Freigeben über

Was ist Azure Managed Redis (Vorschau) mit Azure Private Link?

  • Artikel

In diesem Artikel erfahren Sie, wie Sie über das Azure-Portal ein virtuelles Netzwerk und eine Azure Managed Redis-Instanz (Vorschau) mit einem privaten Endpunkt erstellen. Sie lernen auch, wie Sie einen privaten Endpunkt zu einer bestehenden Azure Managed Redis-Instanz hinzufügen.

Ein privater Endpunkt in Azure ist eine Netzwerkschnittstelle, die Sie privat und sicher mit Azure Managed Redis unterstützt von Azure Private Link verbindet.

Wichtig

Die Verwendung eines privaten Endpunkts zum Herstellen einer Verbindung mit einem virtuellen Netzwerk ist die empfohlene Lösung zum Sichern Ihrer Azure Managed Redis (Preview)-Ressource auf der Netzwerkebene.

Voraussetzungen

Erstellen eines privaten Endpunkts mit einer neuen Azure Managed Redis-Instanz

In diesem Abschnitt erstellen Sie eine neue Azure Managed Redis-Instanz mit einem privaten Endpunkt.

Erstellen Sie ein virtuelles Netzwerk für Ihren neuen Cache

So erstellen Sie einen Cache mithilfe des Portals:

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie dann Ressource erstellen aus.

    Auswählen von „Ressource erstellen“.

  2. Wählen Sie auf der Seite Neu zuerst Netzwerk und anschließend Virtuelles Netzwerk aus.

  3. Wählen Sie Hinzufügen aus, um ein virtuelles Netzwerk zu erstellen.

  4. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlegende Einstellungen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Vorgeschlagener Wert BESCHREIBUNG
    Abonnement Öffnen Sie die Dropdownliste, und wählen Sie Ihr Abonnement aus. Das Abonnement, in dem Sie dieses virtuelle Netzwerk erstellen.
    Ressourcengruppe Öffnen Sie die Dropdownliste, und wählen Sie eine Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, und geben Sie einen Namen für eine neue Ressourcengruppe ein. Name der Ressourcengruppe, in der Ihr virtuelles Netzwerk und weitere Ressourcen erstellt werden. Wenn Sie alle Ihre App-Ressourcen in einer Ressourcengruppe zusammenfassen, können Sie sie einfacher gemeinsam verwalten oder löschen.
    Name Geben Sie einen Namen für das virtuelle Netzwerk ein. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen, auf einen Buchstaben, eine Ziffer oder einen Unterstrich enden und darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten.
    Region Öffnen Sie die Dropdownliste, und wählen Sie eine Region aus. Wählen Sie eine Region in der Nähe anderer Dienste, die Ihr virtuelles Netzwerk nutzen.

  5. Wählen Sie die Registerkarte IP-Adressen oder die Schaltfläche Weiter: IP-Adressen am unteren Seitenrand aus.

  6. Geben Sie auf der Registerkarte IP-Adressen den IPv4-Adressraum als eine oder mehrere Adresspräfixe in CIDR-Schreibweise an (z. B. 192.168.1.0/24).

  7. Wählen Sie unter Subnetzname die Option Standard aus, um die Eigenschaften des Subnetzes zu bearbeiten.

  8. Geben Sie im Bereich Subnetz bearbeiten einen Subnetznamen sowie den Subnetzadressbereich an. Der Adressbereich des Subnetzes in CIDR-Schreibweise (z. B. 192.168.1.0/24). Er muss innerhalb des Adressraums des virtuellen Netzwerks liegen.

  9. Wählen Sie Speichern aus.

  10. Wählen Sie die Registerkarte Überprüfen + erstellen oder die Schaltfläche Überprüfen + erstellen aus.

  11. Vergewissern Sie sich, dass alle Informationen richtig sind, und wählen Sie Erstellen aus, um das virtuelle Netzwerk zu erstellen.

Erstellen einer Azure Managed Redis-Instanz mit einem privatem Endpunkt

Um eine Cache-Instanz zu erstellen, führen Sie die folgenden Schritte aus:

  1. Wechseln Sie zurück zur Homepage des Azure-Portals, oder öffnen Sie das Randleistenmenü, und wählen Sie dann Ressource erstellen aus.

