Pojęcia dotyczące łączności i sieci dla usługi Azure Database for MySQL — serwer elastyczny
W tym artykule przedstawiono pojęcia dotyczące kontrolowania łączności z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Szczegółowe informacje na temat pojęć związanych z siecią dla usługi Azure Database for MySQL — elastyczny serwer służący do tworzenia serwera i uzyskiwania do nich bezpiecznego dostępu na platformie Azure.
Usługa Azure Database for MySQL — elastyczny serwer obsługuje trzy sposoby konfigurowania łączności z serwerami:
Dostęp do sieci publicznej dla usługi Azure Database for MySQL — serwer elastyczny Serwer elastyczny jest dostępny za pośrednictwem publicznego punktu końcowego. Publiczny punkt końcowy jest publicznie rozpoznawalnym adresem DNS. Fraza "dozwolone adresy IP" odnosi się do zakresu adresów IP, które chcesz udzielić uprawnień dostępu do serwera. Te uprawnienia są nazywane regułami zapory.
Prywatny punkt końcowy Możesz użyć prywatnych punktów końcowych, aby umożliwić hostom w sieci wirtualnej bezpieczny dostęp do danych za pośrednictwem usługi Private Link.
Dostęp do sieci prywatnej przy użyciu integracji sieci wirtualnej dla usługi Azure Database for MySQL — serwer elastyczny Można wdrożyć serwer elastyczny w sieci wirtualnej platformy Azure. Sieci wirtualne platformy Azure zapewniają prywatną i bezpieczną komunikację sieci. Zasoby w sieci wirtualnej mogą komunikować się za pośrednictwem prywatnych adresów IP.
Uwaga
Po wdrożeniu serwera z dostępem publicznym lub prywatnym (za pośrednictwem integracji z siecią wirtualną) nie można zmodyfikować trybu łączności. Jednak w trybie dostępu publicznego można włączyć lub wyłączyć prywatne punkty końcowe zgodnie z potrzebami, a także wyłączyć dostęp publiczny w razie potrzeby.
Wybierz opcję sieci
Wybierz opcję Dostęp publiczny (dozwolone adresy IP) i Metodę prywatnego punktu końcowego , jeśli chcesz uzyskać następujące możliwości:
- Nawiązywanie połączenia z zasobów platformy Azure bez obsługi sieci wirtualnej
- Nawiązywanie połączenia z zasobów spoza platformy Azure, które nie są połączone za pomocą sieci VPN lub usługi ExpressRoute
- Serwer elastyczny jest dostępny za pośrednictwem publicznego punktu końcowego i może być dostępny za pośrednictwem autoryzowanych zasobów internetowych. W razie potrzeby można wyłączyć dostęp publiczny.
- Możliwość konfigurowania prywatnych punktów końcowych w celu uzyskania dostępu do serwera z hostów w sieci wirtualnej
Wybierz pozycję Dostęp prywatny (integracja z siecią wirtualną), jeśli chcesz uzyskać następujące możliwości:
- Nawiązywanie połączenia z serwerem elastycznym z zasobów platformy Azure w tej samej sieci wirtualnej lub równorzędnej sieci wirtualnej bez konieczności konfigurowania prywatnego punktu końcowego
- Nawiązywanie połączenia z zasobów spoza platformy Azure z serwerem elastycznym przy użyciu sieci VPN lub usługi ExpressRoute
- Brak publicznego punktu końcowego
Następujące cechy mają zastosowanie, niezależnie od tego, czy chcesz użyć dostępu prywatnego, czy opcji dostępu publicznego:
- Połączenia z dozwolonych adresów IP muszą być uwierzytelniane w wystąpieniu serwera elastycznego usługi Azure Database for MySQL z prawidłowymi poświadczeniami
- Szyfrowanie połączeń jest dostępne dla ruchu sieciowego
- Serwer ma w pełni kwalifikowaną nazwę domeny (fqdn). Zalecamy użycie nazwy fqdn zamiast adresu IP dla właściwości hostname w parametry połączenia s.
- Obie opcje kontrolują dostęp na poziomie serwera, a nie na poziomie bazy danych lub tabeli. Właściwości ról programu MySQL służą do kontrolowania dostępu do bazy danych, tabeli i innego obiektu.
Nieobsługiwane scenariusze sieci wirtualnej
- Publiczny punkt końcowy (lub publiczny adres IP lub DNS) — serwer elastyczny wdrożony w sieci wirtualnej nie może mieć publicznego punktu końcowego.
- Po wdrożeniu serwera elastycznego w sieci wirtualnej i podsieci nie można przenieść go do innej sieci wirtualnej ani podsieci.
- Po wdrożeniu serwera elastycznego nie można przenieść sieci wirtualnej używanej przez serwer elastyczny do innej grupy zasobów lub subskrypcji.
- Nie można zwiększyć rozmiaru podsieci (przestrzeni adresowych), gdy w podsieci istnieją zasoby.
- Zmiana z dostępu publicznego na prywatny nie jest dozwolona po utworzeniu serwera. Zalecanym sposobem jest użycie przywracania do punktu w czasie.
Uwaga
Jeśli używasz niestandardowego serwera DNS, musisz użyć usługi przesyłania dalej DNS, aby rozpoznać nazwę FQDN wystąpienia serwera elastycznego usługi Azure Database for MySQL. Aby dowiedzieć się więcej, zapoznaj się z tematem rozpoznawania nazw używającym serwera DNS.
