Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver begreppen för att styra anslutningen till din Azure Database for MySQL – flexibel serverinstans. Du lär dig mer i detalj om nätverksbegreppen för Azure Database for MySQL – flexibel server för att skapa och komma åt en server på ett säkert sätt i Azure.
Azure Database for MySQL – flexibel server har stöd för tre sätt att konfigurera anslutningen till dina servrar:
Offentlig nätverksåtkomst för Azure Database for MySQL – flexibel server Din flexibla server nås via en offentlig slutpunkt. Den offentliga slutpunkten är en DNS-adress som kan matchas offentligt. Frasen "tillåtna IP-adresser" refererar till ett antal IP-adresser som du väljer att ge behörighet att komma åt servern. Dessa behörigheter kallas brandväggsregler.
Privat slutpunkt Du kan använda privata slutpunkter för att tillåta värdar i ett virtuellt nätverk VNet att på ett säkert sätt komma åt data via en privat länk.
Privat nätverksåtkomst med integrering av virtuella nätverk för Azure Database for MySQL – flexibel server Du kan distribuera din flexibla server till ditt virtuella Azure-nätverk. Virtuella Azure-nätverk tillhandahåller privat och säker nätverkskommunikation. Resurserna i ett virtuellt nätverk kan kommunicera via privata IP-adresser.
Note
När du har distribuerat en server med offentlig eller privat åtkomst (via VNet-integrering) kan du inte ändra anslutningsläget. Men i läget för offentlig åtkomst kan du aktivera eller inaktivera privata slutpunkter efter behov och även inaktivera offentlig åtkomst om det behövs.
Välj ett nätverksalternativ
Välj Offentlig åtkomst (tillåtna IP-adresser) och Privat slutpunktsmetod om du vill ha följande funktioner:
- Ansluta från Azure-resurser utan stöd för virtuellt nätverk
- Ansluta från resurser utanför Azure som inte är anslutna via VPN eller ExpressRoute
- Den flexibla servern är tillgänglig via en offentlig slutpunkt och kan nås via auktoriserade Internetresurser. Offentlig åtkomst kan inaktiveras om det behövs.
- Möjlighet att konfigurera privata slutpunkter för åtkomst till servern från värdar i ett virtuellt nätverk (VNet)
Välj Privat åtkomst (VNet-integrering) om du vill ha följande funktioner:
- Ansluta till din flexibla server från Azure-resurser i samma virtuella nätverk eller ett peer-kopplat virtuellt nätverk utan att behöva konfigurera en privat slutpunkt
- Använda VPN eller ExpressRoute för att ansluta från icke-Azure-resurser till din flexibla server
- Ingen offentlig slutpunkt
Följande egenskaper gäller oavsett om du väljer att använda alternativet privat åtkomst eller offentlig åtkomst:
- Anslutningar från tillåtna IP-adresser måste autentiseras till Azure Database for MySQL – flexibel serverinstans med giltiga autentiseringsuppgifter
- Anslutningskryptering är tillgängligt för nätverkstrafiken
- Servern har ett fullständigt domännamn (fqdn). Vi rekommenderar att du använder fqdn i stället för en IP-adress för egenskapen hostname i anslutningssträng s.
- Båda alternativen styr åtkomsten på servernivå, inte på databas- eller tabellnivå. Du skulle använda MySQL:s rollegenskaper för att styra databas, tabell och annan objektåtkomst.
Stöd för anpassad port
Azure MySQL stöder nu möjligheten att ange en anpassad port mellan 250001 och 26000 när servern skapas för att ansluta till servern. Standardporten för att ansluta är 3306.
- Endast en anpassad port per server stöds.
- Scenarier som stöds för anpassad port: server-skapande, återställning (återställning mellan portar stöds), skapande av läsreplika, aktivering av hög tillgänglighet.
- Aktuella begränsningar:
- Det går inte att uppdatera den anpassade porten efter att servern har skapats.
- Geo-återställning och geo-replikskapande med anpassad port stöds inte.
Scenarier för virtuella nätverk som inte stöds
- Offentlig slutpunkt (eller offentlig IP-adress eller DNS) – En flexibel server som distribueras till ett virtuellt nätverk kan inte ha en offentlig slutpunkt.
- När den flexibla servern har distribuerats till ett virtuellt nätverk och undernät kan du inte flytta den till ett annat virtuellt nätverk eller undernät.
- När den flexibla servern har distribuerats kan du inte flytta det virtuella nätverk som den flexibla servern använder till en annan resursgrupp eller prenumeration.
- Det går inte att öka storleken på undernätet (adressutrymmen) när resurser redan finns i undernätet.
- Ändra från Offentlig till Privat åtkomst tillåts inte när servern har skapats. Det rekommenderade sättet är att använda återställning till tidpunkt.
Note
Om du använder en anpassad DNS-server måste du använda en DNS-vidarebefordrare för att lösa upp FQDN för Azure Database for MySQL Flexible Server. Mer information finns i namnmatchning som använder DNS-servern.
Hostname
Oavsett ditt nätverksalternativ rekommenderar vi att du använder det fullständigt kvalificerade domännamnet (FQDN) <servername>.mysql.database.azure.com i anslutningssträng när du ansluter till din Azure Database for MySQL – flexibel serverinstans. Serverns IP-adress är inte garanterad att förbli statisk. Med hjälp av FQDN kan du undvika att göra ändringar i din anslutningssträng.
