Privátní propojení pro flexibilní server Azure Database for MySQL
Private Link umožňuje připojení k různým službám PaaS, jako je flexibilní server Azure Database for MySQL, v Azure prostřednictvím privátního koncového bodu. Azure Private Link v podstatě přináší služby Azure do vaší privátní virtuální sítě. Flexibilní server MySQL je pomocí privátní IP adresy přístupný stejně jako jakýkoli jiný prostředek v rámci virtuální sítě.
Privátní koncový bod je privátní IP adresa v rámci konkrétní virtuální sítě a podsítě.
Poznámka:
- Povolení služby Private Link je možné výhradně pro instance flexibilního serveru Azure Database for MySQL vytvořené s veřejným přístupem. Zjistěte, jak pomocí flexibilního serveru Azure Database for MySQL povolit privátní koncový bod pomocí webu Create and manage Private Link pro flexibilní server Azure Database for MySQL pomocí portálu nebo vytvoření a správy privátního propojení pro flexibilní server Azure Database for MySQL pomocí Azure CLI.
Výhody flexibilního serveru Private Link for MySQL
Tady jsou některé výhody použití funkce privátního propojení sítě s flexibilním serverem Azure Database for MySQL.
Prevence exfiltrace dat
Exfiltrace dat na flexibilním serveru Azure Database for MySQL je, když autorizovaný uživatel, například správce databáze, může extrahovat data z jednoho systému a přesunout je do jiného umístění nebo systému mimo organizaci. Uživatel například přesune data do účtu úložiště vlastněného třetí stranou.
Pomocí služby Private Link teď můžete nastavit řízení přístupu k síti, jako jsou skupiny zabezpečení sítě, a omezit tak přístup k privátnímu koncovému bodu. Mapováním jednotlivých prostředků Azure PaaS na konkrétní privátní koncové body je přístup omezen výhradně na určený prostředek PaaS. Tím se uživateli se zlými úmysly znepřístupní jakýkoli jiný prostředek nad rámec jeho autorizovaného rozsahu.
Místní připojení přes privátní partnerský vztah
Když se připojíte k veřejnému koncovému bodu z místních počítačů, musíte ip adresu přidat do brány firewall založené na PROTOKOLU IP pomocí pravidla brány firewall na úrovni serveru. I když tento model umožňuje přístup k jednotlivým počítačům pro vývojové nebo testovací úlohy, je obtížné je spravovat v produkčním prostředí.
Pomocí služby Private Link můžete povolit přístup mezi místními sítěmi k privátnímu koncovému bodu pomocí ExpressRoute (ER), privátního partnerského vztahu nebo tunelu VPN. Pak můžou zakázat veškerý přístup přes veřejný koncový bod a nepoužívat bránu firewall založenou na PROTOKOLU IP.
Poznámka:
V některých případech se instance flexibilního serveru Azure Database for MySQL a podsíť virtuální sítě nacházejí v různých předplatných. V těchto případech musíte zajistit následující konfigurace:
- Ujistěte se, že obě předplatná mají zaregistrovaného poskytovatele prostředků Microsoft.DBforMySQL/flexibleServers . Další informace najdete v tématu registrace resource-manageru.
Případy použití private linku pro flexibilní server Azure Database for MySQL
Klienti se můžou připojit k privátnímu koncovému bodu ze stejné virtuální sítě, partnerské virtuální sítě ve stejné oblasti nebo napříč oblastmi nebo prostřednictvím připojení typu VNet-to-VNet napříč oblastmi. Klienti se navíc můžou připojit z místního prostředí pomocí ExpressRoute, privátního partnerského vztahu nebo tunelového propojení VPN. Níže je zjednodušený diagram znázorňující běžné případy použití.
Připojení z virtuálního počítače Azure v partnerské virtuální síti (VNet)
Nakonfigurujte partnerský vztah virtuálních sítí tak, aby navazoval připojení ke službě Azure Database for MySQL z virtuálního počítače Azure v partnerské virtuální síti.
Připojení z virtuálního počítače Azure v prostředí VNet-to-VNet
Nakonfigurujte připojení brány VPN typu VNet-to-VNet k navázání připojení k instanci flexibilního serveru Azure Database for MySQL z virtuálního počítače Azure v jiné oblasti nebo předplatném.
Připojení z místního prostředí přes SÍŤ VPN
Pokud chcete navázat připojení z místního prostředí k instanci flexibilního serveru Azure Database for MySQL, zvolte a implementujte jednu z těchto možností:
Private Link v kombinaci s pravidly firewallu
Kombinace služby Private Link s pravidly brány firewall může vést k několika scénářům a výsledkům:
Instance flexibilního serveru Azure Database for MySQL je nepřístupná bez pravidel brány firewall nebo privátního koncového bodu. Pokud jsou všechny schválené privátní koncové body odstraněné nebo odmítnuté a není nakonfigurovaný žádný veřejný přístup, stane se server nepřístupný.
Privátní koncové body jsou jediným způsobem přístupu k instanci flexibilního serveru Azure Database for MySQL, když je veřejný provoz zakázán.
Různé formy příchozího provozu jsou autorizované na základě příslušných pravidel brány firewall, pokud je povolený veřejný přístup s privátními koncovými body.
Odepřít veřejný přístup
Veřejný přístup k instanci flexibilního serveru Azure Database for MySQL můžete zakázat, pokud chcete pro přístup spoléhat výhradně na privátní koncové body.
Klienti se můžou připojit k serveru na základě konfigurace brány firewall, když je toto nastavení povolené. Pokud je toto nastavení zakázané, jsou povolena pouze připojení prostřednictvím privátních koncových bodů a uživatelé nemůžou upravovat pravidla brány firewall.
Poznámka:
Toto nastavení nemá vliv na konfigurace SSL a TLS pro instanci flexibilního serveru Azure Database for MySQL.
Informace o nastavení přístupu k veřejné síti pro instanci flexibilního serveru Azure Database for MySQL na webu Azure Portal najdete v tématu Odepření přístupu k veřejné síti ve službě Azure Database for MySQL pomocí webu Azure Portal.
Omezení
Když se uživatel pokusí současně odstranit instanci flexibilního serveru Azure Database for MySQL i privátní koncový bod, může dojít k vnitřní chybě serveru. Pokud se chcete tomuto problému vyhnout, doporučujeme nejprve odstranit privátní koncové body a pak pokračovat v odstranění instance flexibilního serveru Azure Database for MySQL po krátké pauzě.