Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье приводятся основные понятия для управления подключением к База данных Azure для MySQL экземпляру гибкого сервера. Вы подробно узнаете о сетевых концепциях для База данных Azure для MySQL гибкий сервер для безопасного создания и доступа к серверу в Azure.
База данных Azure для MySQL гибкий сервер поддерживает три способа настройки подключения к серверам:
Доступ к общедоступной сети для База данных Azure для MySQL — гибкий сервер, к который осуществляется доступ через общедоступную конечную точку. Общедоступная конечная точка — это общедоступный DNS-адрес. Фраза "разрешенные IP-адреса" относится к диапазону IP-адресов, который вы выбрали для предоставления разрешения на доступ к серверу. Эти разрешения называются правилами брандмауэра.
Частная конечная точка позволяет узлам виртуальной сетибезопасно получать доступ к данным через Приватный канал.
Доступ к частной сети с помощью интеграции виртуальной сети для База данных Azure для MySQL — гибкий сервер можно развернуть в виртуальная сеть Azure. Виртуальные сети Azure используют частное и безопасное сетевое подключение. Это позволит ресурсам в виртуальной сети взаимодействовать через частные IP-адреса.
Note
После развертывания сервера с общедоступным или частным доступом (через интеграцию с виртуальной сетью) невозможно изменить режим подключения. Но в режиме общедоступного доступа можно включить или отключить частные конечные точки по мере необходимости, а также отключить общедоступный доступ при необходимости.
Выбор параметра сети
Выберите общедоступный доступ (разрешенные IP-адреса) и метод частной конечной точки , если вам нужны следующие возможности:
- Подключение из ресурсов Azure без поддержки виртуальной сети
- Подключение из ресурсов за пределами Azure, которые не подключены VPN или ExpressRoute
- Гибкий сервер доступен через общедоступную конечную точку и может быть доступен через авторизованные интернет-ресурсы. При необходимости общедоступный доступ можно отключить.
- Возможность настройки частных конечных точек для доступа к серверу с узлов в виртуальной сети (виртуальная сеть)
Выберите частный доступ (интеграция с виртуальной сетью), если вам нужны следующие возможности:
- Подключение к гибкому серверу из ресурсов Azure в одной виртуальной сети или одноранговой виртуальной сети без необходимости настройки частной конечной точки
- Использование VPN или ExpressRoute для подключения из ресурсов, отличных от Azure, к гибкому серверу
- Отсутствие общедоступной конечной точки
Если вы решили использовать частный доступ или параметр общего доступа, применяются следующие характеристики.
- Подключения из разрешенных IP-адресов должны пройти проверку подлинности в экземпляре гибкого сервера База данных Azure для MySQL с допустимыми учетными данными.
- Шифрование подключения доступно для сетевого трафика
- Сервер имеет полное доменное имя (FQDN). Мы рекомендуем использовать полное доменное имя вместо IP-адреса для свойства имени узла в строка подключения.
- Оба параметра управляют доступом на уровне сервера, а не на уровне базы данных или таблицы. Свойства ролей MySQL используются для управления доступом к базе данных, таблице и другим объектам.
Следующие дополнительные характеристики применяются при выборе варианта приватного доступа (интеграция с виртуальной сетью):
- Возможность указывать настраиваемый порт между 250001 и 26000 во время создания сервера для подключения к серверу. Порт по умолчанию для подключения — 3306 (общедоступная предварительная версия).
- Поддерживается только один пользовательский порт на сервер.
- Поддерживаемые сценарии для пользовательского порта: создание сервера, восстановление (поддерживается восстановление с использованием различных портов), создание реплики для чтения, включение режима высокой доступности.
- Current limitations:
- Невозможно обновить кастомизированный порт после создания сервера.
- Геовосстановление и создание геореплик с портом, заданным пользователем, не поддерживаются.
- Поддержка настраиваемых портов предоставляется только для серверов, интегрированных с виртуальной сетью.
Неподдерживаемые сценарии виртуальной сети
- Общедоступная конечная точка (или общедоступный IP-адрес или DNS) — гибкий сервер, развернутый в виртуальной сети, не может иметь общедоступную конечную точку.
- После развертывания гибкого сервера в виртуальной сети и подсети его нельзя переместить в другую виртуальную сеть или подсеть.
- После развертывания гибкого сервера невозможно переместить виртуальную сеть, которую гибкий сервер использует в другую группу ресурсов или подписку.
- Размер подсети (диапазон адресов) невозможно увеличить после размещения ресурсов в подсети.
- После создания сервера не допускается переход с общедоступного на частный доступ. Рекомендуется использовать восстановление на определенный момент времени.
Note
Если вы используете пользовательский DNS-сервер, необходимо использовать DNS форвардер для разрешения полного доменного имени экземпляра гибкого сервера базы данных Azure для MySQL. Дополнительные сведения см. в разделе "Разрешение имен", которое использует DNS-сервер.
Hostname
Независимо от параметра сети рекомендуется использовать полное доменное имя (FQDN) <servername>.mysql.database.azure.com в строка подключения при подключении к экземпляру гибкого сервера База данных Azure для MySQL. IP-адрес сервера не гарантируется оставаться статическим. Использование полного доменного имени поможет избежать внесения изменений в строку подключения.
