Основные понятия о подключениях и сети для Базы данных Azure для MySQL — гибкий сервер
ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для MySQL — гибкий сервер
В этой статье приводятся основные понятия для управления подключением к База данных Azure для MySQL экземпляру гибкого сервера. Вы подробно узнаете о сетевых концепциях для База данных Azure для MySQL гибкий сервер для безопасного создания и доступа к серверу в Azure.
База данных Azure для MySQL гибкий сервер поддерживает три способа настройки подключения к серверам:
Общедоступный доступ к гибкому серверу осуществляется через общедоступную конечную точку. Общедоступная конечная точка — это общедоступный DNS-адрес. Фраза "разрешенные IP-адреса" относится к диапазону IP-адресов, который вы выбрали для предоставления разрешения на доступ к серверу. Эти разрешения называются правилами брандмауэра.
Частная конечная точка позволяет узлам виртуальной сети безопасно получать доступ к данным через Приватный канал.
Частный доступ (интеграция с виртуальной сетью) Можно развернуть гибкий сервер в azure виртуальная сеть. Виртуальные сети Azure используют частное и безопасное сетевое подключение. Это позволит ресурсам в виртуальной сети взаимодействовать через частные IP-адреса.
Примечание.
После развертывания сервера с общедоступным или частным доступом (через интеграцию с виртуальной сетью) невозможно изменить режим подключения. Но в режиме общедоступного доступа можно включить или отключить частные конечные точки по мере необходимости, а также отключить общедоступный доступ при необходимости.
Выбор параметра сети
Выберите общедоступный доступ (разрешенные IP-адреса) и метод частной конечной точки , если вам нужны следующие возможности:
- Подключение из ресурсов Azure без поддержки виртуальной сети
- Подключение из ресурсов за пределами Azure, которые не подключены VPN или ExpressRoute
- Гибкий сервер доступен через общедоступную конечную точку и может быть доступен через авторизованные интернет-ресурсы. При необходимости общедоступный доступ можно отключить.
- Возможность настройки частных конечных точек для доступа к серверу с узлов в виртуальной сети (виртуальная сеть)
Выберите частный доступ (интеграция с виртуальной сетью), если вам нужны следующие возможности:
- Подключение к гибкому серверу из ресурсов Azure в одной виртуальной сети или одноранговой виртуальной сети без необходимости настройки частной конечной точки
- Использование VPN или ExpressRoute для подключения из ресурсов, отличных от Azure, к гибкому серверу
- Отсутствие общедоступной конечной точки
Если вы решили использовать частный доступ или параметр общего доступа, применяются следующие характеристики.
- Подключения из разрешенных IP-адресов должны пройти проверку подлинности в экземпляре гибкого сервера База данных Azure для MySQL с допустимыми учетными данными.
- Шифрование подключения доступно для сетевого трафика
- Сервер имеет полное доменное имя (FQDN). Мы рекомендуем использовать полное доменное имя вместо IP-адреса для свойства имени узла в строка подключения.
- Оба параметра управляют доступом на уровне сервера, а не на уровне базы данных или таблицы. Свойства ролей MySQL используются для управления доступом к базе данных, таблице и другим объектам.
Неподдерживаемые сценарии виртуальной сети
- Общедоступная конечная точка (или общедоступный IP-адрес или DNS) — гибкий сервер, развернутый в виртуальной сети, не может иметь общедоступную конечную точку.
- После развертывания гибкого сервера в виртуальной сети и подсети его нельзя переместить в другую виртуальную сеть или подсеть.
- После развертывания гибкого сервера невозможно переместить виртуальную сеть, которую гибкий сервер использует в другую группу ресурсов или подписку.
- Размер подсети (диапазон адресов) невозможно увеличить после размещения ресурсов в подсети.
- После создания сервера не допускается переход с общедоступного на частный доступ. Рекомендуется использовать восстановление на определенный момент времени.
Примечание.
Если вы используете пользовательский DNS-сервер, необходимо использовать сервер пересылки DNS для разрешения полного доменного имени экземпляра База данных Azure для MySQL гибкого сервера. Дополнительные сведения см. в разделе "Разрешение имен", которое использует DNS-сервер.
