Co je Azure Managed Redis (Preview) se službou Azure Private Link?
V tomto článku se dozvíte, jak vytvořit virtuální síť a instanci Azure Managed Redis (Preview) s privátním koncovým bodem pomocí webu Azure Portal. Dozvíte se také, jak přidat privátní koncový bod do existující instance Azure Managed Redis.
Privátní koncový bod Azure je síťové rozhraní, které vás soukromě a bezpečně připojuje ke službě Azure Managed Redis využívající službu Azure Private Link.
Důležité
Použití privátního koncového bodu pro připojení k virtuální síti je doporučeným řešením pro zabezpečení prostředku Azure Managed Redis (Preview) na síťové vrstvě.
Požadavky
- Předplatné Azure – vytvoření bezplatného předplatného
Vytvoření privátního koncového bodu s novou instancí Azure Managed Redis
V této části vytvoříte novou instanci Azure Managed Redis s privátním koncovým bodem.
Vytvoření virtuální sítě pro novou mezipaměť
Vytvoření mezipaměti pomocí portálu:
Přihlaste se k webu Azure Portal a vyberte Vytvořit prostředek.
Na stránce Nový vyberte Sítě a pak vyberte Virtuální síť.
Vyberte Přidat a vytvořte virtuální síť.
V části Vytvořit virtuální síť zadejte nebo vyberte tyto informace na kartě Základy :
Nastavení Navrhovaná hodnota Popis Předplatné Rozevírací seznam a vyberte své předplatné. Předplatné, ve kterém vytvoříte tuto virtuální síť. Skupina prostředků Rozevírací seznam a vyberte skupinu prostředků nebo vyberte Vytvořit novou a zadejte nový název skupiny prostředků. Název skupiny prostředků, ve které chcete vytvořit virtuální síť a další prostředky. Když umístíte všechny prostředky aplikace do jedné skupiny prostředků, můžete je snadno spravovat nebo odstraňovat společně. Název Zadejte název virtuální sítě. Název musí začínat písmenem nebo číslem; končí písmenem, číslem nebo podtržítkem; a obsahují jenom písmena, číslice, podtržítka, tečky nebo pomlčky. Oblast Rozevírací seznam a výběr oblasti Vyberte oblast poblíž jiných služeb, které používají vaši virtuální síť. Vyberte kartu IP adresy nebo vyberte tlačítko Další: IP adresy v dolní části stránky.
Na kartě IP adresy zadejte adresní prostor IPv4 jako jeden nebo více předpon adres v zápisu CIDR (například 192.168.1.0/24).
V části Název podsítě vyberte výchozí nastavení a upravte vlastnosti podsítě.
V podokně Upravit podsíť zadejte název podsítě a rozsah adres podsítě. Rozsah adres podsítě by měl být v zápisu CIDR (například 192.168.1.0/24). Musí být obsažen v adresním prostoru virtuální sítě.
Zvolte Uložit.
Vyberte kartu Zkontrolovat a vytvořit nebo vyberte tlačítko Zkontrolovat a vytvořit.
Ověřte, že jsou všechny informace správné, a výběrem možnosti Vytvořit vytvořte virtuální síť.
Vytvoření instance Azure Managed Redis s privátním koncovým bodem
Pokud chcete vytvořit instanci mezipaměti, postupujte takto:
Vraťte se na domovskou stránku webu Azure Portal nebo otevřete nabídku bočního panelu a pak vyberte Vytvořit prostředek.
Do vyhledávacího pole zadejte Azure Cache for Redis. Zpřesněte vyhledávání pouze na služby Azure a vyberte Azure Cache for Redis.
Na stránce New Redis Cache nakonfigurujte nastavení pro novou mezipaměť.
- Vyberte mezipaměť Azure Managed Redis v SKU mezipaměti.
- Vyberte v mezipaměti příslušnou možnost.
Vyberte kartu Sítě nebo vyberte tlačítko Sítě v dolní části stránky.
Na kartě Sítě vyberte privátní koncový bod pro metodu připojení.
Výběrem tlačítka Přidat vytvořte privátní koncový bod.
Na stránce Vytvořit privátní koncový bod nakonfigurujte nastavení privátního koncového bodu s virtuální sítí a podsítí, kterou jste vytvořili v poslední části, a vyberte OK.
Vyberte kartu Další: Upřesnit nebo vyberte tlačítko Další: Upřesnit v dolní části stránky.
