Privat länk för Azure Database for MySQL – flexibel server
Med Private Link kan du ansluta till olika PaaS-tjänster, till exempel Azure Database for MySQL – flexibel server, i Azure via en privat slutpunkt. Azure Private Link ger dig tillgång till Azure-tjänster i ditt privata virtuella nätverk (VNet). Med hjälp av den privata IP-adressen är MySQL – flexibel server tillgänglig precis som alla andra resurser i det virtuella nätverket.
En privat slutpunkt är en privat IP-adress inom ett specifikt virtuellt nätverk och undernät.
Kommentar
- Det är exklusivt möjligt att aktivera Private Link för Azure Database for MySQL– flexibla serverinstanser som skapas med offentlig åtkomst. Lär dig hur du aktiverar privat slutpunkt med hjälp av Skapa och hantera Private Link för Azure Database for MySQL – flexibel server med hjälp av portalen eller Skapa och hantera Private Link för Azure Database for MySQL – flexibel server med Azure CLI.
Fördelar med Private Link för MySQL – flexibel server
Här följer några fördelar med att använda funktionen för privat nätverkslänk med Azure Database for MySQL – flexibel server.
Dataexfiltreringsskydd
Dataexfiltrering i Azure Database for MySQL – flexibel server är när en behörig användare, till exempel en databasadministratör, kan extrahera data från ett system och flytta dem till en annan plats eller ett annat system utanför organisationen. Användaren flyttar till exempel data till ett lagringskonto som ägs av en tredje part.
Med Private Link kan du nu konfigurera nätverksåtkomstkontroller som NSG:er för att begränsa åtkomsten till den privata slutpunkten. Genom att mappa enskilda Azure PaaS-resurser till specifika privata slutpunkter begränsas åtkomsten enbart till den avsedda PaaS-resursen. Detta begränsar effektivt en skadlig användare från att komma åt andra resurser utanför deras auktoriserade omfång.
Lokal anslutning via privat peering
När du ansluter till den offentliga slutpunkten från lokala datorer måste din IP-adress läggas till i den IP-baserade brandväggen med hjälp av en brandväggsregel på servernivå. Den här modellen ger åtkomst till enskilda datorer för utvecklings- eller testarbetsbelastningar, men det är svårt att hantera i en produktionsmiljö.
Med Private Link kan du aktivera åtkomst mellan platser till den privata slutpunkten med Express Route (ER), privat peering eller VPN-tunnel. De kan sedan inaktivera all åtkomst via en offentlig slutpunkt och inte använda den IP-baserade brandväggen.
Kommentar
I vissa fall finns Azure Database for MySQL – flexibel server-instans och VNet-undernätet i olika prenumerationer. I dessa fall måste du se till att följande konfigurationer:
- Kontrollera att båda prenumerationerna har resursprovidern Microsoft.DBforMySQL/flexibleServers registrerad. Mer information finns i resource-manager-registration.
Användningsfall för Private Link för Azure Database for MySQL – flexibel server
Klienter kan ansluta till den privata slutpunkten från samma virtuella nätverk, peer-kopplade virtuella nätverk i samma region eller mellan regioner eller via VNet-till-VNet-anslutning mellan regioner. Dessutom kan klienter ansluta lokalt med ExpressRoute, privat peering eller VPN-tunneltrafik. Nedan visas ett förenklat diagram som visar vanliga användningsfall.
Ansluta från en virtuell Azure-dator i peer-kopplat virtuellt nätverk (VNet)
Konfigurera VNet-peering för att upprätta anslutning till Azure Database for MySQL från en virtuell Azure-dator i ett peer-kopplat virtuellt nätverk.
Ansluta från en virtuell Azure-dator i en VNet-till-VNet-miljö
Konfigurera VPN-gatewayanslutning mellan virtuella nätverk för att upprätta anslutning till en Azure Database for MySQL – flexibel serverinstans från en virtuell Azure-dator i en annan region eller prenumeration.
Ansluta från en lokal miljö via VPN
Om du vill upprätta en anslutning från en lokal miljö till Azure Database for MySQL – flexibel serverinstans väljer du och implementerar något av alternativen:
Använda Private Link med brandväggsregler
Att kombinera Private Link med brandväggsregler kan resultera i flera scenarier och resultat:
Azure Database for MySQL – flexibel serverinstans är inte tillgänglig utan brandväggsregler eller en privat slutpunkt. Servern blir otillgänglig om alla godkända privata slutpunkter tas bort eller avvisas och ingen offentlig åtkomst har konfigurerats.
Privata slutpunkter är det enda sättet att komma åt Azure Database for MySQL – flexibel server-instans när offentlig trafik inte tillåts.
Olika former av inkommande trafik auktoriseras baserat på lämpliga brandväggsregler när offentlig åtkomst aktiveras med privata slutpunkter.
Neka offentlig åtkomst
Du kan inaktivera offentlig åtkomst på din Azure Database for MySQL – flexibel serverinstans om du föredrar att enbart förlita dig på privata slutpunkter för åtkomst.
Klienter kan ansluta till servern baserat på brandväggskonfigurationen när den här inställningen är aktiverad. Om den här inställningen är inaktiverad tillåts endast anslutningar via privata slutpunkter och användarna kan inte ändra brandväggsreglerna.
Kommentar
Den här inställningen påverkar inte SSL- och TLS-konfigurationerna för din Azure Database for MySQL – flexibel serverinstans.
Om du vill veta hur du anger Neka åtkomst till offentligt nätverk för din Azure Database for MySQL – flexibel serverinstans från Azure Portal läser du Neka åtkomst till offentligt nätverk i Azure Database for MySQL – flexibel server med hjälp av Azure Portal.
Begränsning
När en användare försöker ta bort både Azure Database for MySQL– flexibel serverinstans och privat slutpunkt samtidigt kan det uppstå ett internt serverfel. För att undvika det här problemet rekommenderar vi att du tar bort de privata slutpunkterna först och sedan fortsätter att ta bort azure Database for MySQL-instansen för flexibel server efter en kort paus.