Brandväggsregler för Azure Database for MySQL-server
GÄLLER FÖR: Azure Database for MySQL – enskild server
Viktigt!
Azure Database for MySQL – enskild server är på väg att dras tillbaka. Vi rekommenderar starkt att du uppgraderar till en flexibel Azure Database for MySQL-server. Mer information om hur du migrerar till en flexibel Azure Database for MySQL-server finns i Vad händer med Azure Database for MySQL – enskild server?
Brandväggar förhindrar all åtkomst till databasservern tills du anger vilka datorer som har behörighet. Brandväggen ger åtkomst till servern baserat på vilken IP-adress som varje begäran kommer från.
Om du vill konfigurera en brandvägg skapar du brandväggsregler som anger intervall med godkända IP-adresser. Du kan skapa brandväggsregler på servernivå.
Brandväggsregler: Dessa regler gör det möjligt för klienter att komma åt hela Azure Database for MySQL-servern, d.v.s. alla databaser inom samma logiska server. Brandväggsregler på servernivå kan konfigureras med hjälp av kommandona Azure Portal eller Azure CLI. Du måste vara prenumerationsägare eller prenumerationsdeltagare för att skapa brandväggsregler på servernivå.
Översikt över brandväggar
All databasåtkomst till din Azure Database for MySQL-server blockeras som standard av brandväggen. Om du vill börja använda servern från en annan dator måste du ange en eller flera brandväggsregler på servernivå för att ge åtkomst till servern. Använd brandväggsreglerna för att ange vilka IP-adressintervall från Internet som ska tillåtas. Åtkomst till själva Azure Portal webbplats påverkas inte av brandväggsreglerna.
Anslutningsförsök från Internet och Azure måste först passera genom brandväggen innan de kan nå din Azure Database for MySQL-databas.
Ansluta från Internet
Brandväggsregler på servernivå gäller för alla databaser på Azure Database for MySQL-servern.
Om IP-adressen för begäran ligger inom något av de intervall som anges i brandväggsreglerna på servernivå beviljas anslutningen.
Om IP-adressen för begäran ligger utanför de intervall som anges i någon av brandväggsreglerna på databasnivå eller på servernivå misslyckas anslutningsbegäran.
Ansluta från Azure
Vi rekommenderar att du hittar den utgående IP-adressen för alla program eller tjänster och uttryckligen tillåter åtkomst till dessa enskilda IP-adresser eller intervall. Du kan till exempel hitta den utgående IP-adressen för en Azure App Service eller använda en offentlig IP-adress som är kopplad till en virtuell dator eller annan resurs (se nedan för information om hur du ansluter till en virtuell dators privata IP-adress över tjänstslutpunkter).
Om en fast utgående IP-adress inte är tillgänglig för din Azure-tjänst kan du överväga att aktivera anslutningar från alla IP-adresser för Azure-datacenter. Den här inställningen kan aktiveras från Azure Portal genom att ange alternativet Tillåt åtkomst till Azure-tjänster till PÅ från fönstret Anslutningssäkerhet och klicka på Spara. Från Azure CLI motsvarar en brandväggsregelinställning med start- och slutadressen 0.0.0.0 motsvarande. Om anslutningsförsöket inte tillåts når begäran inte Azure Database for MySQL-servern.
Viktigt!
Alternativet Tillåt åtkomst tilll Azure-tjänster konfigurerar brandväggen så att alla anslutningar från Azure tillåts, inklusive anslutningar från prenumerationer för andra kunder. Om du väljer det här alternativet kontrollerar du att dina inloggnings- och användarbehörigheter begränsar åtkomsten till endast auktoriserade användare.
Ansluta från ett virtuellt nätverk
Överväg att använda VNet-tjänstslutpunkter för att ansluta säkert till din Azure Database for MySQL-server från ett virtuellt nätverk.
Hantera brandväggsregler via programmering
Utöver Azure Portal kan brandväggsregler hanteras programmatiskt med hjälp av Azure CLI. Se även Skapa och hantera Azure Database for MySQL-brandväggsregler med Azure CLI
Felsöka brandväggsproblem
Tänk på följande när åtkomsten till Microsoft Azure Database for MySQL-servertjänsten inte fungerar som förväntat:
Ändringar i listan över tillåtna har inte börjat gälla ännu: Det kan ta upp till fem minuter innan ändringar i brandväggskonfigurationen för Azure Database for MySQL Server börjar gälla.
Inloggningen är inte auktoriserad eller om ett felaktigt lösenord har använts: Om en inloggning inte har behörighet på Azure Database for MySQL-servern eller om lösenordet som används är felaktigt, nekas anslutningen till Azure Database for MySQL-servern. En brandväggsinställning ger endast klienter möjlighet att försöka ansluta till din server. Varje klient måste fortfarande ange nödvändiga säkerhetsreferenser.
Dynamisk IP-adress: Om du har en Internetanslutning med dynamisk IP-adressering och du har problem med att komma igenom brandväggen kan du prova någon av följande lösningar:
Fråga internetleverantören (ISP) om DET IP-adressintervall som tilldelats dina klientdatorer som har åtkomst till Azure Database for MySQL-servern och lägg sedan till IP-adressintervallet som en brandväggsregel.
Använd statisk IP-adressering i stället för dina klientdatorer och lägg sedan till IP-adresserna som brandväggsregler.
Serverns IP-adress verkar vara offentlig: Anslutningar till Azure Database for MySQL-servern dirigeras via en offentligt tillgänglig Azure-gateway. Den faktiska server-IP-adressen skyddas dock av brandväggen. Mer information finns i artikeln om anslutningsarkitektur.
Det går inte att ansluta från Azure-resursen med tillåten IP: Kontrollera om Microsoft.Sql-tjänstslutpunkten är aktiverad för det undernät som du ansluter från. Om Microsoft.Sql är aktiverat anger det att du bara vill använda VNet-tjänstslutpunktsregler i det undernätet.
Du kan till exempel se följande fel om du ansluter från en virtuell Azure-dator i ett undernät som har Microsoft.Sql aktiverat men inte har någon motsvarande VNet-regel:
FATAL: Client from Azure Virtual Networks is not allowed to access the server
Brandväggsregeln är inte tillgänglig för IPv6-format: Brandväggsreglerna måste vara i IPv4-format. Om du anger brandväggsregler i IPv6-format visas valideringsfelet.