Na kartě Upřesnit pro instanci základní nebo standardní mezipaměti vyberte přepínač povolení, pokud chcete povolit port bez protokolu TLS.
Na kartě Upřesnit pro instanci mezipaměti Premium nakonfigurujte nastavení pro port, clustering a trvalost dat bez protokolu TLS.
Vyberte kartu Další: Značky nebo vyberte tlačítko Další: Značky v dolní části stránky.
Volitelně můžete na kartě Značky zadat název a hodnotu, pokud chcete prostředek zařadit do kategorií.
Vyberte Zkontrolovat a vytvořit. Přejdete na kartu Zkontrolovat a vytvořit, kde Azure ověří vaši konfiguraci.
Jakmile se zobrazí zelená zpráva o úspěšném ověření, vyberte Vytvořit.
Vytvoření mezipaměti chvíli trvá. Průběh můžete sledovat na stránce přehledu Azure Managed Redis. Když se stav zobrazí jako Spuštěno, je mezipaměť připravená k použití.
Vytvoření privátního koncového bodu s existující instancí Azure Managed Redis
V této části přidáte privátní koncový bod do existující instance Azure Managed Redis.
Vytvoření virtuální sítě pro existující mezipaměť
Pokud chcete vytvořit virtuální síť, postupujte takto:
Přihlaste se k webu Azure Portal a vyberte Vytvořit prostředek.
Na stránce Nový vyberte Sítě a pak vyberte Virtuální síť.
Vyberte Přidat a vytvořte virtuální síť.
V části Vytvořit virtuální síť zadejte nebo vyberte tyto informace na kartě Základy :
Nastavení Navrhovaná hodnota Popis Předplatné Rozevírací seznam a vyberte své předplatné. Předplatné, ve kterém vytvoříte tuto virtuální síť. Skupina prostředků Rozevírací seznam a vyberte skupinu prostředků nebo vyberte Vytvořit novou a zadejte nový název skupiny prostředků. Název skupiny prostředků, ve které chcete vytvořit virtuální síť a další prostředky. Když umístíte všechny prostředky aplikace do jedné skupiny prostředků, můžete je snadno spravovat nebo odstraňovat společně. Název Zadejte název virtuální sítě. Název musí začínat písmenem nebo číslem; končí písmenem, číslem nebo podtržítkem; a obsahují jenom písmena, číslice, podtržítka, tečky nebo pomlčky. Oblast Rozevírací seznam a výběr oblasti Vyberte oblast poblíž jiných služeb, které používají vaši virtuální síť. Vyberte kartu IP adresy nebo vyberte tlačítko Další: IP adresy v dolní části stránky.
Na kartě IP adresy zadejte adresní prostor IPv4 jako jeden nebo více předpon adres v zápisu CIDR (například 192.168.1.0/24).
V části Název podsítě vyberte výchozí nastavení a upravte vlastnosti podsítě.
V podokně Upravit podsíť zadejte název podsítě a rozsah adres podsítě. Rozsah adres podsítě by měl být v zápisu CIDR (například 192.168.1.0/24). Musí být obsažen v adresním prostoru virtuální sítě.
Zvolte Uložit.
Vyberte kartu Zkontrolovat a vytvořit nebo vyberte tlačítko Zkontrolovat a vytvořit.
Ověřte, že jsou všechny informace správné, a výběrem možnosti Vytvořit vytvořte virtuální síť.
Vytvoření privátního koncového bodu
Pokud chcete vytvořit privátní koncový bod, postupujte takto:
Na webu Azure Portal vyhledejte Azure Cache for Redis. Pak stiskněte enter nebo ho vyberte z návrhů hledání pro vaši mezipaměť.
Vyberte instanci mezipaměti, do které chcete přidat privátní koncový bod.
Na levé straně obrazovky vyberte privátní koncový bod.
Výběrem tlačítka Privátní koncový bod vytvořte privátní koncový bod.
Na stránce Vytvořit privátní koncový bod nakonfigurujte nastavení privátního koncového bodu.
