Udostępnij za pośrednictwem


Zarządzanie regułami zapory dla usługi Azure Database for MySQL — serwer elastyczny przy użyciu interfejsu wiersza polecenia platformy Azure

Elastyczny serwer usługi Azure Database for MySQL obsługuje dwie wzajemnie wykluczające się metody łączności sieciowej w celu nawiązania połączenia z serwerem elastycznym. Te dwie opcje są następujące:

  • Dostęp publiczny (dozwolone adresy IP)
  • Dostęp prywatny (integracja z siecią wirtualną)

W tym artykule skoncentrujemy się na tworzeniu wystąpienia elastycznego serwera usługi Azure Database for MySQL z dostępem publicznym (dozwolonymi adresami IP) przy użyciu interfejsu wiersza polecenia platformy Azure. Ten artykuł zawiera omówienie poleceń interfejsu wiersza polecenia platformy Azure, których można użyć do tworzenia, aktualizowania, usuwania, wyświetlania listy i wyświetlania reguł zapory po utworzeniu serwera. W przypadku dostępu publicznego (dozwolonych adresów IP) połączenia z wystąpieniem serwera elastycznego usługi Azure Database for MySQL są ograniczone tylko do dozwolonych adresów IP. Adresy IP klienta muszą być dozwolone w regułach zapory. Aby dowiedzieć się więcej na ten temat, zapoznaj się z tematem Dostęp publiczny (dozwolone adresy IP). Reguły zapory można zdefiniować w momencie tworzenia serwera (zalecane), ale można je również dodać później.

Uruchamianie usługi Azure Cloud Shell

Usługa Azure Cloud Shell to bezpłatna interaktywna powłoka, której można użyć do wykonania kroków opisanych w tym artykule. Udostępnia ona wstępnie zainstalowane i najczęściej używane narzędzia platformy Azure, które są skonfigurowane do użycia na koncie.

Aby otworzyć usługę Cloud Shell, wybierz pozycję Wypróbuj w prawym górnym rogu bloku kodu. Możesz również otworzyć usługę Cloud Shell na osobnej karcie przeglądarki, przechodząc do .https://shell.azure.com/bash Wybierz pozycję Kopiuj , aby skopiować bloki kodu, wklej go w usłudze Cloud Shell, a następnie wybierz Enter , aby go uruchomić.

Jeśli wolisz zainstalować interfejs wiersza polecenia i korzystać z niego lokalnie, ten przewodnik Szybki start wymaga interfejsu wiersza polecenia platformy Azure w wersji 2.0 lub nowszej. Uruchom polecenie az --version, aby dowiedzieć się, jaka wersja jest używana. Jeśli konieczna będzie instalacja lub uaktualnienie, zobacz Instalowanie interfejsu wiersza polecenia platformy Azure.

Wymagania wstępne

Musisz zalogować się do swojego konta przy użyciu polecenia az login . Zanotuj właściwość ID , która odnosi się do identyfikatora subskrypcji dla konta platformy Azure.

az login

Wybierz określoną subskrypcję na koncie przy użyciu polecenia az account set . Zanotuj wartość IDENTYFIKATORa z danych wyjściowych az login , aby użyć jako wartości argumentu subskrypcji w poleceniu . Jeśli masz wiele subskrypcji, wybierz odpowiednią subskrypcję, w ramach której powinny być naliczane opłaty za ten zasób. Aby uzyskać wszystkie subskrypcje, użyj polecenia az account list.

az account set --subscription <subscription id>

Tworzenie reguły zapory podczas serwera elastycznego przy użyciu interfejsu wiersza polecenia platformy Azure

Możesz użyć az mysql flexible-server --public access polecenia , aby utworzyć wystąpienie serwera elastycznego usługi Azure Database for MySQL z dostępem publicznym (dozwolonymi adresami IP) i skonfigurować reguły zapory podczas tworzenia serwera. Możesz użyć przełącznika -public-access , aby udostępnić dozwolone adresy IP, które mogą łączyć się z serwerem. Można podać jeden lub zakres adresów IP, które mają być uwzględnione na liście dozwolonych adresów IP. Zakres adresów IP musi być rozdzielony kreską i nie zawiera żadnych spacji. Istnieją różne opcje tworzenia wystąpienia serwera elastycznego usługi Azure Database for MySQL przy użyciu interfejsu wiersza polecenia platformy Azure, jak pokazano w poniższych przykładach.

Zapoznaj się z dokumentacją referencyjną interfejsu wiersza polecenia platformy Azure, aby uzyskać pełną listę konfigurowalnych parametrów interfejsu wiersza polecenia. Możesz na przykład opcjonalnie określić grupę zasobów w następujących poleceniach.

  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for MySQL z dostępem publicznym i dodaj adres IP klienta, aby mieć dostęp do serwera.

    az mysql flexible-server create --public-access <my_client_ip>
    
  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for MySQL z dostępem publicznym i dodaj zakres adresów IP, aby mieć dostęp do tego serwera.

    az mysql flexible-server create --public-access <start_ip_address-end_ip_address>
    
  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for MySQL z publicznym dostępem i zezwól aplikacjom z adresów IP platformy Azure na łączenie się z serwerem.

    az mysql flexible-server create --public-access 0.0.0.0
    

    Ważne

    Ta opcja umożliwia skonfigurowanie zapory w celu umożliwienia dostępu publicznego z usług i zasobów platformy Azure na tym serwerze, w tym połączeń z subskrypcji innych klientów. Podczas wybierania tej opcji upewnij się, że uprawnienia logowania i użytkownika ograniczają dostęp tylko do autoryzowanych użytkowników.