  2. Geben Sie im Suchfeld den Azure-Cache für Redisein. Verfeinern Sie Ihre Suche nur für Azure-Dienste, und wählen Sie Azure Cache für Redisaus.

  3. Konfigurieren Sie auf der Seite Neuer Redis Cache die Einstellungen für den neuen Cache.

    1. Wählen Sie einen Azure Managed Redis-Cache in der Cache-SKUaus.
    2. Wählen Sie eine entsprechende Option in der Cachegrößeaus.

  4. Wählen Sie die Registerkarte Netzwerk oder unten auf der Seite die Schaltfläche Netzwerk aus.

  5. Wählen Sie auf der Registerkarte Netzwerk die Option Privater Endpunkt als Konnektivitätsmethode aus.

  6. Wählen Sie die Schaltfläche + Hinzufügen aus, um Ihren privaten Endpunkt zu erstellen.

    Fügen Sie unter „Netzwerk“ einen privaten Endpunkt hinzu.

  7. Konfigurieren Sie auf der Seite Erstellen eines privaten Endpunkts die Einstellungen für Ihren privaten Endpunkt mit dem virtuellen Netzwerk und Subnetz, die Sie im letzten Abschnitt erstellt haben, und wählen Sie OK aus.

  8. Wählen Sie die Registerkarte Weiter: Erweitert oder unten auf der Seite die Schaltfläche Weiter: Erweitert aus.

  9. Aktivieren Sie auf der Registerkarte Erweitert für eine Basic- oder Standard-Cache-Instanz die Aktivierungsoption, wenn Sie einen TLS-fremden Port aktivieren möchten.

  10. Konfigurieren Sie auf der Registerkarte Advanced für eine Premium-Cache-Instanz die Einstellungen für einen TLS-fremden Port, Clustering und Datenpersistenz.

  11. Wählen Sie die Registerkarte Weiter: Tags oder unten auf der Seite die Schaltfläche Weiter: Tags aus.

  12. Geben Sie optional auf der Registerkarte Tags den Namen und den Wert ein, wenn Sie die Ressource kategorisieren möchten.

  13. Klicken Sie auf Überprüfen + erstellen. Sie werden zur Registerkarte Überprüfen und erstellen weitergeleitet, auf der Azure Ihre Konfiguration überprüft.

  14. Wenn die grüne Meldung „Validierung erfolgreich“ angezeigt wird, wählen Sie Erstellen aus.

Es dauert eine Weile, bis der Cache erstellt wird. Sie können den Fortschritt auf der Seite Übersicht von Azure Managed Redis überwachen. Wenn Wird ausgeführt als Status angezeigt wird, ist der Cache einsatzbereit.

Erstellen eines privaten Endpunkts mit einer vorhandenen Azure Managed Redis-Instanz

In diesem Abschnitt fügen Sie einer vorhandenen Azure Managed Redis-Instanz einen privaten Endpunkt hinzu.

Erstellen Sie ein virtuelles Netzwerk für Ihren bestehenden Cache

Führen Sie die folgenden Schritte aus, um ein virtuelles Netzwerk zu erstellen:

  1. Melden Sie sich beim Azure-Portal an, und wählen Sie dann Ressource erstellen aus.

  2. Wählen Sie auf der Seite Neu zuerst Netzwerk und anschließend Virtuelles Netzwerk aus.

  3. Wählen Sie Hinzufügen aus, um ein virtuelles Netzwerk zu erstellen.

  4. Geben Sie unter Virtuelles Netzwerk erstellen auf der Registerkarte Grundlegende Einstellungen die folgenden Informationen ein, oder wählen Sie sie aus:

    Einstellung Vorgeschlagener Wert BESCHREIBUNG
    Abonnement Öffnen Sie die Dropdownliste, und wählen Sie Ihr Abonnement aus. Das Abonnement, in dem Sie dieses virtuelle Netzwerk erstellen.
    Ressourcengruppe Öffnen Sie die Dropdownliste, und wählen Sie eine Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, und geben Sie einen Namen für eine neue Ressourcengruppe ein. Name der Ressourcengruppe, in der Ihr virtuelles Netzwerk und weitere Ressourcen erstellt werden. Wenn Sie alle Ihre App-Ressourcen in einer Ressourcengruppe zusammenfassen, können Sie sie einfacher gemeinsam verwalten oder löschen.
    Name Geben Sie einen Namen für das virtuelle Netzwerk ein. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen, auf einen Buchstaben, eine Ziffer oder einen Unterstrich enden und darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten.
    Region Öffnen Sie die Dropdownliste, und wählen Sie eine Region aus. Wählen Sie eine Region in der Nähe anderer Dienste, die Ihr virtuelles Netzwerk nutzen.