Nastavení Navrhovaná hodnota Popis Předplatné Rozevírací seznam a vyberte své předplatné. Předplatné, ve kterém vytvoříte tento privátní koncový bod. Skupina prostředků Rozevírací seznam a vyberte skupinu prostředků nebo vyberte Vytvořit novou a zadejte nový název skupiny prostředků. Název skupiny prostředků, ve které chcete vytvořit privátní koncový bod a další prostředky. Když umístíte všechny prostředky aplikace do jedné skupiny prostředků, můžete je snadno spravovat nebo odstraňovat společně. Název Zadejte název privátního koncového bodu. Název musí začínat písmenem nebo číslem; končí písmenem, číslem nebo podtržítkem; a může obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky. Oblast Rozevírací seznam a výběr oblasti Vyberte oblast poblíž jiných služeb, které používají váš privátní koncový bod. Vyberte tlačítko Další: Prostředek v dolní části stránky.
Na kartě Prostředek vyberte své předplatné, zvolte typ prostředku jako
Microsoft.Cache/redisEnterprisea pak vyberte mezipaměť, ke které chcete připojit privátní koncový bod.Vyberte tlačítko Další: Konfigurace v dolní části stránky.
Vyberte tlačítko Další: Virtuální síť v dolní části stránky.
Na kartě Konfigurace vyberte virtuální síť a podsíť, které jste vytvořili v předchozí části.
Na kartě Virtuální síť vyberte virtuální síť a podsíť, které jste vytvořili v předchozí části.
Vyberte tlačítko Další: Značky v dolní části stránky.
Volitelně můžete na kartě Značky zadat název a hodnotu, pokud chcete prostředek zařadit do kategorií.
Vyberte Zkontrolovat a vytvořit. Přejdete na kartu Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.
Jakmile se zobrazí zelená zpráva o úspěšném ověření, vyberte Vytvořit.
Důležité
Ve výchozím nastavení existuje publicNetworkAccess příznak Disabled .
Hodnotu můžete nastavit na Disabled hodnotu nebo Enabled. Pokud je tento příznak nastavený na povolenou, umožňuje přístup veřejného i privátního koncového bodu do mezipaměti. Pokud je tato možnost nastavená, Disabledpovolí přístup pouze k privátnímu koncovému bodu. Další informace o tom, jak změnit hodnotu, najdete v nejčastějších dotazech.
Vytvoření privátního koncového bodu pomocí Azure PowerShellu
Pokud chcete vytvořit privátní koncový bod s názvem MyPrivateEndpoint pro existující instanci Azure Managed Redis, spusťte následující skript PowerShellu. Nahraďte hodnoty proměnných podrobnostmi pro vaše prostředí:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Načtení privátního koncového bodu pomocí Azure PowerShellu
Pokud chcete získat podrobnosti privátního koncového bodu, použijte tento příkaz PowerShellu:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Odebrání privátního koncového bodu pomocí Azure PowerShellu
Pokud chcete odebrat privátní koncový bod, použijte následující příkaz PowerShellu:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Vytvoření privátního koncového bodu pomocí Azure CLI
Pokud chcete vytvořit privátní koncový bod s názvem myPrivateEndpoint pro existující instanci Azure Managed Redis, spusťte následující skript Azure CLI. Nahraďte hodnoty proměnných podrobnostmi pro vaše prostředí:
# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
--group-ids "redisEnterprise" \
--connection-name $PrivateConnectionName
Načtení privátního koncového bodu pomocí Azure CLI
Pokud chcete získat podrobnosti o privátním koncovém bodu, použijte následující příkaz rozhraní příkazového řádku:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Odebrání privátního koncového bodu pomocí Azure CLI
Pokud chcete odebrat privátní koncový bod, použijte následující příkaz rozhraní příkazového řádku:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Často kladené dotazy
- Návody připojit se k mezipaměti pomocí privátního koncového bodu?
- Proč se nemůžu připojit k privátnímu koncovému bodu?
- Jaké funkce se u privátních koncových bodů nepodporují?
- Návody ověřit, jestli je privátní koncový bod správně nakonfigurovaný?
- Jak můžu změnit privátní koncový bod tak, aby byl zakázaný nebo povolený z přístupu k veřejné síti?
- Jak můžu mít více koncových bodů v různých virtuálních sítích?
- Co se stane, když odstraním všechny privátní koncové body v mezipaměti?
- Jsou pro privátní koncové body povolené skupiny zabezpečení sítě (NSG)?
- Moje instance privátního koncového bodu není ve virtuální síti, takže jak je přidružená k mé virtuální síti?
Návody připojit se k mezipaměti pomocí privátního koncového bodu?
