Udostępnij za pośrednictwem


Pojęcia dotyczące łączności i sieci dla usługi Azure Database for MySQL — serwer elastyczny

W tym artykule przedstawiono pojęcia dotyczące kontrolowania łączności z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Szczegółowe informacje na temat pojęć związanych z siecią dla usługi Azure Database for MySQL — elastyczny serwer służący do tworzenia serwera i uzyskiwania do nich bezpiecznego dostępu na platformie Azure.

Usługa Azure Database for MySQL — elastyczny serwer obsługuje trzy sposoby konfigurowania łączności z serwerami:

Uwaga

Po wdrożeniu serwera z dostępem publicznym lub prywatnym (za pośrednictwem integracji z siecią wirtualną) nie można zmodyfikować trybu łączności. Jednak w trybie dostępu publicznego można włączyć lub wyłączyć prywatne punkty końcowe zgodnie z potrzebami, a także wyłączyć dostęp publiczny w razie potrzeby.

Wybierz opcję sieci

Wybierz opcję Dostęp publiczny (dozwolone adresy IP) i Metodę prywatnego punktu końcowego , jeśli chcesz uzyskać następujące możliwości:

  • Nawiązywanie połączenia z zasobów platformy Azure bez obsługi sieci wirtualnej
  • Nawiązywanie połączenia z zasobów spoza platformy Azure, które nie są połączone za pomocą sieci VPN lub usługi ExpressRoute
  • Serwer elastyczny jest dostępny za pośrednictwem publicznego punktu końcowego i może być dostępny za pośrednictwem autoryzowanych zasobów internetowych. W razie potrzeby można wyłączyć dostęp publiczny.
  • Możliwość konfigurowania prywatnych punktów końcowych w celu uzyskania dostępu do serwera z hostów w sieci wirtualnej

Wybierz pozycję Dostęp prywatny (integracja z siecią wirtualną), jeśli chcesz uzyskać następujące możliwości:

  • Nawiązywanie połączenia z serwerem elastycznym z zasobów platformy Azure w tej samej sieci wirtualnej lub równorzędnej sieci wirtualnej bez konieczności konfigurowania prywatnego punktu końcowego
  • Nawiązywanie połączenia z zasobów spoza platformy Azure z serwerem elastycznym przy użyciu sieci VPN lub usługi ExpressRoute
  • Brak publicznego punktu końcowego

Następujące cechy mają zastosowanie, niezależnie od tego, czy chcesz użyć dostępu prywatnego, czy opcji dostępu publicznego:

  • Połączenia z dozwolonych adresów IP muszą być uwierzytelniane w wystąpieniu serwera elastycznego usługi Azure Database for MySQL z prawidłowymi poświadczeniami
  • Szyfrowanie połączeń jest dostępne dla ruchu sieciowego
  • Serwer ma w pełni kwalifikowaną nazwę domeny (fqdn). Zalecamy użycie nazwy fqdn zamiast adresu IP dla właściwości hostname w parametry połączenia s.
  • Obie opcje kontrolują dostęp na poziomie serwera, a nie na poziomie bazy danych lub tabeli. Właściwości ról programu MySQL służą do kontrolowania dostępu do bazy danych, tabeli i innego obiektu.

Nieobsługiwane scenariusze sieci wirtualnej

  • Publiczny punkt końcowy (lub publiczny adres IP lub DNS) — serwer elastyczny wdrożony w sieci wirtualnej nie może mieć publicznego punktu końcowego.
  • Po wdrożeniu serwera elastycznego w sieci wirtualnej i podsieci nie można przenieść go do innej sieci wirtualnej ani podsieci.
  • Po wdrożeniu serwera elastycznego nie można przenieść sieci wirtualnej używanej przez serwer elastyczny do innej grupy zasobów lub subskrypcji.
  • Nie można zwiększyć rozmiaru podsieci (przestrzeni adresowych), gdy w podsieci istnieją zasoby.
  • Zmiana z dostępu publicznego na prywatny nie jest dozwolona po utworzeniu serwera. Zalecanym sposobem jest użycie przywracania do punktu w czasie.

Uwaga

Jeśli używasz niestandardowego serwera DNS, musisz użyć usługi przesyłania dalej DNS, aby rozpoznać nazwę FQDN wystąpienia serwera elastycznego usługi Azure Database for MySQL. Aby dowiedzieć się więcej, zapoznaj się z tematem rozpoznawania nazw używającym serwera DNS.