Ett exempel som använder ett FQDN som värdnamn är värdnamn = servername.mysql.database.azure.com. Undvik om möjligt att använda värdnamnet = 10.0.0.4 (en privat adress) eller värdnamnet = 40.2.45.67 (en offentlig adress).
Note
Om azure database for MySQL – flexibel server har både offentlig åtkomst och Private Link aktiverat uppdateras offentliga IP-adresser för din instans som en del av arkitekturändringen för att göra nätverksupplevelsen bättre. Om du har använt sådana offentliga IP-adresser i anslutningssträngen måste du ersätta med FQDN före den 9 september 2025 för att undvika avbrott i serveranslutningen. (Obs! Ip-adressen för Private Link eller IP-adressen för VNet-integrering påverkas inte). Nödvändig åtgärd – Kör NSLookup från ditt offentliga nätverk för att hämta den offentliga IP-adress som ändras och du bör uppdatera referensen i anslutningssträngen för att använda FQDN i stället.
TLS och SSL
Azure Database for MySQL – flexibel server stöder anslutning av dina klientprogram till Azure Database for MySQL – flexibel serverinstans med hjälp av SSL (Secure Sockets Layer) med TLS-kryptering (Transport Layer Security). TLS är ett branschstandardprotokoll som säkerställer krypterade nätverksanslutningar mellan din databasserver och klientprogram. Det gör att du kan följa efterlevnadskraven.
Azure Database for MySQL – flexibel server stöder krypterade anslutningar med Transport Layer Security (TLS 1.2) som standard, och alla inkommande anslutningar med TLS 1.0 och TLS 1.1 nekas som standard. Konfigurationen av krypterad anslutning eller TLS-version på den flexibla servern kan konfigureras och ändras.
Följande är de olika konfigurationerna av SSL- och TLS-inställningar som du kan ha för din flexibla server:
Important
Enligt borttagningen av stöd för TLS 1.0- och TLS 1.1-protokollen planerade vi tidigare att helt inaktuella TLS 1.0 och 1.1 i september 2024. Men på grund av beroenden som identifierats av vissa kunder har vi beslutat att förlänga tidslinjen.
- Från och med den 31 augusti 2025 påbörjar vi den framtvingade uppgraderingen för alla servrar som fortfarande använder TLS 1.0 eller 1.1. Efter det här datumet kan alla anslutningar som förlitar sig på TLS 1.0 eller 1.1 sluta fungera när som helst. För att undvika potentiella tjänststörningar rekommenderar vi starkt att kunderna slutför migreringen till TLS 1.2 före den 31 augusti 2025.
- Från och med september 2024 kommer nya servrar inte längre att tillåtas använda TLS 1.0 eller 1.1, och befintliga servrar kommer inte att tillåtas nedgradera till dessa versioner.
Vi rekommenderar starkt att kunderna uppdaterar sina program för att stödja TLS 1.2 så snart som möjligt för att undvika avbrott i tjänsten.
| Scenario | Inställningar för serverparameter | Description |
|---|---|---|
| Inaktivera SSL (krypterade anslutningar) | require_secure_transport = AV | Om ditt äldre program inte stöder krypterade anslutningar till Azure Database for MySQL – flexibel serverinstans kan du inaktivera tillämpningen av krypterade anslutningar till din flexibla server genom att ange require_secure_transport=OFF. |
| Framtvinga SSL med TLS version < 1.2 (inaktuell i september 2024) | require_secure_transport = ON och tls_version = TLS 1.0 eller TLS 1.1 | Om ditt äldre program stöder krypterade anslutningar men kräver TLS version < 1.2 kan du aktivera krypterade anslutningar, men konfigurera din flexibla server för att tillåta anslutningar med TLS-versionen (v1.0 eller v1.1) som stöds av ditt program |
| Framtvinga SSL med TLS-version = 1.2(standardkonfiguration) | require_secure_transport = ON och tls_version = TLS 1.2 | Detta är den rekommenderade och standardkonfigurationen för en flexibel server. |
| Framtvinga SSL med TLS-version = 1.3(Stöds med MySQL v8.0 och senare) | require_secure_transport = ON och tls_version = TLS 1.3 | Detta är användbart och rekommenderas för utveckling av nya program |
Note
Ändringar i SSL-chiffer på den flexibla servern stöds inte. FIPS-chiffersviten tillämpas som standard när tls_version är inställd på TLS version 1.2. För andra TLS-versioner än version 1.2 är SSL-chiffer inställt på standardinställningar som medföljer installation av MySQL-communityn.
Läs ansluta med hjälp av SSL/TLS för att lära dig hur du identifierar den TLS-version som du använder.
Relaterat innehåll
- Skapa och hantera virtuella nätverk för Azure Database for MySQL – flexibel server med hjälp av Azure Portal
- Skapa och hantera virtuella nätverk för Azure Database for MySQL – flexibel server med hjälp av Azure CLI
- Hantera brandväggsregler för Azure Database for MySQL – flexibel server med hjälp av Azure Portal
- Hantera brandväggsregler för Azure Database for MySQL – flexibel server med Azure CLI
- konfigurera privat länk för Azure Database for MySQL – flexibel server från Azure Portal