Aracılığıyla paylaş


MySQL için Azure Veritabanı için bağlantı ve ağ kavramları - Esnek Sunucu

Bu makalede, MySQL için Azure Veritabanı Esnek Sunucu örneğiniz ile bağlantıyı denetleme kavramları tanıtılır. Azure'da güvenli bir şekilde sunucu oluşturmak ve bu sunucuya erişmek için MySQL için Azure Veritabanı Esnek Sunucu'ya yönelik ağ kavramlarını ayrıntılı olarak öğreneceksiniz.

MySQL için Azure Veritabanı Esnek Sunucu, sunucularınıza bağlantıyı yapılandırmanın üç yolunu destekler:

Not

Genel veya özel erişimli bir sunucu dağıtıldıktan sonra (sanal ağ tümleştirmesi aracılığıyla), bağlantı modunu değiştiremezsiniz. Ancak genel erişim modunda, gerektiğinde özel uç noktaları etkinleştirebilir veya devre dışı bırakabilir ve gerekirse genel erişimi devre dışı bırakabilirsiniz.

Bir ağ seçeneği belirleyin

Aşağıdaki özellikleri istiyorsanız Genel erişim (izin verilen IP adresleri) ve Özel uç nokta yöntemi'ni seçin:

  • Sanal ağ desteği olmadan Azure kaynaklarından bağlanma
  • VPN veya ExpressRoute ile bağlı olmayan Azure dışındaki kaynaklardan bağlanma
  • Esnek Sunucuya genel uç nokta üzerinden erişilebilir ve yetkili İnternet kaynakları üzerinden erişilebilir. Gerekirse genel erişim devre dışı bırakılabilir.
  • Sanal ağdaki (VNet) konaklardan sunucuya erişmek için Özel uç noktaları yapılandırma olanağı

Aşağıdaki özellikleri istiyorsanız Özel erişim (VNet tümleştirmesi) seçeneğini belirleyin:

  • Özel uç nokta yapılandırmaya gerek kalmadan aynı sanal ağ veya eşlenmiş sanal içindeki Azure kaynaklarından Esnek Sunucunuza bağlanın
  • Azure dışı kaynaklardan Esnek Sunucunuza bağlanmak için VPN veya ExpressRoute kullanma
  • Genel uç nokta yok

Aşağıdaki özellikler, ister özel erişimi ister genel erişim seçeneğini kullanmayı tercih edin:

  • İzin verilen IP adreslerinden gelen bağlantıların geçerli kimlik bilgileriyle MySQL için Azure Veritabanı Esnek Sunucu örneğinde kimlik doğrulamasına sahip olması gerekir
  • Ağ trafiğiniz için bağlantı şifrelemesi kullanılabilir
  • Sunucunun tam etki alanı adı (fqdn) vardır. bağlantı dizesi s içindeki konak adı özelliği için IP adresi yerine fqdn kullanmanızı öneririz.
  • Her iki seçenek de erişimi veritabanı veya tablo düzeyinde değil sunucu düzeyinde denetler. Veritabanı, tablo ve diğer nesne erişimini denetlemek için MySQL'in rol özelliklerini kullanırsınız.

Desteklenmeyen sanal ağ senaryoları

  • Genel uç nokta (veya genel IP veya DNS) - Bir sanal ağa dağıtılan Esnek Sunucunun genel uç noktası olamaz.
  • Esnek Sunucu bir sanal ağa ve alt ağa dağıtıldıktan sonra başka bir sanal ağa veya alt ağa taşıyamazsınız.
  • Esnek Sunucu dağıtıldıktan sonra Esnek Sunucu'nun kullandığı sanal ağı başka bir kaynak grubuna veya aboneliğe taşıyamazsınız.
  • Alt ağa kaynaklar yerleştirildikten sonra alt ağ boyutu (adres alanları) artırılamaz.
  • Sunucu oluşturulduktan sonra Genel erişimden Özel erişime geçişe izin verilmez. Önerilen yol belirli bir noktaya geri yükleme kullanmaktır.

Not

Özel DNS sunucusu kullanıyorsanız, MySQL için Azure Veritabanı Esnek Sunucu örneğinin FQDN'sini çözümlemek için bir DNS ileticisi kullanmanız gerekir. Daha fazla bilgi edinmek için DNS sunucunuzu kullanan ad çözümlemesine bakın.

Konak adı

Ağ seçeneğiniz ne olursa olsun, MySQL için Azure Veritabanı Esnek Sunucu örneğine bağlanırken bağlantı dizesi'lerde tam etki alanı adını (FQDN) <servername>.mysql.database.azure.com kullanmanızı öneririz. Sunucunun IP adresinin statik kalacağı garanti değildir. FQDN'yi kullanmak, bağlantı dizesi değişiklik yapmaktan kaçınmanıza yardımcı olur.