  5. Wählen Sie die Registerkarte IP-Adressen oder die Schaltfläche Weiter: IP-Adressen am unteren Seitenrand aus.

  6. Geben Sie auf der Registerkarte IP-Adressen den IPv4-Adressraum als eine oder mehrere Adresspräfixe in CIDR-Schreibweise an (z. B. 192.168.1.0/24).

  7. Wählen Sie unter Subnetzname die Option Standard aus, um die Eigenschaften des Subnetzes zu bearbeiten.

  8. Geben Sie im Bereich Subnetz bearbeiten einen Subnetznamen sowie den Subnetzadressbereich an. Der Adressbereich des Subnetzes in CIDR-Schreibweise (z. B. 192.168.1.0/24). Er muss innerhalb des Adressraums des virtuellen Netzwerks liegen.

  9. Wählen Sie Speichern aus.

  10. Wählen Sie die Registerkarte Überprüfen + erstellen oder die Schaltfläche Überprüfen + erstellen aus.

  11. Vergewissern Sie sich, dass alle Informationen richtig sind, und wählen Sie Erstellen aus, um das virtuelle Netzwerk zu erstellen.

Erstellen eines privaten Endpunkts

Um einen privaten Endpunkt zu erstellen, führen Sie die folgenden Schritte aus:

  1. Suchen Sie im Azure-Portal nach Azure Cache for Redis. Drücke anschließend die Eingabetaste oder wähle es aus den Suchvorschlägen für deinen Cache aus.

  2. Wählen Sie die Cache-Instanz aus, der Sie einen privaten Endpunkt hinzufügen möchten.

  3. Wählen Sie im linken Bildschirmbereich Private Endpunkte aus.

  4. Wählen Sie die Schaltfläche Privater Endpunkt aus, um Ihren privaten Endpunkt zu erstellen.

  5. Konfigurieren Sie auf der Seite Privaten Endpunkt erstellen die Einstellungen für Ihren privaten Endpunkt.

    Einstellung Vorgeschlagener Wert BESCHREIBUNG
    Abonnement Öffnen Sie die Dropdownliste, und wählen Sie Ihr Abonnement aus. Das Abonnement, in dem Sie diesen privaten Endpunkt erstellen.
    Ressourcengruppe Öffnen Sie die Dropdownliste, und wählen Sie eine Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, und geben Sie einen Namen für eine neue Ressourcengruppe ein. Der Name der Ressourcengruppe, in der Ihr privater Endpunkt und weitere Ressourcen erstellt werden. Wenn Sie alle Ihre App-Ressourcen in einer Ressourcengruppe zusammenfassen, können Sie sie einfacher gemeinsam verwalten oder löschen.
    Name Geben Sie einen Namen für den privaten Endpunkt ein. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen, auf einen Buchstaben, eine Ziffer oder einen Unterstrich enden und darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten.
    Region Öffnen Sie die Dropdownliste, und wählen Sie eine Region aus. Wählen Sie eine Region in der Nähe anderer Dienste aus, die Ihren privaten Endpunkt verwenden.

  6. Wählen Sie unten auf der Seite die Schaltfläche Next: Ressource aus.

  7. Wählen Sie auf der Registerkarte Ressource Ihr Abonnement aus, wählen Sie Microsoft.Cache/redisEnterprise als Ressourcentyp aus, und wählen Sie dann den Cache aus, mit dem Sie den privaten Endpunkt verbinden möchten.

  8. Wählen Sie unten auf der Seite die Schaltfläche Next: Konfiguration aus.

  9. Wählen Sie unten auf der Seite die Schaltfläche Weiter: Virtuelles Netzwerk aus.

  10. Wählen Sie auf der Registerkarte Konfiguration das im vorherigen Abschnitt erstellte virtuelle Netzwerk und Subnetz aus.

  11. Wählen Sie auf der Registerkarte Virtuelles Netzwerk das im vorherigen Abschnitt erstellte virtuelle Netzwerk und Subnetz aus.

