制

当用户尝试同时删除 Azure Database for MySQL 灵活服务器实例和专用终结点时,他们可能会遇到内部服务器错误。 若要避免此问题,建议先删除专用终结点,然后在短暂暂停后继续删除 Azure Database for MySQL 灵活服务器实例。

后续步骤

若要详细了解 Azure Database for MySQL 灵活服务器安全功能,请参阅以下文章: