Delen via

Privékoppeling voor Azure Database for MySQL - flexibele server

  • Artikel

Met Private Link kunt u via een privé-eindpunt verbinding maken met verschillende PaaS-services, zoals azure Database for MySQL flexibele server, in Azure. Met Azure Private Link worden Azure-services binnen uw persoonlijke virtuele network (VNet) geplaatst. Met behulp van het privé-IP-adres is de flexibele MySQL-server net als elke andere resource in het VNet toegankelijk.

Een privé-eindpunt is een privé-IP-adres binnen een specifiek VNet en subnet.

Notitie

Hier volgen enkele voordelen voor het gebruik van de functie private link voor netwerken met azure Database for MySQL flexibele server.

Preventie van gegevensexfiltratie

Gegevensexfiltratie in flexibele Azure Database for MySQL-server is wanneer een geautoriseerde gebruiker, zoals een databasebeheerder, gegevens uit het ene systeem kan extraheren en naar een andere locatie of een ander systeem buiten de organisatie kan verplaatsen. De gebruiker verplaatst bijvoorbeeld de gegevens naar een opslagaccount dat eigendom is van een derde partij.

Met Private Link kunt u nu netwerktoegangsbeheer instellen, zoals NSG's om de toegang tot het privé-eindpunt te beperken. Door afzonderlijke Azure PaaS-resources toe te wijzen aan specifieke privé-eindpunten, is de toegang alleen beperkt tot de aangewezen PaaS-resource. Hierdoor heeft een kwaadwillende gebruiker geen toegang meer tot andere resources dan het geautoriseerde bereik.

On-premises connectiviteit via privé-peering

Wanneer u vanaf on-premises machines verbinding maakt met het openbare eindpunt, moet uw IP-adres worden toegevoegd aan de firewall op IP-niveau met behulp van een firewallregel op serverniveau. Hoewel dit model toegang biedt tot afzonderlijke machines voor ontwikkel- of testworkloads, is het moeilijk om te beheren in een productieomgeving.

Met Private Link kunt u cross-premises toegang tot het privé-eindpunt inschakelen met behulp van Express Route (ER), privépeering of VPN-tunnel. Vervolgens kunnen ze alle toegang via een openbaar eindpunt uitschakelen en niet de firewall op basis van IP gebruiken.

Notitie

In sommige gevallen bevinden het exemplaar van de flexibele Azure Database for MySQL-server en het VNet-subnet zich in verschillende abonnementen. In deze gevallen moet u de volgende configuraties controleren:

  • Zorg ervoor dat voor beide abonnementen de resourceprovider Microsoft.DBforMySQL/flexibleServers is geregistreerd. Raadpleeg resource-manager-registratie voor meer informatie.

Clients kunnen verbinding maken met het privé-eindpunt vanuit hetzelfde VNet, gekoppeld VNet in dezelfde regio of tussen regio's, of via een VNet-naar-VNet-verbinding tussen regio's. Daarnaast kunnen clients via on-premises verbinding maken met behulp van ExpressRoute, privé peering of VPN-tunneling. Hieronder ziet u een vereenvoudigd diagram waarin de algemene gebruikscases worden weergegeven.

Diagram van private link.

Verbinding maken vanaf een Virtuele Azure-machine in een gekoppeld virtueel netwerk (VNet)

Configureer VNet-peering om verbinding te maken met Azure Database for MySQL vanaf een Azure-VM in een gekoppeld VNet.

Verbinding maken vanaf een Virtuele Azure-machine in een VNet-naar-VNet-omgeving

Configureer VNet-naar-VNet VPN-gatewayverbinding om verbinding te maken met een exemplaar van een flexibele Azure Database for MySQL-server vanaf een Azure-VM in een andere regio of een ander abonnement.

Verbinding maken vanuit een on-premises omgeving via VPN

Als u verbinding wilt maken vanuit een on-premises omgeving met het exemplaar van de flexibele Azure Database for MySQL-server, kiest en implementeert u een van de volgende opties:

Het combineren van Private Link met firewallregels kan leiden tot verschillende scenario's en resultaten:

  • Het exemplaar van de flexibele Azure Database for MySQL-server is niet toegankelijk zonder firewallregels of een privé-eindpunt. De server is niet toegankelijk als alle goedgekeurde privé-eindpunten worden verwijderd of geweigerd en er geen openbare toegang is geconfigureerd.

  • Privé-eindpunten zijn de enige methode om toegang te krijgen tot het exemplaar van de flexibele Azure Database for MySQL-server wanneer openbaar verkeer niet is toegestaan.

  • Verschillende vormen van binnenkomend verkeer worden geautoriseerd op basis van de juiste firewallregels wanneer openbare toegang is ingeschakeld met privé-eindpunten.

Openbare toegang weigeren

U kunt openbare toegang uitschakelen op uw flexibele Azure Database for MySQL-serverexemplaren als u liever alleen vertrouwt op privé-eindpunten voor toegang.

Schermopname van het selectievakje Openbare toegang.

Clients kunnen verbinding maken met de server op basis van de firewallconfiguratie wanneer deze instelling is ingeschakeld. Als deze instelling is uitgeschakeld, zijn alleen verbindingen via privé-eindpunten toegestaan en kunnen gebruikers de firewallregels niet wijzigen.

Notitie

Deze instelling heeft geen invloed op de SSL- en TLS-configuraties voor uw flexibele Server-exemplaar van Azure Database for MySQL.

Raadpleeg Openbare netwerktoegang weigeren in Azure Database for MySQL - Flexible Server met behulp van Azure Portal voor informatie over het instellen van openbare netwerktoegang voor uw exemplaar van Azure Database for MySQL flexibele server in Azure Portal.

Beperking

Wanneer een gebruiker probeert zowel het flexibele serverexemplaren van Azure Database for MySQL als het privé-eindpunt tegelijkertijd te verwijderen, kan er een interne serverfout optreden. Om dit probleem te voorkomen, raden we u aan eerst de privé-eindpunten te verwijderen en vervolgens door te gaan met het verwijderen van het exemplaar van de flexibele Azure Database for MySQL-server na een korte pauze.

Gerelateerde inhoud