Hostname (Имя узла)
Независимо от параметра сети рекомендуется использовать полное доменное имя (FQDN) <servername>.mysql.database.azure.com
в строка подключения при подключении к экземпляру гибкого сервера База данных Azure для MySQL. IP-адрес сервера необязательно должен быть статическим. Использование полного доменного имени поможет избежать внесения изменений в строку подключения.
Пример, использующий полное доменное имя в качестве имени узла, — имя узла = servername.mysql.database.azure.com. По возможности избегайте использования имени узла = 10.0.0.4 (частный адрес) или имени узла = 40.2.45.67 (общедоступный адрес).
TLS и SSL
База данных Azure для MySQL Гибкий сервер поддерживает подключение клиентских приложений к экземпляру гибкого сервера База данных Azure для MySQL с помощью протокола SSL с шифрованием TLS. TLS — это стандартный для отрасли протокол, обеспечивающий шифрование сетевых подключений между сервером базы данных и клиентскими приложениями, что позволяет обеспечить соответствие нормативным требованиям.
База данных Azure для MySQL гибкий сервер поддерживает зашифрованные подключения с помощью протокола TLS 1.2 по умолчанию, а все входящие подключения с TLS 1.0 и TLS 1.1 по умолчанию запрещены. Конфигурацию зашифрованного подключения или конфигурацию версии TLS на гибком сервере можно настроить и изменить.
Ниже приведены различные конфигурации параметров SSL и TLS, которые можно использовать для гибкого сервера:
Внимание
В соответствии с удалением поддержки протоколов TLS 1.0 и TLS 1.1, начиная с сентября 2024 г., новые серверы больше не будут разрешены использовать TLS 1.0 или 1.1, а существующие серверы не смогут перейти на эти версии. Начиная с середины сентября 2024 года мы инициируем обязательное обновление всех серверов, использующих TLS 1.0 или 1.1 до TLS 1.2. Ожидается, что этот процесс обновления будет завершен к концу сентября 2024 года. Мы настоятельно рекомендуем клиентам гарантировать, что их приложения полностью совместимы с TLS 1.2 до конца сентября.
Сценарий | Параметры сервера | Description |
---|---|---|
Отключить SSL (зашифрованные соединения) | require_secure_transport = OFF | Если устаревшее приложение не поддерживает зашифрованные подключения к экземпляру гибкого сервера База данных Azure для MySQL, вы можете отключить принудительное применение зашифрованных подключений к гибкому серверу, задав параметр require_secure_transport=OFF. |
Принудительное применение SSL с tls версии < 1.2 (не рекомендуется в сентябре 2024 г.) | require_secure_transport = ON и tls_version = TLS 1.0 или TLS 1.1 | Если устаревшее приложение поддерживает зашифрованные подключения, но требует tls версии < 1.2, вы можете включить зашифрованные подключения, но настроить гибкий сервер для разрешения подключений с версией TLS (версии 1.0 или версии 1.1), поддерживаемой приложением. |
Принудительное использование SSL с версией TLS = 1.2 (конфигурация по умолчанию) | require_secure_transport = ON и tls_version = TLS 1.2 | Это рекомендуемая конфигурация и конфигурация по умолчанию для гибкого сервера. |
Принудительное использование SSL с TLS версии = 1.3 (поддерживается с MySQL v 8.0 и более поздних версий) | require_secure_transport = ON и tls_version = TLS 1.3 | Это полезно и рекомендуется для разработки новых приложений |
Примечание.
Изменения шифра SSL на гибком сервере не поддерживаются. Наборы шифров FIPS применяются по умолчанию, если для tls_version задано значение TLS версии 1.2. Для версий TLS, отличных от версии 1.2, для шифра SSL заданы параметры по умолчанию, которые входят в состав установщика от сообщества MySQL.
Проверьте подключение с помощью SSL/TLS , чтобы узнать, как определить используемую версию TLS.
Следующие шаги
- Узнайте, как включить закрытый доступ (интеграция с виртуальной сетью) с помощью портала Azure или Azure CLI.
- Узнайте, как включить открытый доступ (разрешенные IP-адреса) с помощью портала Azure или Azure CLI.
- Узнайте, как настроить приватный канал для гибкого сервера База данных Azure для MySQL из портал Azure.