Поделиться через


Основные понятия о подключениях и сети для Базы данных Azure для MySQL — гибкий сервер

ОБЛАСТЬ ПРИМЕНЕНИЯ: База данных Azure для MySQL — гибкий сервер

В этой статье приводятся основные понятия для управления подключением к База данных Azure для MySQL экземпляру гибкого сервера. Вы подробно узнаете о сетевых концепциях для База данных Azure для MySQL гибкий сервер для безопасного создания и доступа к серверу в Azure.

База данных Azure для MySQL гибкий сервер поддерживает три способа настройки подключения к серверам:

  • Общедоступный доступ к гибкому серверу осуществляется через общедоступную конечную точку. Общедоступная конечная точка — это общедоступный DNS-адрес. Фраза "разрешенные IP-адреса" относится к диапазону IP-адресов, который вы выбрали для предоставления разрешения на доступ к серверу. Эти разрешения называются правилами брандмауэра.

  • Частная конечная точка позволяет узлам виртуальной сети безопасно получать доступ к данным через Приватный канал.

  • Частный доступ (интеграция с виртуальной сетью) Можно развернуть гибкий сервер в azure виртуальная сеть. Виртуальные сети Azure используют частное и безопасное сетевое подключение. Это позволит ресурсам в виртуальной сети взаимодействовать через частные IP-адреса.

Примечание.

После развертывания сервера с общедоступным или частным доступом (через интеграцию с виртуальной сетью) невозможно изменить режим подключения. Но в режиме общедоступного доступа можно включить или отключить частные конечные точки по мере необходимости, а также отключить общедоступный доступ при необходимости.

Выбор параметра сети

Выберите общедоступный доступ (разрешенные IP-адреса) и метод частной конечной точки , если вам нужны следующие возможности:

  • Подключение из ресурсов Azure без поддержки виртуальной сети
  • Подключение из ресурсов за пределами Azure, которые не подключены VPN или ExpressRoute
  • Гибкий сервер доступен через общедоступную конечную точку и может быть доступен через авторизованные интернет-ресурсы. При необходимости общедоступный доступ можно отключить.
  • Возможность настройки частных конечных точек для доступа к серверу с узлов в виртуальной сети (виртуальная сеть)

Выберите частный доступ (интеграция с виртуальной сетью), если вам нужны следующие возможности:

  • Подключение к гибкому серверу из ресурсов Azure в одной виртуальной сети или одноранговой виртуальной сети без необходимости настройки частной конечной точки
  • Использование VPN или ExpressRoute для подключения из ресурсов, отличных от Azure, к гибкому серверу
  • Отсутствие общедоступной конечной точки

Если вы решили использовать частный доступ или параметр общего доступа, применяются следующие характеристики.

  • Подключения из разрешенных IP-адресов должны пройти проверку подлинности в экземпляре гибкого сервера База данных Azure для MySQL с допустимыми учетными данными.
  • Шифрование подключения доступно для сетевого трафика
  • Сервер имеет полное доменное имя (FQDN). Мы рекомендуем использовать полное доменное имя вместо IP-адреса для свойства имени узла в строка подключения.
  • Оба параметра управляют доступом на уровне сервера, а не на уровне базы данных или таблицы. Свойства ролей MySQL используются для управления доступом к базе данных, таблице и другим объектам.

Неподдерживаемые сценарии виртуальной сети

  • Общедоступная конечная точка (или общедоступный IP-адрес или DNS) — гибкий сервер, развернутый в виртуальной сети, не может иметь общедоступную конечную точку.
  • После развертывания гибкого сервера в виртуальной сети и подсети его нельзя переместить в другую виртуальную сеть или подсеть.
  • После развертывания гибкого сервера невозможно переместить виртуальную сеть, которую гибкий сервер использует в другую группу ресурсов или подписку.
  • Размер подсети (диапазон адресов) невозможно увеличить после размещения ресурсов в подсети.
  • После создания сервера не допускается переход с общедоступного на частный доступ. Рекомендуется использовать восстановление на определенный момент времени.

Примечание.

