Azure Cache for Redis – Možnosti izolace sítě

V tomto článku se dozvíte, jak určit nejlepší řešení izolace sítě pro vaše potřeby. Probereme základy injektáže služby Azure Private Link (doporučeno), injektáž virtuální sítě Azure a pravidel brány firewall. Probereme jejich výhody a omezení.

Azure Private Link (doporučeno)

Azure Private Link poskytuje privátní připojení z virtuální sítě ke službám PaaS v Azure. Private Link zjednodušuje síťovou architekturu a zabezpečuje připojení mezi koncovými body v Azure. Private Link také zabezpečuje připojení tím, že eliminuje vystavení dat veřejnému internetu.

Výhody služby Private Link

• Privátní propojení podporované na všech úrovních – úrovně Basic, Standard, Premium, Enterprise a Enterprise Flash – instancí Azure Cache for Redis.

• Pomocí služby Azure Private Link se můžete připojit k instanci služby Azure Cache z vaší virtuální sítě prostřednictvím privátního koncového bodu. Koncový bod má přiřazenou privátní IP adresu v podsíti v rámci virtuální sítě. Díky tomuto privátnímu propojení jsou instance mezipaměti dostupné jak v rámci virtuální sítě, tak i veřejně.

  Důležité

  K mezipamětí Enterprise/Enterprise Flash s privátním propojením nelze přistupovat veřejně.

• Po vytvoření privátního koncového bodu v mezipaměti úrovně Basic/Standard/Premium je možné přístup k veřejné síti omezit prostřednictvím příznaku publicNetworkAccess . Tento příznak je ve výchozím nastavení nastavený Disabled tak, aby umožňoval pouze přístup k privátnímu propojení. Hodnotu můžete nastavit na Enabled požadavek PATCH nebo Disabled ho použít. Další informace najdete v tématu Azure Cache for Redis se službou Azure Private Link.

  Důležité

  Úroveň Enterprise/Enterprise Flash nepodporuje publicNetworkAccess příznak.

• Všechny závislosti externí mezipaměti nemají vliv na pravidla skupiny zabezpečení sítě virtuální sítě.

• Zachování u všech účtů úložiště chráněných pravidly brány firewall je podporováno na úrovni Premium při použití spravované identity pro připojení k účtu služby Storage. Další informace o importu a exportu dat ve službě Azure Cache for Redis

• Private Link nabízí menší oprávnění tím, že snižuje objem přístupu, který má vaše mezipaměť k jiným síťovým prostředkům. Private Link brání chybnému objektu actor v inicializování provozu do zbytku vaší sítě.

Omezení služby Private Link

• Konzola portálu se v současné době nepodporuje pro mezipaměti s privátním propojením.

Poznámka:

Při přidávání privátního koncového bodu do instance mezipaměti se veškerý provoz Redis přesune do privátního koncového bodu kvůli DNS. Před úpravou předchozích pravidel brány firewall se ujistěte.

Injektáž virtuální sítě Azure

Upozornění

Injektáž virtuální sítě se nedoporučuje. Další informace naleznete v tématu Omezení injektáže virtuální sítě.

Virtuální síť (VNet) umožňuje mnoha prostředkům Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť je jako tradiční síť, kterou byste provozovala ve vlastním datovém centru.

Omezení injektáže virtuální sítě

• Vytváření a údržba konfigurací virtuální sítě jsou často náchylné k chybám. Řešení potíží je také náročné. Nesprávné konfigurace virtuální sítě můžou vést k problémům:

  • nepřerušované přenosy metrik z instancí mezipaměti

  • selhání uzlu repliky pro replikaci dat z primárního uzlu

  • potenciální ztráta dat

  • selhání operací správy, jako je škálování

  • přerušované nebo úplné selhání protokolu SSL/TLS

  • selhání instalace aktualizací, včetně důležitých vylepšení zabezpečení a spolehlivosti

  • v nejvýraznějších scénářích, ztrátě dostupnosti

• Při použití mezipaměti vložené do virtuální sítě je nutné udržovat virtuální síť aktualizovanou, aby umožňovala přístup k závislostem mezipaměti, jako jsou seznamy odvolaných certifikátů, infrastruktura veřejných klíčů, Azure Key Vault, Azure Storage, Azure Monitor a další.

• Mezipaměti vložené do virtuální sítě jsou k dispozici pouze pro instance Azure Cache for Redis úrovně Premium, nikoli pro jiné úrovně.

• Do virtuální sítě nemůžete vložit existující instanci Azure Cache for Redis. Tuto možnost musíte vybrat při vytváření mezipaměti.

Pravidla brány firewall

Azure Cache for Redis umožňuje konfigurovat pravidla brány firewall pro zadání IP adresy, kterou chcete povolit pro připojení k instanci Azure Cache for Redis.

Výhody pravidel brány firewall

• Pokud jsou nakonfigurovaná pravidla brány firewall, můžou se k mezipaměti připojit pouze připojení klientů ze zadaných rozsahů IP adres. Připojení ze systémů monitorování Azure Cache for Redis jsou vždy povolená, i když jsou nakonfigurovaná pravidla brány firewall. Jsou povolená také pravidla NSG, která definujete.

Omezení pravidel brány firewall

• Pravidla brány firewall se dají použít pro mezipaměť privátních koncových bodů jenom v případě, že je povolený přístup k veřejné síti. Pokud je v mezipaměti privátního koncového bodu povolen přístup k veřejné síti bez pravidel brány firewall, mezipaměť přijímá veškerý provoz veřejné sítě.
• Konfigurace pravidel brány firewall je dostupná pro všechny úrovně Basic, Standard a Premium.
• Konfigurace pravidel brány firewall není dostupná pro podnikové ani podnikové úrovně Flash.

Další kroky

• Zjistěte, jak nakonfigurovat mezipaměť vloženou do virtuální sítě pro instanci Azure Cache for Redis úrovně Premium.
• Zjistěte, jak nakonfigurovat pravidla brány firewall pro všechny úrovně Azure Cache for Redis.
• Zjistěte, jak nakonfigurovat privátní koncové body pro všechny úrovně Azure Cache for Redis.