¿Qué es Azure Managed Redis (versión preliminar) con Azure Private Link?

En este artículo, aprenderá a crear una red virtual y una instancia de Azure Managed Redis (versión preliminar) con un punto de conexión privado mediante Azure Portal. También aprenderá a agregar un punto de conexión privado a una instancia existente de Azure Managed Redis.

Azure Private Endpoint es una interfaz de red que le conecta de forma privada y segura a Azure Managed Redis con tecnología Azure Private Link.

Importante

El uso de un punto de conexión privado para conectarse a una red virtual es la solución recomendada para proteger el recurso de Azure Managed Redis (versión preliminar) en la capa de red.

Requisitos previos

• Una suscripción a Azure: cree una cuenta gratuita

Cree un punto de conexión privado con una nueva instancia de Azure Managed Redis

En esta sección, se crea una nueva instancia de Azure Managed Redis con un punto de conexión privado.

Creación de una red virtual para la nueva memoria caché

Para crear una caché mediante el portal:

1. Inicie sesión en Azure Portal y después seleccione Crear un recurso.

   

2. En la página Nuevo, seleccione Redes y seleccione Red virtual.

3. Seleccione Agregar para crear una red virtual.

4. En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:

   Parámetro	Valor sugerido	Descripción
   Suscripción	Desplácese hacia abajo y seleccione su suscripción.	La suscripción en la que se crea esta red virtual.
   Grupo de recursos	Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos.	Nombre del grupo de recursos en el que se van a crear la memoria caché y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente.
   Nombre	Escriba un nombre de red virtual.	El nombre debe comenzar con una letra o un número, acabar con una letra, un número o un carácter de subrayado y contener solo letras, números, caracteres de subrayado, puntos o guiones.
   Región	Desplácese hacia abajo y seleccione una región.	Seleccione una región cerca de otros servicios que usan la red virtual.

5. Seleccione la pestaña Direcciones IP o el botón Siguiente: Direcciones IP situado en la parte inferior de la página.

6. En la pestaña Direcciones IP, especifique el espacio de direcciones IPv4 como uno o varios prefijos de dirección en la notación CIDR (por ejemplo, 192.168.1.0/24).

7. En Nombre de subred, seleccione en predeterminada para editar las propiedades de la subred.

8. En el panel Editar subred, especifique un nombre en Nombre de subred y un valor en Intervalo de direcciones de subred. Se debe usar la notación CIDR para el intervalo de direcciones de la subred (por ejemplo, 192.168.1.0/24). Debe incluirse en el espacio de direcciones de la red virtual.

9. Seleccione Guardar.

10. Seleccione la pestaña Revisar y crear o el botón Revisar y crear.

11. Compruebe que toda la información es correcta y seleccione Crear para crear la red virtual.

Cree una instancia de Azure Managed Redis con un punto de conexión privado

Para crear una instancia de caché, siga estos pasos:

1. Vuelva a la página principal de Azure Portal o abra el menú de barra lateral y seleccione Crear un recurso.

2. En el cuadro de búsqueda, escriba Azure Cache for Redis. Restrinja la búsqueda solo en los servicios de Azure y seleccione Azure Cache for Redis.

3. En la página Nueva instancia de Redis Cache, configure las opciones de la nueva caché.

   1. Seleccione una caché de Azure Managed Redis en SKU de caché.
   2. Seleccione una opción adecuada en Tamaño de caché.

4. Seleccione la pestaña Redes o elija el botón Redes situado en la parte inferior de la página.

5. En la pestaña Redes, seleccione Punto de conexión privado para el método de conectividad.

6. Seleccione el botón + Agregar para crear el punto de conexión privado.

   

7. En la página Crear un punto de conexión privado, defina la configuración del punto de conexión privado con la red virtual y la subred que creó en la última sección y seleccione Aceptar.

8. Seleccione la pestaña Siguiente: Opciones avanzadas o seleccione el botón Siguiente: Opciones avanzadas en la parte inferior de la página.

9. En la pestaña Opciones avanzadas de una instancia de caché básica o estándar, seleccione el botón de alternancia de habilitación si desea habilitar un puerto que no sea TLS.

10. En la pestaña Opciones avanzadas de la instancia de caché Premium, configure el puerto no TLS, la agrupación en clústeres y la persistencia de datos.

