Sdílet prostřednictvím

Koncepty připojení a sítě pro flexibilní server Azure Database for MySQL

  • Článek

Tento článek představuje koncepty řízení připojení k instanci flexibilního serveru Azure Database for MySQL. Podrobně se seznámíte se síťovými koncepty flexibilního serveru Azure Database for MySQL, abyste mohli bezpečně vytvářet a přistupovat k serveru v Azure.

Flexibilní server Azure Database for MySQL podporuje tři způsoby konfigurace připojení k vašim serverům:

Poznámka:

Po nasazení serveru s veřejným nebo privátním přístupem (prostřednictvím integrace virtuální sítě) nemůžete změnit režim připojení. V režimu veřejného přístupu ale můžete podle potřeby povolit nebo zakázat privátní koncové body a v případě potřeby také zakázat veřejný přístup.

Volba možnosti sítě

Pokud chcete mít následující možnosti, zvolte veřejný přístup (povolené IP adresy) a metodu privátního koncového bodu :

  • Připojení z prostředků Azure bez podpory virtuální sítě
  • Připojení z prostředků mimo Azure, které nejsou připojené přes VPN nebo ExpressRoute
  • Flexibilní server je přístupný prostřednictvím veřejného koncového bodu a je přístupný prostřednictvím autorizovaných internetových prostředků. V případě potřeby je možné veřejný přístup zakázat.
  • Možnost konfigurovat privátní koncové body pro přístup k serveru z hostitelů ve virtuální síti

Pokud chcete mít následující možnosti, zvolte privátní přístup (integrace virtuální sítě):

  • Připojení k flexibilnímu serveru z prostředků Azure ve stejné virtuální síti nebo partnerské virtuální síti bez nutnosti konfigurace privátního koncového bodu
  • Připojení z prostředků mimo Azure k flexibilnímu serveru pomocí sítě VPN nebo ExpressRoute
  • Žádný veřejný koncový bod

Následující vlastnosti platí bez ohledu na to, jestli se rozhodnete použít privátní přístup nebo možnost veřejného přístupu:

  • Připojení z povolených IP adres se musí ověřit v instanci flexibilního serveru Azure Database for MySQL s platnými přihlašovacími údaji.
  • Šifrování připojení je k dispozici pro síťový provoz.
  • Server má plně kvalifikovaný název domény (fqdn). Místo IP adresy pro vlastnost název hostitele v připojovací řetězec doporučujeme použít plně kvalifikovaný název domény.
  • Obě možnosti řídí přístup na úrovni serveru, ne na úrovni databáze nebo tabulky. Vlastnosti rolí MySQL byste použili k řízení přístupu k databázi, tabulce a dalším objektům.

Nepodporované scénáře virtuálních sítí

  • Veřejný koncový bod (nebo veřejná IP adresa nebo DNS) – Flexibilní server nasazený do virtuální sítě nemůže mít veřejný koncový bod.
  • Po nasazení flexibilního serveru do virtuální sítě a podsítě ji nemůžete přesunout do jiné virtuální sítě nebo podsítě.
  • Po nasazení flexibilního serveru nemůžete přesunout virtuální síť, kterou flexibilní server používá, do jiné skupiny prostředků nebo předplatného.
  • Jakmile v podsíti existují prostředky, není možné zvětšit velikost podsítě (adresní prostory).
  • Změna z veřejného na privátní přístup není po vytvoření serveru povolená. Doporučeným způsobem je použít obnovení k určitému bodu v čase.

Poznámka:

Pokud používáte vlastní server DNS, musíte k překladu plně kvalifikovaného názvu domény instance flexibilního serveru Azure Database for MySQL použít předávač DNS. Další informace najdete v tématu překladu názvů, který používá váš server DNS.

Název hostitele

Bez ohledu na vaši možnost sítě doporučujeme při připojování k instanci flexibilního serveru Azure Database for MySQL použít plně kvalifikovaný název domény (FQDN) <servername>.mysql.database.azure.com v připojovací řetězec. IP adresa serveru není zaručená, že zůstane statická. Použití plně kvalifikovaného názvu domény vám pomůže vyhnout se změnám připojovací řetězec.

