Navigation überspringen

Sicherer Serverzugriff mit VNET-Dienstendpunkten für Azure Database for MariaDB

Veröffentlicht am 4 März, 2019

Program Manager, Azure OSS Databases

Dieser Blogbeitrag wurde von Sumeet Mittal, Senior Program Manager, Azure Networking, mitverfasst.

Schützen Sie Ihren MariaDB-Server, und beschränken Sie den Zugriff, indem Sie die Dienstendpunkte virtueller Netzwerke (VNET-Dienstendpunkte) verwenden, die nun für Azure Database for MariaDB allgemein verfügbar sind. Mit VNET-Dienstendpunkten können Sie Verbindungen mit Ihrem logischen Server aus einem bestimmten Subnetz in Ihrem virtuellen Netzwerk isolieren. Der Datenverkehr von Ihrem VNET zu Azure Database for MariaDB bleibt stets innerhalb des Azure-Netzwerks. Diese direkte Route ist speziellen Routen, bei denen Internetdatenverkehr über virtuelle Geräte oder lokal geleitet wird, vorzuziehen.

Es erfolgt keine zusätzliche Abrechnung für den Zugriff auf virtuelle Netzwerke über VNET-Dienstendpunkte. Das aktuelle Preismodell für Azure Database for MariaDB gilt unverändert.

Flussdiagramm: Internetdatenverkehr, der über das Azure-Netzwerk geleitet wird

Gemeinsame Verwendung von Firewallregeln und VNET-Dienstendpunkten

Durch das Aktivieren von VNET-Dienstendpunkten werden keine Firewallregeln außer Kraft gesetzt, die Sie in Azure Database for MariaDB festgelegt haben.

VNET-Dienstendpunkte erstrecken sich nicht auf lokale Standorte. Sie können den Zugriff von lokalen Standorten aus ermöglichen, indem Sie Firewallregeln festlegen, die die Konnektivität auf öffentliche (NAT-)IP-Adressen beschränken.

Weitere Informationen zum VNET-Schutz finden Sie im Artikel Verwenden von VNET-Dienstendpunkten und -Regeln für Azure Database for MariaDB.

Aktivieren von Dienstendpunkten für Server mit bereits vorhandenen Firewallregeln

Wenn Sie die Verbindung zu Ihrem Server mit eingeschalteten Dienstendpunkten herstellen, wechselt die Quell-IP von Datenbankverbindungen in den privaten IP-Adressraum Ihres virtuellen Netzwerks. Die Konfiguration erfolgt über das freigegebene Diensttag „Microsoft.Sql“ für alle Azure-Datenbanken, einschließlich Azure Database for MariaDB, MySQL, PostgreSQL, Azure SQL-Datenbank, verwaltete Azure SQL-Datenbank-Instanzen und Azure SQL Data Warehouse. Wenn Ihre Server- oder Datenbankfirewallregeln derzeit bestimmte öffentliche Azure-IP-Adressen zulassen, wird die Verbindung unterbrochen, bis Sie das angegebene VNET oder Subnetz zulassen, indem Sie es in den VNET-Firewallregeln angeben. Sie können die Konnektivität gewährleisten, indem Sie vorab VNET-Firewallregeln angeben, bevor Sie Dienstendpunkte aktivieren. Hierfür können Sie das Flag IgnoreMissingServiceEndpoint verwenden.

Screenshot: Dashboard „Verbindungssicherheit“

Unterstützung für ASE

Im Rahmen der allgemeinen Verfügbarkeit unterstützen wir Dienstendpunkte für die Subnetze der App Service-Umgebung (ASE), die in Ihren virtuellen Netzwerken bereitgestellt werden.

Nächste Schritte