11. Seleccione el botón Siguiente: Opciones avanzadas o elija el botón Siguiente: Etiquetas situado en la parte inferior de la página.

12. Opcionalmente, en la pestaña Etiquetas, escriba el nombre y el valor si desea clasificar el recurso.

13. Seleccione Revisar + crear. Pasará a la pestaña Revisar y crear, donde Azure valida la configuración.

14. Tras aparecer el mensaje verde Validación superada, seleccione Crear.

La caché tarda un tiempo en crearse. Puede supervisar el progreso en la página Información general de Azure Managed Redis. Cuando Estado se muestra como En ejecución, la memoria caché está lista para su uso.

Cree un punto de conexión privado con una instancia de Azure Managed Redis existente

En esta sección, se agrega un punto de conexión privado a una instancia de Azure Managed Redis existente.

Creación de una red virtual para la memoria caché existente

Para crear una red virtual, siga estos pasos:

1. Inicie sesión en Azure Portal y después seleccione Crear un recurso.

2. En la página Nuevo, seleccione Redes y seleccione Red virtual.

3. Seleccione Agregar para crear una red virtual.

4. En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:

   Parámetro	Valor sugerido	Descripción
   Suscripción	Desplácese hacia abajo y seleccione su suscripción.	La suscripción en la que se crea esta red virtual.
   Grupo de recursos	Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos.	Nombre del grupo de recursos en el que se van a crear la memoria caché y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente.
   Nombre	Escriba un nombre de red virtual.	El nombre debe comenzar con una letra o un número, acabar con una letra, un número o un carácter de subrayado y contener solo letras, números, caracteres de subrayado, puntos o guiones.
   Región	Desplácese hacia abajo y seleccione una región.	Seleccione una región cerca de otros servicios que usan la red virtual.

5. Seleccione la pestaña Direcciones IP o el botón Siguiente: Direcciones IP situado en la parte inferior de la página.

6. En la pestaña Direcciones IP, especifique el espacio de direcciones IPv4 como uno o varios prefijos de dirección en la notación CIDR (por ejemplo, 192.168.1.0/24).

7. En Nombre de subred, seleccione en predeterminada para editar las propiedades de la subred.

8. En el panel Editar subred, especifique un nombre en Nombre de subred y un valor en Intervalo de direcciones de subred. Se debe usar la notación CIDR para el intervalo de direcciones de la subred (por ejemplo, 192.168.1.0/24). Debe incluirse en el espacio de direcciones de la red virtual.

9. Seleccione Guardar.

10. Seleccione la pestaña Revisar y crear o el botón Revisar y crear.

11. Compruebe que toda la información es correcta y seleccione Crear para crear la red virtual.

Creación de un punto de conexión privado

Para crear un punto de conexión privado, siga estos pasos:

1. En Azure Portal, busque Azure Cache for Redis. A continuación, presione entrar o selecciónelo en las sugerencias de búsqueda de la memoria caché.

2. Seleccione la instancia de caché a la que desea agregar un punto de conexión privado.

3. En el lado izquierdo de la pantalla, seleccione Puntos de conexión privados.

4. Seleccione el botón Punto de conexión privado para crear el punto de conexión privado.

5. En la página Crear un punto de conexión privado, configure las opciones del punto de conexión privado.

   Configuración	Valor sugerido	Descripción
   Suscripción	Desplácese hacia abajo y seleccione su suscripción.	La suscripción en la que se crea este punto de conexión privado.
   Grupo de recursos	Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos.	Nombre del grupo de recursos en el que se van a crear el punto de conexión privado y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente.
   Nombre	Escriba un nombre de punto de conexión privado.	El nombre debe comenzar con una letra o un número, acabar con una letra, un número o un carácter de subrayado, y puede contener solo letras, números, caracteres de subrayado, puntos o guiones.
   Región	Desplácese hacia abajo y seleccione una región.	Seleccione una región cerca de los otros servicios que usan el punto de conexión privado.

6. Seleccione el botón Siguiente: Recurso en la parte inferior de la página.

7. En la pestaña Recurso, seleccione su suscripción, elija el tipo de recurso Microsoft.Cache/redisEnterprise y seleccione la memoria caché a la que desea conectar el punto de conexión privado.