Příkladem, který jako název hostitele používá plně kvalifikovaný název domény, je název hostitele = servername.mysql.database.azure.com. Pokud je to možné, nepoužívejte název hostitele = 10.0.0.4 (privátní adresa) nebo název hostitele = 40.2.45.67 (veřejná adresa).

TLS a SSL

Flexibilní server Azure Database for MySQL podporuje připojení klientských aplikací k instanci flexibilního serveru Azure Database for MySQL pomocí protokolu SSL (Secure Sockets Layer) s šifrováním TLS (Transport Layer Security). TLS je standardní oborový protokol, který zajišťuje šifrovaná síťová připojení mezi databázovým serverem a klientskými aplikacemi a umožňuje splnění požadavků na dodržování předpisů.

Flexibilní server Azure Database for MySQL podporuje šifrovaná připojení pomocí protokolu TLS 1.2 (Transport Layer Security) ve výchozím nastavení a všechna příchozí připojení s protokolem TLS 1.0 a TLS 1.1 jsou ve výchozím nastavení odepřena. Konfigurace vynucení šifrovaného připojení nebo verze protokolu TLS na flexibilním serveru je možné nakonfigurovat a změnit.

Následují různé konfigurace nastavení PROTOKOLU SSL a TLS, které můžete mít pro flexibilní server:

Důležité

Podle odebrání podpory protokolů TLS 1.0 a TLS 1.1 od začátku září 2024 už nebudou mít nové servery povoleno používat protokol TLS 1.0 nebo 1.1 a stávající servery nebudou mít povoleno downgradovat na tyto verze. Od poloviny září 2024 zahájíme povinný upgrade všech serverů, které aktuálně používají protokol TLS 1.0 nebo 1.1 na TLS 1.2. Tento proces upgradu se očekává do konce září 2024. Důrazně doporučujeme zákazníkům zajistit, aby jejich aplikace byly plně kompatibilní s protokolem TLS 1.2 před koncem září.

Scénář Nastavení parametrů serveru Popis
Zakázání SSL (šifrovaná připojení) require_secure_transport = VYPNUTO Pokud starší verze aplikace nepodporuje šifrovaná připojení k instanci flexibilního serveru Azure Database for MySQL, můžete vynucení šifrovaných připojení k flexibilnímu serveru zakázat nastavením require_secure_transport=OFF.
Vynucení protokolu SSL s protokolem TLS verze < 1.2 (bude zastaralé v září 2024) require_secure_transport = ZAPNUTO A TLS_VERSION = TLS 1.0 nebo TLS 1.1 Pokud starší verze aplikace podporuje šifrovaná připojení, ale vyžaduje protokol TLS verze < 1.2, můžete povolit šifrovaná připojení, ale nakonfigurovat flexibilní server tak, aby umožňoval připojení s verzí TLS (v1.0 nebo v1.1), kterou vaše aplikace podporuje.
Vynucení protokolu SSL s protokolem TLS verze = 1.2 (výchozí konfigurace) require_secure_transport = ZAPNUTO a TLS_VERSION = TLS 1.2 Toto je doporučená a výchozí konfigurace flexibilního serveru.
Vynucení protokolu SSL s protokolem TLS verze = 1.3 (podporováno v MySQL verze 8.0 a vyšší) require_secure_transport = ZAPNUTO A TLS_VERSION = TLS 1.3 To je užitečné a doporučeno pro vývoj nových aplikací.

Poznámka:

Změny šifrování SSL na flexibilním serveru se nepodporují. Šifrovací sady FIPS se ve výchozím nastavení vynucují, když je tls_version nastavená na TLS verze 1.2. U jiných verzí protokolu TLS než verze 1.2 je šifrování SSL nastavené na výchozí nastavení, která se dodává s instalací komunity MySQL.

Projděte si připojení pomocí protokolu SSL/TLS a zjistěte, jak identifikovat verzi protokolu TLS, kterou používáte.

Související obsah