Vaše aplikace by se měla připojit na <cachename>.<region>.redis.azure.net portu 10000. V předplatném se automaticky vytvoří privátní zóna DNS s názvem *.privatelink.redis.azure.net. Privátní zóna DNS je nezbytná pro vytvoření připojení TLS k privátnímu koncovému bodu. Doporučujeme vyhnout se použití <cachename>.privatelink.redis.azure.net konfigurace pro připojení klienta.
Další informace najdete v tématu Konfigurace zóny DNS služeb Azure.
Proč se nemůžu připojit k privátnímu koncovému bodu?
Privátní koncové body se s vaší instancí mezipaměti nedají použít, pokud už mezipaměť obsahuje vloženou mezipaměť virtuální sítě.
Mezipaměti Azure Managed Redis jsou omezené na 84 privátních propojení.
Pokusíte se zachovat data do účtu úložiště, kde se použijí pravidla brány firewall, může zabránit vytvoření služby Private Link.
Pokud instance mezipaměti používá nepodporovanou funkci, možná se ke svému privátnímu koncovému bodu nepřipojíte.
Jaké funkce se u privátních koncových bodů nepodporují?
- Použití privátního koncového bodu se službou Azure Managed Redis (Preview) nemá žádné omezení.
Návody ověřit, jestli je privátní koncový bod správně nakonfigurovaný?
V nabídce Prostředek na portálu přejděte na Přehled . Název hostitele pro vaši mezipaměť se zobrazí v pracovním podokně. Pokud chcete ověřit, že se příkaz přeloží na privátní IP adresu mezipaměti, spusťte příkaz, například nslookup <hostname> z virtuální sítě propojené s privátním koncovým bodem.
Jak můžu změnit privátní koncový bod tak, aby byl zakázaný nebo povolený z přístupu k veřejné síti?
Pokud chcete změnit hodnotu na webu Azure Portal, postupujte takto:
Na webu Azure Portal vyhledejte Azure Managed Redis. Pak stiskněte enter nebo ho vyberte z návrhů hledání.
Vyberte instanci mezipaměti, kterou chcete změnit hodnotu přístupu k veřejné síti.
Na levé straně obrazovky vyberte privátní koncový bod.
Odstraňte privátní koncový bod.
Jak můžu mít více koncových bodů v různých virtuálních sítích?
Pokud chcete mít více privátních koncových bodů v různých virtuálních sítích, musí být zóna privátního DNS před vytvořením privátního koncového bodu ručně nakonfigurovaná pro více virtuálních sítí. Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.
Co se stane, když odstraním všechny privátní koncové body v mezipaměti?
Pokud odstraníte všechny privátní koncové body v mezipaměti Azure Managed Redis (Preview), budou mít sítě výchozí přístup k veřejné síti.
Jsou pro privátní koncové body povolené skupiny zabezpečení sítě (NSG)?
Ne, jsou zakázané pro privátní koncové body. I když k podsítím obsahujícím privátní koncový bod může být přidružená skupina zabezpečení sítě, pravidla nejsou platná pro provoz zpracovaný privátním koncovým bodem. Abyste mohli nasadit privátní koncové body v podsíti, musíte mít zakázané vynucování zásad sítě. Skupina zabezpečení sítě se stále vynucuje u jiných úloh hostovaných ve stejné podsíti. Trasy v jakékoli podsíti klienta používají předponu /32. Změna výchozího chování směrování vyžaduje podobné trasy definované uživatelem.
Řízení provozu pomocí pravidel NSG pro odchozí provoz na zdrojových klientech. Nasaďte jednotlivé trasy s předponou /32 a přepište trasy privátních koncových bodů. Protokoly toku NSG a informace o monitorování odchozích připojení jsou stále podporované a je možné je použít.
Moje instance privátního koncového bodu není ve virtuální síti, takže jak je přidružená k mé virtuální síti?
Váš privátní koncový bod je propojený pouze s vaší virtuální sítí. Vzhledem k tomu, že není ve vaší virtuální síti, nemusí být pravidla skupiny zabezpečení sítě upravena pro závislé koncové body.
Související obsah
- Další informace o službě Azure Private Link najdete v dokumentaci ke službě Azure Private Link.
- Pokud chcete porovnat různé možnosti izolace sítě pro vaši mezipaměť, přečtěte si dokumentaci k možnostem izolace sítě Azure Cache for Redis.