8. Seleccione el botón Siguiente: Configuración situado en la parte inferior de la página.

9. Seleccione el botón Siguiente: red virtual de la parte inferior de la página.

10. En la pestaña Configuración, seleccione la red virtual y la subred que creó en la sección anterior.

11. En la pestaña Red virtual, seleccione la red virtual y la subred que creó en la sección anterior.

12. Seleccione el botón Siguiente: Etiquetas situado en la parte inferior de la página.

13. Opcionalmente, en la pestaña Etiquetas, escriba el nombre y el valor si desea clasificar el recurso.

14. Seleccione Revisar + crear. Pasará a la pestaña Revisar y crear, donde Azure valida la configuración.

15. Tras aparecer el mensaje verde Validación superada, seleccione Crear.

Importante

Hay una marca publicNetworkAccess que está establecida en Disabled de manera predeterminada. Puede establecer el valor en Disabled o Enabled. Cuando se establece en habilitado, esta marca permite el acceso del punto de conexión público y privado a la memoria caché. Cuando se establece en Disabled, solo permite el acceso a puntos de conexión privados. Para más información sobre cómo cambiar el valor, consulte las preguntas más frecuentes.

Creación de un punto de conexión privado mediante Azure PowerShell

Para crear un punto de conexión privado denominado MyPrivateEndpointpara una instancia de Azure Managed Redis existente, ejecute la siguiente secuencia de comandos de PowerShell. Reemplace los valores de las variables por los detalles de su entorno:

$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"

# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"

$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"

$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
 
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $ResourceGroupName -Name $VNetName  
 
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object  {$_.Name -eq $SubnetName}  
 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet  $subnet -PrivateLinkServiceConnection $privateEndpointConnection

Recuperación de un punto de conexión privado mediante Azure PowerShell

Para obtener los detalles de un punto de conexión privado, use este comando de PowerShell:

Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Eliminación de un punto de conexión privado mediante Azure PowerShell

Para quitar un punto de conexión privado, use el siguiente comando de PowerShell:

Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Creación de un punto de conexión privado mediante la CLI de Azure

Para crear un punto de conexión privado denominado myPrivateEndpoint para una instancia de Azure Managed Redis existente, ejecute la siguiente secuencia de comandos de la CLI de Azure. Reemplace los valores de las variables por los detalles de su entorno:

# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"

# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"

# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"

# Name of the virtual network to create
VNetName="myVnet"

# Name of the subnet to create
SubnetName="mySubnet"

# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"

# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"

az network vnet create \
    --name $VNetName \
    --resource-group $ResourceGroupName \
    --subnet-name $SubnetName

az network vnet subnet update \
    --name $SubnetName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName \
    --disable-private-endpoint-network-policies true

az network private-endpoint create \
    --name $PrivateEndpointName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName  \
    --subnet $SubnetName \
    --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
    --group-ids "redisEnterprise" \
    --connection-name $PrivateConnectionName

Recuperación de un punto de conexión privado mediante la CLI de Azure

Para obtener los detalles de un punto de conexión privado, use el siguiente comando de la CLI:

az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup

Eliminación de un punto de conexión privado mediante la CLI de Azure

Para quitar un punto de conexión privado, use el siguiente comando de la CLI:

az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup

Preguntas más frecuentes

• ¿Cómo conectarse a la caché con un punto de conexión privado?
• ¿Por qué no puedo conectarme a un punto de conexión privado?
• ¿Qué características no son compatibles con los puntos de conexión privados?
• ¿Cómo compruebo si mi punto de conexión privado está configurado correctamente?
• ¿Cómo puedo cambiar el punto de conexión privado para que esté deshabilitado o habilitado el acceso desde la red pública?
• ¿Cómo puedo tener varios puntos de conexión en diferentes redes virtuales?
• ¿Qué ocurre si se eliminan todos los puntos de conexión privados de la caché?
• ¿Están habilitados los grupos de seguridad de red (NSG) para los puntos de conexión privados?
• Mi instancia de punto de conexión privado no está en mi red virtual, por tanto, ¿cómo se asocia a la red virtual?

¿Cómo conectarse a la caché con un punto de conexión privado?