  12. Wählen Sie unten auf der Seite die Schaltfläche Next: Tags (Weiter: Tags) aus.

  13. Geben Sie optional auf der Registerkarte Tags den Namen und den Wert ein, wenn Sie die Ressource kategorisieren möchten.

  14. Klicken Sie auf Überprüfen + erstellen. Sie werden zur Registerkarte Überprüfen und erstellen weitergeleitet, auf der Azure Ihre Konfiguration überprüft.

  15. Wenn die grüne Meldung Validierung erfolgreich angezeigt wird, wählen Sie Erstellen aus.

Wichtig

Es gibt ein publicNetworkAccess-Flag, das standardmäßig Disabled ist. Sie können den Wert auch auf Disabled oder Enabled festlegen. Wenn dieses Flag auf aktiviert gesetzt ist, erlaubt es sowohl den öffentlichen als auch den privaten Endpunktzugriff auf den Cache. Wenn es auf Disabled gesetzt ist, erlaubt es nur den Zugriff privater Endpunkte. Weitere Informationen zum Ändern des Wertes finden Sie in der FAQ.

Erstellen eines privaten Endpunkts mit Azure PowerShell

Um einen privaten Endpunkt namens MyPrivateEndpoint für eine vorhandene Azure Managed Redis-Instanz zu erstellen, führen Sie das folgende PowerShell-Skript aus. Ersetzen Sie die Variablenwerte durch die entsprechenden Angaben für Ihre Umgebung:


$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"

# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"

$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"

$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
 
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $ResourceGroupName -Name $VNetName  
 
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object  {$_.Name -eq $SubnetName}  
 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet  $subnet -PrivateLinkServiceConnection $privateEndpointConnection

Abrufen eines privaten Endpunkts mit Azure PowerShell

Verwenden Sie den folgenden PowerShell-Befehl, um die Details eines privaten Endpunkts zu erhalten:

Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Entfernen eines privaten Endpunkts mit Azure PowerShell

Verwenden Sie den folgenden PowerShell-Befehl, um einen privaten Endpunkt zu entfernen:

Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Erstellen eines privaten Endpunkts mit Azure CLI

Um einen privaten Endpunkt namens MyPrivateEndpoint für eine vorhandene Azure Managed Redis-Instanz zu erstellen, führen Sie das folgende Azure CLI-Skript aus. Ersetzen Sie die Variablenwerte durch die entsprechenden Angaben für Ihre Umgebung:

# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"

# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"

# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"

# Name of the virtual network to create
VNetName="myVnet"

# Name of the subnet to create
SubnetName="mySubnet"

# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"

# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"

az network vnet create \
    --name $VNetName \
    --resource-group $ResourceGroupName \
    --subnet-name $SubnetName

az network vnet subnet update \
    --name $SubnetName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName \
    --disable-private-endpoint-network-policies true

az network private-endpoint create \
    --name $PrivateEndpointName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName  \
    --subnet $SubnetName \
    --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
    --group-ids "redisEnterprise" \
    --connection-name $PrivateConnectionName

Abrufen eines privaten Endpunkts mit Azure CLI

Verwenden Sie den folgenden CLI-Befehl, um die Details eines privaten Endpunkts zu erhalten:

az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup

Entfernen eines privaten Endpunkts mit Azure CLI

Verwenden Sie den folgenden CLI-Befehl, um einen privaten Endpunkt zu entfernen:

az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup

Häufig gestellte Fragen

Herstellen einer Verbindung mit meinem Cache mit privatem Endpunkt

Ihre Anwendung sollte über Port 10000 eine Verbindung mit <cachename>.<region>.redis.azure.net herstellen. Eine private DNS-Zone mit dem Namen *.privatelink.redis.azure.net wird automatisch in Ihrem Abonnement erstellt. Die private DNS-Zone ist von entscheidender Bedeutung für die Herstellung der TLS-Verbindung mit dem privaten Endpunkt. Wir empfehlen, die Verwendung von <cachename>.privatelink.redis.azure.net in der Konfiguration für die Client-Verbindung zu vermeiden.

Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.

Warum kann ich keine Verbindung mit einem privaten Endpunkt herstellen?

  • Private Endpoints können nicht mit Ihrer Cache-Instanz verwendet werden, wenn Ihr Cache bereits ein in ein virtuelles Netzwerk (VNet) eingebundener Cache ist.