Hostname (Nazwa hosta)

Niezależnie od opcji sieci zaleca się użycie w pełni kwalifikowanej nazwy domeny (FQDN) <servername>.mysql.database.azure.com w parametry połączenia podczas nawiązywania połączenia z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Adres IP serwera nie ma gwarancji, że pozostanie statyczny. Użycie nazwy FQDN pomoże uniknąć wprowadzania zmian w parametry połączenia.

Przykładem, który używa nazwy FQDN jako nazwy hosta, jest nazwa hosta = servername.mysql.database.azure.com. Jeśli to możliwe, unikaj używania nazwy hosta = 10.0.0.4 (adresu prywatnego) lub nazwy hosta = 40.2.45.67 (adres publiczny).

Protokoły TLS i SSL

Usługa Azure Database for MySQL — elastyczny serwer obsługuje łączenie aplikacji klienckich z wystąpieniem serwera elastycznego usługi Azure Database for MySQL przy użyciu protokołu SSL (Secure Sockets Layer) z szyfrowaniem TLS (Transport Layer Security). TLS to branżowy protokół będący standardem, który zapewnia szyfrowane połączenia sieciowe między serwerem bazy danych i aplikacjami klienckimi, co pozwala na spełnienie wymagań dotyczących zgodności.

Usługa Azure Database for MySQL — elastyczny serwer obsługuje połączenia szyfrowane przy użyciu protokołu Transport Layer Security (TLS 1.2) domyślnie, a wszystkie połączenia przychodzące z protokołami TLS 1.0 i TLS 1.1 są domyślnie odrzucane. Konfigurację wymuszania szyfrowanego połączenia lub wersji protokołu TLS na serwerze elastycznym można skonfigurować i zmienić.

Poniżej przedstawiono różne konfiguracje ustawień protokołu SSL i TLS, które można mieć dla serwera elastycznego:

Ważne

Zgodnie z usunięciem obsługi protokołów TLS 1.0 i TLS 1.1, począwszy od początku września 2024 r., nowe serwery nie będą już mogły korzystać z protokołu TLS 1.0 lub 1.1, a istniejące serwery nie będą mogły obniżyć do tych wersji. Od połowy września 2024 r. zainicjujemy obowiązkowe uaktualnienie wszystkich serwerów, które obecnie używają protokołu TLS 1.0 lub 1.1 do protokołu TLS 1.2. Ten proces uaktualniania ma zostać ukończony do końca września 2024 r. Zdecydowanie zalecamy, aby klienci upewnili się, że ich aplikacje są w pełni zgodne z protokołem TLS 1.2 przed końcem września.

Scenariusz Ustawienia parametrów serwera opis
Wyłączanie protokołu SSL (szyfrowane połączenia) require_secure_transport = WYŁĄCZONE Jeśli starsza aplikacja nie obsługuje szyfrowanych połączeń z wystąpieniem serwera elastycznego usługi Azure Database for MySQL, możesz wyłączyć wymuszanie zaszyfrowanych połączeń z serwerem elastycznym przez ustawienie require_secure_transport=OFF.
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji < 1.2 (zostanie wycofane we wrześniu 2024 r.) require_secure_transport = ON and tls_version = TLS 1.0 lub TLS 1.1 Jeśli starsza aplikacja obsługuje połączenia szyfrowane, ale wymaga protokołu TLS w wersji < 1.2, możesz włączyć połączenia szyfrowane, ale skonfiguruj serwer elastyczny tak, aby zezwalał na połączenia z wersją protokołu TLS (wersja 1.0 lub v1.1) obsługiwaną przez aplikację
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.2 (konfiguracja domyślna) require_secure_transport = ON and tls_version = TLS 1.2 Jest to zalecana i domyślna konfiguracja serwera elastycznego.
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.3 (obsługiwane w programie MySQL w wersji 8.0 lub nowszej) require_secure_transport = ON and tls_version = TLS 1.3 Jest to przydatne i zalecane w przypadku tworzenia nowych aplikacji

Uwaga

Zmiany szyfrowania SSL na serwerze elastycznym nie są obsługiwane. Zestawy szyfrowania FIPS są domyślnie wymuszane, gdy tls_version jest ustawiona na protokół TLS w wersji 1.2. W przypadku wersji protokołu TLS innych niż wersja 1.2 szyfrowanie SSL jest ustawione na ustawienia domyślne, które są dostarczane z instalacją społeczności mySQL.

Zapoznaj się z artykułem Nawiązywanie połączenia przy użyciu protokołu SSL/TLS , aby dowiedzieć się, jak zidentyfikować używaną wersję protokołu TLS.