La aplicación debe conectarse a <cachename>.<region>.redis.azure.net en el puerto 10000. Una zona DNS privada, denominada *.privatelink.redis.azure.net, se crea automáticamente en la suscripción. La zona DNS privada es fundamental para establecer la conexión TLS con el punto de conexión privado. Se recomienda evitar el uso de <cachename>.privatelink.redis.azure.net en la configuración de la conexión de cliente.

Para más información, consulte Configuración de DNS para puntos de conexión privados de Azure.

¿Por qué no puedo conectarme a un punto de conexión privado?

• Los puntos de conexión privados no se pueden usar con la instancia de caché si la memoria caché ya es una red virtual (VNet) insertada.

• Las cachés de Azure Managed Redis están limitadas a 84 vínculos privados.

• Si intenta conservar los datos en la cuenta de almacenamiento a la que se han aplicado las reglas de firewall, podría impedir que cree la instancia de Private Link.

• Si la instancia de caché usa una característica no admitida, es posible que no pueda conectarse al punto de conexión privado.

¿Qué características no son compatibles con los puntos de conexión privados?

• No hay ninguna restricción para usar el punto de conexión privado con Azure Managed Redis (versión preliminar).

¿Cómo compruebo si mi punto de conexión privado está configurado correctamente?

Vaya a Información general en el menú Recursos del portal. Verá el nombre de host de la memoria caché en el panel de trabajo. Para comprobar que el comando se resuelve en la dirección IP privada de la memoria caché, ejecute un comando como nslookup <hostname> desde la red virtual vinculada al punto de conexión privado.

¿Cómo puedo cambiar el punto de conexión privado para que esté deshabilitado o habilitado el acceso desde la red pública?

Para cambiar el valor en Azure Portal, siga estos pasos:

1. En Azure portal, busque Azure Managed Redis. Después, presione Entrar o selecciónelo en las sugerencias de búsqueda.

2. Seleccione la instancia de caché en la que quiere cambiar el valor de acceso a la red pública.

3. En el lado izquierdo de la pantalla, seleccione Puntos de conexión privados.

4. Elimine el punto de conexión privado.

¿Cómo puedo tener varios puntos de conexión en diferentes redes virtuales?

Para tener varios puntos de conexión privados en distintas redes virtuales, la zona DNS privada debe configurarse manualmente en las varias redes virtuales antes de crear el punto de conexión privado. Para obtener más información, vea Configuración de DNS para puntos de conexión privados de Azure.

¿Qué ocurre si se eliminan todos los puntos de conexión privados de la caché?

Si elimina todos los puntos de conexión privados en la caché de Azure Managed Redis (versión preliminar), los valores predeterminados de red deben tener acceso a la red pública.

¿Están habilitados los grupos de seguridad de red (NSG) para los puntos de conexión privados?

No, están deshabilitados para los puntos de conexión privados. Si bien las subredes que contienen el punto de conexión privado pueden tener un grupo de seguridad de red asociado, las reglas no son efectivas en el tráfico procesado por el punto de conexión privado. Debe tener la aplicación de directivas de red deshabilitada para implementar puntos de conexión privados en una subred. El grupo de seguridad de red se sigue aplicando en otras cargas de trabajo hospedadas en la misma subred. Las rutas en cualquier subred de cliente usan un prefijo /32, el cambio del comportamiento de enrutamiento predeterminado requiere una UDR similar.

Controle el tráfico mediante el uso de reglas del grupo de seguridad de red para el tráfico saliente en los clientes de origen. Implementación de rutas individuales con un prefijo /32 para invalidar rutas de punto de conexión privado. Todavía se admiten los registros de flujo del NSG y la información de supervisión de las conexiones salientes y se pueden usar.

Mi instancia de punto de conexión privado no está en mi red virtual, por tanto, ¿cómo se asocia a la red virtual?

El punto de conexión privado solo está vinculado a la red virtual. Dado que no está en la red virtual, no es necesario modificar las reglas del grupo de seguridad de red para los puntos de conexión dependientes.

Contenido relacionado

• Para más información sobre Azure Private Link, consulte la documentación de Azure Private Link.
• Para comparar las distintas opciones de aislamiento de red para la memoria caché, consulte Opciones de aislamiento de red de Azure Cache for Redis.