適用於 MySQL 的 Azure 資料庫私人存取 - 彈性伺服器
適用於:適用於 MySQL 的 Azure 資料庫 - 彈性伺服器
Private Link 可讓您透過私人端點連線到 Azure 中的各種 PaaS 服務,例如適用於 MySQL 的 Azure 資料庫彈性伺服器。 Azure Private Link 基本上會將 Azure 服務帶入私人虛擬網路 (VNet) 內部。 使用私人 IP 位址,MySQL 彈性伺服器就可如同 VNet 內的任何其他資源一樣存取。
私人端點是特定 VNet 和子網內的私人 IP 位址。
注意
- 只能為透過公用存取建立的適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體啟用 Private Link。 了解如何使用 Azure 入口網站或 Azure CLI 啟用私人端點。
適用於 MySQL 彈性伺服器的 Private Link 優點
以下是搭配適用於 MySQL 的 Azure 資料庫彈性伺服器使用網路私人連結功能的一些優點。
資料外流防護
當授權使用者 (例如資料庫管理員) 可以從某個系統擷取資料,並將資料移至組織外部的另一個位置或系統時,適用於 MySQL 的 Azure 資料庫彈性伺服器中就會發生資料外洩。 例如,使用者將資料移至第三方所擁有的儲存體帳戶。
透過 Private Link,您現在可以設定網路存取控制 (例如 NSG) 來限制私人端點的存取。 藉由將個別的 Azure PaaS 資源對應至特定的私人端點,存取權只限於指定的 PaaS 資源。 這會有效地限制惡意使用者存取超出其授權範圍的任何其他資源。
透過私人對等互連的內部部署連線
當您從內部部署機器連線到公用端點時,您的 IP 位址必須透過伺服器層級防火牆規則來新增至以 IP 為基礎的防火牆。 雖然此模型允許存取適用於開發或測試工作負載的個別機器,但難以在生產環境中進行管理。
透過 Private Link,您可以使用 Express Route (ER)、私人對等互連或 VPN 通道來啟用私人端點的跨單位存取。 它們可以接著停用透過公用端點而非使用 IP 型防火牆的所有存取。
注意
在某些案例中,適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體和 VNet 子網路會位於不同訂用帳戶。 在這些情況下,您必須確保下列設定:
- 請確定這兩個訂閱都已註冊 Microsoft.DBforMySQL/flexibleServers 資源提供者。 如需詳細資訊,請參閱 resource-manager-registration。
適用於 MySQL 的 Azure 資料庫彈性伺服器的 Private Link 使用案例
用戶端可以從相同的 VNet、相同區域或跨區域中的對等互連 VNet,或透過跨區域的 VNet 對 VNet 連線來連線到私人端點。 此外,用戶端可以使用 ExpressRoute、私人對等互連或 VPN 通道從內部部署環境進行連線。 以下是一個簡化的圖表,其中顯示常見的使用案例。
從對等互連虛擬網路 (VNet) 中的 Azure VM 進行連線
設定 VNet 對等互連,以從對等互連 VNet 中的 Azure VM 連線到適用於 MySQL 的 Azure 資料庫。
從 VNet 對 VNet 環境中的 Azure VM 進行連線
設定 VNet 對 VNet VPN 閘道連線,以從不同區域或訂用帳戶中的 Azure VM 連線到適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體。
透過 VPN 從內部部署環境連線
若要從內部部署環境連線到適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體,請選擇並實作下列其中一個選項:
Private Link 搭配防火牆規則
結合 Private Link 與防火牆規則可能會導致數種案例和結果:
沒有防火牆規則或私人端點,就無法存取適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體。 如果刪除或拒絕所有已核准的私人端點,且未設定任何公用存取,伺服器就會變成無法存取。
不允許公用流量時,私人端點是存取適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體的唯一方法。
使用私人端點啟用公用存取時,會根據適當的防火牆規則來授權不同形式的連入流量。
拒絕公用存取
如果您偏向只依賴私人端點進行存取,您可以在適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體上停用公用存取。
啟用此設定時,用戶端可以根據防火牆組態連線到伺服器。 如果停用此設定,則只允許透過私人端點的連線,且使用者無法修改防火牆規則。
注意
此設定不會影響適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體的 SSL 和 TLS 組態。
若要了解如何從 Azure 入口網站針對適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體設定 [拒絕公用網路存取],請參閱使用 Azure 入口網站拒絕公用網路存取。
限制
當使用者嘗試同時刪除適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體和私人端點時,他們可能會遇到內部伺服器錯誤。 若要避免此問題,建議您先刪除私人端點,然後在短暫暫停之後繼續刪除適用於 MySQL 的 Azure 資料庫彈性伺服器執行個體。
下一步
若要深入了解適用於 MySQL 的 Azure 資料庫彈性伺服器安全性功能,請參閱下列文章:
若要設定適用於 MySQL 的 Azure 資料庫彈性伺服器的防火牆,請參閱防火牆支援
如需適用於 MySQL 的 Azure 資料庫彈性伺服器連線概觀,請參閱適用於 MySQL 的 Azure 資料庫連線架構