Ana bilgisayar adı olarak FQDN kullanan bir örnek, konak adı = servername.mysql.database.azure.com'dir. Mümkünse konak adı = 10.0.0.4 (özel adres) veya konak adı = 40.2.45.67 (genel adres) kullanmaktan kaçının.

TLS ve SSL

MySQL için Azure Veritabanı Esnek Sunucu, Aktarım katmanı güvenliği (TLS) şifrelemesi ile Güvenli Yuva Katmanı (SSL) kullanarak istemci uygulamalarınızı MySQL için Azure Veritabanı Esnek Sunucu örneğine bağlamayı destekler. TLS, veritabanı sunucunuz ile istemci uygulamalarınız arasında şifrelenmiş ağ bağlantılarına olanak tanıyan ve uyumluluk gereksinimlerini karşılamanızı sağlayan sektör standardı bir protokoldür.

MySQL için Azure Veritabanı Esnek Sunucu varsayılan olarak Aktarım Katmanı Güvenliği (TLS 1.2) kullanılarak şifrelenmiş bağlantıları destekler ve TLS 1.0 ve TLS 1.1 ile gelen tüm bağlantılar varsayılan olarak reddedilir. Esnek Sunucunuzdaki şifreli bağlantı zorlaması veya TLS sürüm yapılandırması yapılandırılabilir ve değiştirilebilir.

Esnek Sunucunuz için sahip olabileceğiniz ssl ve TLS ayarlarının farklı yapılandırmaları aşağıdadır:

Önemli

Eylül 2024'ün başlarından itibaren TLS 1.0 ve TLS 1.1 Protokolleri için Desteğin Kaldırılmasına göre, yeni sunucuların artık TLS 1.0 veya 1.1 kullanmasına izin verilmeyecek ve mevcut sunucuların bu sürümlere indirilmesine izin verilmeyecek. Eylül 2024'ün ortasından itibaren, şu anda TLS 1.0 veya 1.1 kullanan tüm sunucuların TLS 1.2'ye zorunlu bir yükseltmesini başlatacağız. Bu yükseltme işleminin Eylül 2024 sonuna kadar tamamlanması bekleniyor. Müşterilerin Eylül ayı sonundan önce uygulamalarının TLS 1.2 ile tam olarak uyumlu olduğundan emin olmalarını kesinlikle öneririz.

Senaryo Sunucu parametresi ayarları Açıklama
SSL'yi devre dışı bırakma (şifreli bağlantılar) require_secure_transport = KAPALI Eski uygulamanız MySQL için Azure Veritabanı Esnek Sunucu örneğine şifreli bağlantıları desteklemiyorsa, require_secure_transport=KAPALI ayarını yaparak Esnek Sunucunuza şifreli bağlantıların uygulanmasını devre dışı bırakabilirsiniz.
TLS sürüm < 1.2 ile SSL'i zorunlu kılma (Eylül 2024'te kullanım dışı bırakılacak) require_secure_transport = ON ve tls_version = TLS 1.0 veya TLS 1.1 Eski uygulamanız şifreli bağlantıları destekliyorsa ancak TLS sürüm < 1.2 gerektiriyorsa, şifrelenmiş bağlantıları etkinleştirebilir, ancak Esnek Sunucunuzu uygulamanız tarafından desteklenen TLS sürümüyle (v1.0 veya v1.1) bağlantılara izin verecek şekilde yapılandırabilirsiniz
TLS sürümü = 1.2 (Varsayılan yapılandırma) ile SSL'i zorunlu kılma require_secure_transport = ON ve tls_version = TLS 1.2 Bu, Esnek Sunucu için önerilen ve varsayılan yapılandırmadır.
TLS sürüm = 1.3 ile SSL'i zorunlu kılma (MySQL v8.0 ve üzeri sürümlerle desteklenir) require_secure_transport = ON ve tls_version = TLS 1.3 Bu, yeni uygulama geliştirme için kullanışlıdır ve önerilir

Not

Esnek Sunucu'da SSL Şifrelemesinde yapılan değişiklikler desteklenmez. TLS_VERSION TLS sürüm 1.2 olarak ayarlandığında FIPS şifreleme paketleri varsayılan olarak zorlanır. 1.2 sürümü dışındaki TLS sürümleri için SSL Şifrelemesi, MySQL topluluk yüklemesi ile birlikte gelen varsayılan ayarlara ayarlanır.

Kullandığınız TLS sürümünü tanımlamayı öğrenmek için SSL/TLS kullanarak bağlanmayı gözden geçirin.