Пример, использующий полное доменное имя в качестве имени узла, — имя узла = servername.mysql.database.azure.com. По возможности избегайте использования имени узла = 10.0.0.4 (частный адрес) или имени узла = 40.2.45.67 (общедоступный адрес).
Note
Если гибкий сервер Базы данных Azure для MySQL имеет общедоступный доступ и приватный канал, общедоступные IP-адреса для вашего экземпляра будут обновлены в рамках изменения архитектуры, чтобы улучшить работу сети. Если вы использовали такие общедоступные IP-адреса в строке подключения, необходимо заменить полное доменное имя до 9 сентября 2025 г., чтобы избежать каких-либо нарушений подключения к серверу. (Примечание: IP-адрес приватного канала или IP-адрес интеграции VNet не будет подвергаться воздействию). Обязательное действие: Запустите NSLookup из вашей общедоступной сети, чтобы получить общедоступный IP-адрес, который изменится. Обновите ссылку в строке подключения, чтобы использовать полное доменное имя (FQDN).
TLS и SSL
База данных Azure для MySQL Гибкий сервер поддерживает подключение клиентских приложений к экземпляру гибкого сервера База данных Azure для MySQL с помощью протокола SSL с шифрованием TLS. TLS — это стандартный для отрасли протокол, обеспечивающий шифрование сетевых подключений между сервером базы данных и клиентскими приложениями, что позволяет обеспечить соответствие нормативным требованиям.
База данных Azure для MySQL гибкий сервер поддерживает зашифрованные подключения с помощью протокола TLS 1.2 по умолчанию, а все входящие подключения с TLS 1.0 и TLS 1.1 по умолчанию запрещены. Конфигурацию зашифрованного подключения или конфигурацию версии TLS на гибком сервере можно настроить и изменить.
Ниже приведены различные конфигурации параметров SSL и TLS, которые можно использовать для гибкого сервера:
Important
Согласно удалению поддержки протоколов TLS 1.0 и TLS 1.1, мы ранее планировали полностью удалить TLS 1.0 и 1.1 к сентября 2024 года. Однако из-за зависимостей, определенных некоторыми клиентами, мы решили расширить временную шкалу.
- Начиная с 31 августа 2025 г. мы начнем принудительное обновление для всех серверов, которые по-прежнему используют TLS 1.0 или 1.1. После этой даты все подключения, использующие TLS 1.0 или 1.1, могут перестать работать в любое время. Чтобы избежать потенциальных сбоев служб, настоятельно рекомендуется клиентам завершить миграцию в TLS 1.2 до 31 августа 2025 г.
- Начиная с сентября 2024 года новые серверы больше не будут разрешены использовать TLS 1.0 или 1.1, а существующие серверы не будут разрешены для понижения до этих версий.
Настоятельно рекомендуем клиентам обновлять свои приложения для поддержки TLS 1.2 как можно скорее, чтобы избежать сбоев в работе служб.
| Scenario | Параметры сервера | Description |
|---|---|---|
| Отключить SSL (зашифрованные соединения) | require_secure_transport = OFF (требовать безопасный транспорт отключено) | Если устаревшее приложение не поддерживает зашифрованные подключения к экземпляру гибкого сервера База данных Azure для MySQL, вы можете отключить принудительное применение зашифрованных подключений к гибкому серверу, задав параметр require_secure_transport=OFF. |
| Применение SSL с использованием версии TLS < 1.2 (устареет в сентябре 2024 г.) | require_secure_transport = ON и tls_version = TLS 1.0 или TLS 1.1 | Если устаревшее приложение поддерживает зашифрованные подключения, но требует tls версии < 1.2, вы можете включить зашифрованные подключения, но настроить гибкий сервер для разрешения подключений с версией TLS (версии 1.0 или версии 1.1), поддерживаемой приложением. |
| Принудительное использование SSL с версией TLS = 1.2 (конфигурация по умолчанию) | require_secure_transport = ON и tls_version = TLS 1.2 | Это рекомендуемая конфигурация и конфигурация по умолчанию для гибкого сервера. |
| Принудительное использование SSL с TLS версии = 1.3 (поддерживается с MySQL v 8.0 и более поздних версий) | require_secure_transport = ON и tls_version = TLS 1.3 | Это полезно и рекомендуется для разработки новых приложений |
Note
Изменения шифра SSL на гибком сервере не поддерживаются. Набор шифров FIPS применяется по умолчанию, если для tls_version задано значение TLS версии 1.2. Для версий TLS, отличных от версии 1.2, для шифра SSL заданы параметры по умолчанию, которые входят в состав установщика от сообщества MySQL.
Проверьте подключение с помощью SSL/TLS , чтобы узнать, как определить используемую версию TLS.
Related content
- Создание виртуальных сетей для База данных Azure для MySQL — гибкий сервер с помощью портал Azure
- Создание виртуальных сетей для База данных Azure для MySQL и управление ими с помощью Azure CLI
- Управление правилами брандмауэра для База данных Azure для MySQL — гибкий сервер с помощью портал Azure
- Управление правилами брандмауэра для База данных Azure для MySQL — гибкий сервер с помощью Azure CLI
- Настройка приватного канала для гибкого сервера База данных Azure для MySQL из портал Azure