Partilhar via

Ligação Privada para a Base de Dados do Azure para MySQL – Servidor Flexível

  • Artigo

O Private Link permite que você se conecte a vários serviços PaaS, como o Banco de Dados do Azure para servidor flexível MySQL, no Azure por meio de um ponto de extremidade privado. O Azure Private Link essencialmente traz os serviços do Azure dentro da sua Rede Privada Virtual (VNet). Usando o endereço IP privado, o servidor flexível MySQL é acessível como qualquer outro recurso dentro da rede virtual.

Um ponto final privado é um endereço IP privado numa VNet e Sub-rede específicas.

Nota

Aqui estão alguns benefícios para usar o recurso de link privado de rede com o Banco de Dados do Azure para o servidor flexível MySQL.

Data exfiltration prevention (Prevenção da transferência de dados não autorizada)

A exfiltração de dados no servidor flexível do Banco de Dados do Azure para MySQL é quando um usuário autorizado, como um administrador de banco de dados, pode extrair dados de um sistema e movê-los para outro local ou sistema fora da organização. Por exemplo, o usuário move os dados para uma conta de armazenamento de propriedade de terceiros.

Com o Private Link, agora você pode configurar controles de acesso à rede, como NSGs, para restringir o acesso ao ponto de extremidade privado. Ao mapear recursos individuais de PaaS do Azure para pontos de extremidade privados específicos, o acesso é limitado apenas ao recurso PaaS designado. Isso efetivamente restringe um usuário mal-intencionado de acessar qualquer outro recurso além de seu escopo autorizado.

Conectividade no local em peering privado

Quando você se conecta ao ponto de extremidade público a partir de máquinas locais, seu endereço IP deve ser adicionado ao firewall baseado em IP usando uma regra de firewall no nível do servidor. Embora esse modelo permita o acesso a máquinas individuais para cargas de trabalho de desenvolvimento ou teste, é difícil de gerenciar em um ambiente de produção.

Com o Private Link, você pode habilitar o acesso entre locais ao ponto de extremidade privado usando a Rota Expressa (ER), o emparelhamento privado ou o túnel VPN. Eles podem então desativar todo o acesso via ponto final público e não usar o firewall baseado em IP.

Nota

Em alguns casos, a instância de servidor flexível do Banco de Dados do Azure para MySQL e a sub-rede VNet estão em assinaturas diferentes. Nesses casos, você deve garantir as seguintes configurações:

  • Verifique se ambas as assinaturas têm o provedor de recursos Microsoft.DBforMySQL/flexibleServers registrado. Para obter mais informações, consulte resource-manager-registration.

Os clientes podem se conectar ao ponto de extremidade privado a partir da mesma VNet, VNet emparelhada na mesma região ou entre regiões, ou via conexão VNet-to-VNet entre regiões. Além disso, os clientes podem se conectar localmente usando a Rota Expressa, emparelhamento privado ou túnel VPN. Abaixo está um diagrama simplificado mostrando os casos de uso comuns.

Diagrama de link privado.

Conectar-se a partir de uma VM do Azure em rede virtual emparelhada (VNet)

Configure o emparelhamento de VNet para estabelecer conectividade com o Banco de Dados do Azure para MySQL a partir de uma VM do Azure em uma VNet emparelhada.

Conectar-se a partir de uma VM do Azure em um ambiente de rede virtual para rede virtual

Configure a conexão de gateway VPN VNet-to-VNet para estabelecer conectividade com uma instância de servidor flexível do Banco de Dados do Azure para MySQL a partir de uma VM do Azure em uma região ou assinatura diferente.

Conecte-se a partir de um ambiente local por VPN

Para estabelecer a conectividade de um ambiente local com a instância flexível do servidor do Banco de Dados do Azure para MySQL, escolha e implemente uma das opções:

A combinação do Private Link com regras de firewall pode resultar em vários cenários e resultados:

  • A instância de servidor flexível do Banco de Dados do Azure para MySQL está inacessível sem regras de firewall ou um ponto de extremidade privado. O servidor torna-se inacessível se todos os pontos de extremidade privados aprovados forem excluídos ou rejeitados e nenhum acesso público estiver configurado.

  • Os pontos de extremidade privados são o único meio de acessar a instância flexível do servidor do Banco de Dados do Azure para MySQL quando o tráfego público não é permitido.

  • Diferentes formas de tráfego de entrada são autorizadas com base em regras de firewall apropriadas quando o acesso público é habilitado com pontos de extremidade privados.

Negar acesso público

Você pode desabilitar o acesso público em sua instância de servidor flexível do Banco de Dados do Azure para MySQL se preferir confiar apenas em pontos de extremidade privados para acesso.

Captura de ecrã da caixa de verificação de acesso público.

Os clientes podem se conectar ao servidor com base na configuração do firewall quando essa configuração está ativada. Se essa configuração estiver desabilitada, somente conexões por meio de pontos de extremidade privados serão permitidas e os usuários não poderão modificar as regras de firewall.

Nota

Essa configuração não afeta as configurações de SSL e TLS para sua instância de servidor flexível do Banco de Dados do Azure para MySQL.

Para saber como definir a instância de servidor flexível Negar Acesso à Rede Pública para seu Banco de Dados do Azure para MySQL no portal do Azure, consulte Negar Acesso à Rede Pública no Banco de Dados do Azure para MySQL - Servidor Flexível usando o portal do Azure.

Limitação

Quando um usuário tenta excluir a instância de servidor flexível do Banco de Dados do Azure para MySQL e o Ponto de Extremidade Privado simultaneamente, ele pode encontrar um erro interno do servidor. Para evitar esse problema, recomendamos excluir o(s) ponto(s) de extremidade privado primeiro e, em seguida, continuar a excluir a instância de servidor flexível do Banco de Dados do Azure para MySQL após uma breve pausa.

Conteúdos relacionados