Hostname (Nazwa hosta)
Niezależnie od opcji sieci zaleca się użycie w pełni kwalifikowanej nazwy domeny (FQDN) <servername>.mysql.database.azure.com
w parametry połączenia podczas nawiązywania połączenia z wystąpieniem serwera elastycznego usługi Azure Database for MySQL. Adres IP serwera nie ma gwarancji, że pozostanie statyczny. Użycie nazwy FQDN pomoże uniknąć wprowadzania zmian w parametry połączenia.
Przykładem, który używa nazwy FQDN jako nazwy hosta, jest nazwa hosta = servername.mysql.database.azure.com. Jeśli to możliwe, unikaj używania nazwy hosta = 10.0.0.4 (adresu prywatnego) lub nazwy hosta = 40.2.45.67 (adres publiczny).
Protokoły TLS i SSL
Usługa Azure Database for MySQL — elastyczny serwer obsługuje łączenie aplikacji klienckich z wystąpieniem serwera elastycznego usługi Azure Database for MySQL przy użyciu protokołu SSL (Secure Sockets Layer) z szyfrowaniem TLS (Transport Layer Security). TLS to branżowy protokół będący standardem, który zapewnia szyfrowane połączenia sieciowe między serwerem bazy danych i aplikacjami klienckimi, co pozwala na spełnienie wymagań dotyczących zgodności.
Usługa Azure Database for MySQL — elastyczny serwer obsługuje połączenia szyfrowane przy użyciu protokołu Transport Layer Security (TLS 1.2) domyślnie, a wszystkie połączenia przychodzące z protokołami TLS 1.0 i TLS 1.1 są domyślnie odrzucane. Konfigurację wymuszania szyfrowanego połączenia lub wersji protokołu TLS na serwerze elastycznym można skonfigurować i zmienić.
Poniżej przedstawiono różne konfiguracje ustawień protokołu SSL i TLS, które można mieć dla serwera elastycznego:
Ważne
Zgodnie z usunięciem obsługi protokołów TLS 1.0 i TLS 1.1, począwszy od początku września 2024 r., nowe serwery nie będą już mogły korzystać z protokołu TLS 1.0 lub 1.1, a istniejące serwery nie będą mogły obniżyć do tych wersji. Od połowy września 2024 r. zainicjujemy obowiązkowe uaktualnienie wszystkich serwerów, które obecnie używają protokołu TLS 1.0 lub 1.1 do protokołu TLS 1.2. Ten proces uaktualniania ma zostać ukończony do końca września 2024 r. Zdecydowanie zalecamy, aby klienci upewnili się, że ich aplikacje są w pełni zgodne z protokołem TLS 1.2 przed końcem września.
Scenariusz | Ustawienia parametrów serwera | opis |
---|---|---|
Wyłączanie protokołu SSL (szyfrowane połączenia) | require_secure_transport = WYŁĄCZONE | Jeśli starsza aplikacja nie obsługuje szyfrowanych połączeń z wystąpieniem serwera elastycznego usługi Azure Database for MySQL, możesz wyłączyć wymuszanie zaszyfrowanych połączeń z serwerem elastycznym przez ustawienie require_secure_transport=OFF. |
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji < 1.2 (zostanie wycofane we wrześniu 2024 r.) | require_secure_transport = ON and tls_version = TLS 1.0 lub TLS 1.1 | Jeśli starsza aplikacja obsługuje połączenia szyfrowane, ale wymaga protokołu TLS w wersji < 1.2, możesz włączyć połączenia szyfrowane, ale skonfiguruj serwer elastyczny tak, aby zezwalał na połączenia z wersją protokołu TLS (wersja 1.0 lub v1.1) obsługiwaną przez aplikację |
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.2 (konfiguracja domyślna) | require_secure_transport = ON and tls_version = TLS 1.2 | Jest to zalecana i domyślna konfiguracja serwera elastycznego. |
Wymuszanie protokołu SSL przy użyciu protokołu TLS w wersji 1.3 (obsługiwane w programie MySQL w wersji 8.0 lub nowszej) | require_secure_transport = ON and tls_version = TLS 1.3 | Jest to przydatne i zalecane w przypadku tworzenia nowych aplikacji |
Uwaga
Zmiany szyfrowania SSL na serwerze elastycznym nie są obsługiwane. Zestawy szyfrowania FIPS są domyślnie wymuszane, gdy tls_version jest ustawiona na protokół TLS w wersji 1.2. W przypadku wersji protokołu TLS innych niż wersja 1.2 szyfrowanie SSL jest ustawione na ustawienia domyślne, które są dostarczane z instalacją społeczności mySQL.
Zapoznaj się z artykułem Nawiązywanie połączenia przy użyciu protokołu SSL/TLS , aby dowiedzieć się, jak zidentyfikować używaną wersję protokołu TLS.
Powiązana zawartość
- Tworzenie sieci wirtualnych dla usługi Azure Database for MySQL — serwer elastyczny i zarządzanie nimi przy użyciu witryny Azure Portal
- Tworzenie sieci wirtualnych dla usługi Azure Database for MySQL — serwer elastyczny i zarządzanie nimi przy użyciu interfejsu wiersza polecenia platformy Azure
- Zarządzanie regułami zapory dla usługi Azure Database for MySQL — serwer elastyczny przy użyciu witryny Azure Portal
- Zarządzanie regułami zapory dla usługi Azure Database for MySQL — serwer elastyczny przy użyciu interfejsu wiersza polecenia platformy Azure
- Konfigurowanie łącza prywatnego dla usługi Azure Database for MySQL — elastyczny serwer z witryny Azure Portal