Если вы используете пользовательский DNS-сервер, необходимо использовать сервер пересылки DNS для разрешения полного доменного имени экземпляра База данных Azure для MySQL гибкого сервера. Дополнительные сведения см. в разделе "Разрешение имен", которое использует DNS-сервер.

Hostname (Имя узла)

Независимо от параметра сети рекомендуется использовать полное доменное имя (FQDN) <servername>.mysql.database.azure.com в строка подключения при подключении к экземпляру гибкого сервера База данных Azure для MySQL. IP-адрес сервера необязательно должен быть статическим. Использование полного доменного имени поможет избежать внесения изменений в строку подключения.

Пример, использующий полное доменное имя в качестве имени узла, — имя узла = servername.mysql.database.azure.com. По возможности избегайте использования имени узла = 10.0.0.4 (частный адрес) или имени узла = 40.2.45.67 (общедоступный адрес).

TLS и SSL

База данных Azure для MySQL Гибкий сервер поддерживает подключение клиентских приложений к экземпляру гибкого сервера База данных Azure для MySQL с помощью протокола SSL с шифрованием TLS. TLS — это стандартный для отрасли протокол, обеспечивающий шифрование сетевых подключений между сервером базы данных и клиентскими приложениями, что позволяет обеспечить соответствие нормативным требованиям.

База данных Azure для MySQL гибкий сервер поддерживает зашифрованные подключения с помощью протокола TLS 1.2 по умолчанию, а все входящие подключения с TLS 1.0 и TLS 1.1 по умолчанию запрещены. Конфигурацию зашифрованного подключения или конфигурацию версии TLS на гибком сервере можно настроить и изменить.

Ниже приведены различные конфигурации параметров SSL и TLS, которые можно использовать для гибкого сервера:

Внимание

В соответствии с удалением поддержки протоколов TLS 1.0 и TLS 1.1, начиная с сентября 2024 г., новые серверы больше не будут разрешены использовать TLS 1.0 или 1.1, а существующие серверы не смогут перейти на эти версии. Начиная с середины сентября 2024 года мы инициируем обязательное обновление всех серверов, использующих TLS 1.0 или 1.1 до TLS 1.2. Ожидается, что этот процесс обновления будет завершен к концу сентября 2024 года. Мы настоятельно рекомендуем клиентам гарантировать, что их приложения полностью совместимы с TLS 1.2 до конца сентября.

Сценарий Параметры сервера Description
Отключить SSL (зашифрованные соединения) require_secure_transport = OFF Если устаревшее приложение не поддерживает зашифрованные подключения к экземпляру гибкого сервера База данных Azure для MySQL, вы можете отключить принудительное применение зашифрованных подключений к гибкому серверу, задав параметр require_secure_transport=OFF.
Принудительное применение SSL с tls версии < 1.2 (не рекомендуется в сентябре 2024 г.) require_secure_transport = ON и tls_version = TLS 1.0 или TLS 1.1 Если устаревшее приложение поддерживает зашифрованные подключения, но требует tls версии < 1.2, вы можете включить зашифрованные подключения, но настроить гибкий сервер для разрешения подключений с версией TLS (версии 1.0 или версии 1.1), поддерживаемой приложением.
Принудительное использование SSL с версией TLS = 1.2 (конфигурация по умолчанию) require_secure_transport = ON и tls_version = TLS 1.2 Это рекомендуемая конфигурация и конфигурация по умолчанию для гибкого сервера.
Принудительное использование SSL с TLS версии = 1.3 (поддерживается с MySQL v 8.0 и более поздних версий) require_secure_transport = ON и tls_version = TLS 1.3 Это полезно и рекомендуется для разработки новых приложений

Примечание.

Изменения шифра SSL на гибком сервере не поддерживаются. Наборы шифров FIPS применяются по умолчанию, если для tls_version задано значение TLS версии 1.2. Для версий TLS, отличных от версии 1.2, для шифра SSL заданы параметры по умолчанию, которые входят в состав установщика от сообщества MySQL.

Проверьте подключение с помощью SSL/TLS , чтобы узнать, как определить используемую версию TLS.

Следующие шаги