  • Utwórz wystąpienie serwera elastycznego usługi Azure Database for MySQL z dostępem publicznym i zezwól na cały adres IP.

    az mysql flexible-server create --public-access all
    

    Uwaga

    Powyższe polecenie tworzy regułę zapory z początkowym adresem IP=0.0.0.0, końcowym adresem IP=255.255.255.255 i nie są blokowane żadne adresy IP. Dowolny host w Internecie może uzyskać dostęp do tego serwera. Zdecydowanie zaleca się używanie tej reguły tylko tymczasowo i tylko na serwerach testowych, które nie zawierają poufnych danych.

  • Utwórz elastyczne wystąpienie serwera usługi Azure Database for MySQL z dostępem publicznym i bez adresu IP.

    az mysql flexible-server create --public-access none
    

    Uwaga

    Nie zalecamy tworzenia serwera bez żadnych reguł zapory. Jeśli nie dodasz żadnych reguł zapory, żaden klient nie może nawiązać połączenia z serwerem.

Tworzenie reguły zapory i zarządzanie nią po utworzeniu serwera

Polecenie az mysql flexible-server firewall-rule służy z interfejsu wiersza polecenia platformy Azure do tworzenia, usuwania, wyświetlania i aktualizowania reguł zapory.

Polecenia:

  • create: Utwórz regułę zapory serwera elastycznego usługi Azure Database for MySQL.
  • lista: Wyświetl listę reguł zapory serwera elastycznego usługi Azure Database for MySQL.
  • update: Zaktualizuj regułę zapory serwera elastycznego usługi Azure Database for MySQL.
  • show: Pokaż szczegóły reguły zapory serwera elastycznego usługi Azure Database for MySQL.
  • delete: Usuń regułę zapory serwera elastycznego usługi Azure Database for MySQL.

Zapoznaj się z dokumentacją referencyjną interfejsu wiersza polecenia platformy Azure, aby uzyskać pełną listę konfigurowalnych parametrów interfejsu wiersza polecenia. Na przykład w poniższych poleceniach można opcjonalnie określić grupę zasobów.

Tworzenie reguły zapory

Użyj polecenia , az mysql flexible-server firewall-rule create aby utworzyć nową regułę zapory na serwerze. Aby zezwolić na dostęp do zakresu adresów IP, podaj adres IP jako adresy IP początkowe i końcowe, jak w tym przykładzie.

az mysql flexible-server firewall-rule create --resource-group testGroup --name mydemoserver --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Aby zezwolić na dostęp dla pojedynczego adresu IP, podaj pojedynczy adres IP, jak w tym przykładzie.

az mysql flexible-server firewall-rule create --resource-group testGroup --name mydemoserver --start-ip-address 1.1.1.1

Aby umożliwić aplikacjom z adresów IP platformy Azure łączenie się z wystąpieniem serwera elastycznego usługi Azure Database for MySQL, podaj adres IP 0.0.0.0 jako początkowy adres IP, jak w tym przykładzie.

az mysql flexible-server firewall-rule create --resource-group testGroup --name mydemoserver --start-ip-address 0.0.0.0

Ważne

Ta opcja umożliwia skonfigurowanie zapory w celu umożliwienia dostępu publicznego z usług i zasobów platformy Azure na tym serwerze, w tym połączeń z subskrypcji innych klientów. W przypadku wybrania tej opcji upewnij się, że uprawnienia logowania i użytkownika zezwalają na dostęp tylko uprawnionym użytkownikom.

Po pomyślnych działaniach każde polecenie tworzenia wyświetla szczegóły reguły zapory utworzonej w formacie JSON (domyślnie). Jeśli wystąpi błąd, w wyniku zostanie wyświetlony tekst komunikatu o błędzie.

Wyświetlanie listy reguł zapory

Użyj polecenia , az mysql flexible-server firewall-rule list aby wyświetlić listę istniejących reguł zapory serwera na serwerze. Atrybut nazwy serwera jest określony w przełączniku -name .

az mysql flexible-server firewall-rule list --name mydemoserver

Dane wyjściowe zawierają listę reguł, jeśli istnieją, w formacie JSON (domyślnie). Możesz użyć przełącznika -output tabeli , aby wyświetlić wyniki w bardziej czytelnym formacie tabeli.

az mysql flexible-server firewall-rule list --name mydemoserver --output table

Aktualizowanie reguły zapory

az mysql flexible-server firewall-rule update Użyj polecenia , aby zaktualizować istniejącą regułę zapory na serwerze. Podaj nazwę istniejącej reguły zapory jako dane wejściowe oraz atrybuty początkowego adresu IP i końcowego adresu IP do zaktualizowania.

az mysql flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Po powodzeniu dane wyjściowe polecenia wyświetla szczegółowe informacje o regule zapory zaktualizowanej w formacie JSON (domyślnie). Jeśli wystąpi błąd, dane wyjściowe zawierają zamiast tego tekst komunikatu o błędzie.

Uwaga

Jeśli reguła zapory nie istnieje, polecenie aktualizacji tworzy regułę.

Pokaż szczegóły reguły zapory

Użyj polecenia , az mysql flexible-server firewall-rule show aby wyświetlić istniejące szczegóły reguły zapory z serwera. Podaj nazwę istniejącej reguły zapory jako dane wejściowe.

az mysql flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1

Po powodzeniu dane wyjściowe polecenia zawierają szczegółowe informacje o regule zapory określonej w formacie JSON (domyślnie). Jeśli wystąpi błąd, dane wyjściowe zawierają zamiast tego tekst komunikatu o błędzie.

Usuwanie reguły zapory

Użyj polecenia , az mysql flexible-server firewall-rule delete aby usunąć istniejącą regułę zapory z serwera. Podaj nazwę bieżącej reguły zapory.

az mysql flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1

Po powodzeniu nie ma danych wyjściowych. Po awarii zostanie wyświetlony tekst komunikatu o błędzie.