  • Azure Managed Redis Caches sind auf 84 private Links beschränkt.

  • Sie versuchen, Daten dauerhaft im Speicherkonto zu speichern, in dem Firewallregeln angewendet werden, die Sie möglicherweise daran hindern können, die private Verbindung zu erstellen.

  • Möglicherweise stellen Sie keine Verbindung mit Ihrem privaten Endpunkt her, wenn Ihre Cache-Instanz ein nicht unterstütztes Feature verwendet.

Welche Features werden von privaten Endpunkten nicht unterstützt?

  • Es gibt keine Einschränkung für die Verwendung eines privaten Endpunkts mit Azure Managed Redis (Vorschau).

Wie kann ich überprüfen, ob mein privater Endpunkt richtig konfiguriert ist?

Wechseln Sie im Portal im Menü „Ressource“ zu Übersicht. Im Arbeitsbereich wird der Hostname für Ihren Cache angezeigt. Um zu überprüfen, ob der Befehl die private IP-Adresse des Caches auflöst, führen Sie einen Befehl wie nslookup <hostname> aus dem VNet aus, das mit dem privaten Endpunkt verknüpft ist.

Im Azure-Portal, private Endpunkt D N S-Einstellungen.

Wie kann ich meinen privaten Endpunkt so ändern, dass der öffentliche Netzwerkzugriff auf ihn deaktiviert oder aktiviert ist?

Um den Wert im Azure-Portal zu ändern, führen Sie die folgenden Schritte aus:

  1. Suchen Sie im Azure-Portal nach Azure Managed Redis. Drücken Sie dann die EINGABETASTE, oder wählen Sie den Eintrag in den Suchvorschlägen aus.

  2. Wählen Sie die Cache-Instanz aus, für die Sie den Wert für den öffentlichen Netzwerkzugang ändern möchten.

  3. Wählen Sie im linken Bildschirmbereich Private Endpunkte aus.

  4. Löschen Sie den privaten Endpunkt.

Wie kann ich mehrere Endpunkte in unterschiedlichen virtuellen Netzwerken haben?

Um mehrere private Endpunkte in unterschiedlichen virtuellen Netzwerken zu verwenden, muss die private DNS-Zone manuell für die verschiedenen virtuellen Netzwerke konfiguriert werden, bevor der private Endpunkt erstellt wird. Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.

Was passiert, wenn ich alle privaten Endpunkte in meinem Cache lösche?

Wenn Sie alle privaten Endpunkte in Ihrem Azure Managed Redis (Vorschau)-Cache löschen, hat das Netzwerk standardmäßig zugriff auf öffentliche Netzwerke.

Sind Netzwerksicherheitsgruppen (NSGs) für private Endpunkte aktiviert?

Nein, sie sind für private Endpunkte deaktiviert. Während Subnetzen, die den privaten Endpunkt enthalten, eine NSG zugeordnet sein kann, gelten die Regeln nicht für den vom privaten Endpunkt verarbeiteten Datenverkehr. Sie müssen die Durchsetzung von Netzwerkrichtlinien deaktivieren, um private Endpunkte in einem Subnetz bereitzustellen zu können. Die NSG wird weiterhin für andere Workloads erzwungen, die im selben Subnetz gehostet werden. Routen auf jedem Client-Subnetz verwenden ein /32-Präfix. Um das Standard-Routing-Verhalten zu ändern, ist eine ähnliche benutzerdefinierte Route (UDR) erforderlich.

Steuern Sie den Datenverkehr, indem Sie auf Quellclients NSG-Regeln für ausgehenden Datenverkehr verwenden. Stellen Sie einzelne Routen mit /32-Präfix zum Außerkraftsetzen von Routen privater Endpunkte bereit. NSG Flow-Protokolle und Daten zur Überwachung ausgehender Verbindungen werden weiterhin unterstützt und können verwendet werden.

Meine Instanz des privaten Endpunkts befindet sich nicht in meinem VNet. Wie wird sie meinem VNet zugeordnet?

Ihr privater Endpunkt ist nur mit Ihrem VNet verknüpft. Da sie sich nicht in Ihrem VNet befindet, müssen NSG-Regeln für abhängige Endpunkte nicht geändert werden.

Zugehöriger Inhalt