Opciones de aislamiento de red de Azure Cache for Redis
En este artículo, obtendrá información sobre cómo determinar la mejor solución de aislamiento de red para sus necesidades. Trataremos los aspectos básicos de Azure Private Link (recomendado), la inserción de Azure Virtual Network (VNet) y las reglas de Firewall. Analizaremos sus ventajas y limitaciones.
Azure Private Link (recomendado)
Azure Private Link proporciona conectividad privada desde una red virtual a los servicios PaaS de Azure. Private Link simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure. Private Link también elimina la exposición de los datos a la red pública de Internet.
Ventajas de Private Link
Private Link es compatible con los todos los niveles: Básico, Estándar, Premium, Enterprise y Enterprise Flash de las instancias de Azure Cache for Redis.
Mediante Azure Private Link, puede conectarse a una instancia de Azure Cache desde la red virtual a través de un punto de conexión privado. Al punto de conexión se le asigna una dirección IP privada de una subred dentro de la red virtual. Con este vínculo privado, las instancias de caché están disponibles tanto dentro de la red virtual como de forma pública.
Importante
No se puede acceder públicamente a las memorias caché de Enterprise/Enterprise Flash con vínculo privado.
Una vez creado un punto de conexión privado en los niveles de caché Básico, Estándar o Premium, el acceso a la red pública se puede restringir a través de la marca
publicNetworkAccess
. Esta marca se establece enDisabled
de forma predeterminada, lo que solo permitirá el acceso de vínculos privados. Puede establecer el valor enEnabled
oDisabled
con una solicitud PATCH. Para obtener más información, consulte Azure Cache for Redis con Azure Private Link.Importante
El nivel Enterprise/Enterprise Flash no admite la marca
publicNetworkAccess
.Ninguna dependencia de caché externa afecta a las reglas de NSG de VNet.
La conservación de las cuentas de almacenamiento protegidas con reglas de firewall se admite en el nivel Premium cuando se usa la identidad administrada para conectarse a la cuenta de almacenamiento, consulte más Importación y exportación de datos en Azure Cache for Redis
Private Link ofrece menos privilegios al reducir la cantidad de acceso que tiene la memoria caché a otros recursos de red. Private Link impide que un actor incorrecto inicie el tráfico al resto de la red.
Limitaciones de Private Link
- Actualmente, la consola del portal no se admite para las memorias caché con Private Link.
Nota:
Al agregar un punto de conexión privado a una instancia de caché, todo el tráfico de Redis se mueve al punto de conexión privado debido al DNS. Asegúrese de que se ajustan antes las reglas de firewall anteriores.
Inserción de Azure Virtual Network
Precaución
No se recomienda la inyección de red virtual. Para más información, consulte Limitaciones de la inyección de red virtual.
Virtual Network (VNet) permite que muchos recursos de Azure se puedan comunicar de forma segura entre ellos, con Internet y con redes en el entorno local. Una red virtual es como una red tradicional que usaría en su propio centro de datos.
Limitaciones de la inserción de red virtual
La creación y mantenimiento de configuraciones de red virtual conlleva riesgo de errores. Solucionar problemas también tiene sus complicaciones. Las configuraciones de red virtual incorrectas pueden provocar problemas:
transmisión de métricas obstruidas desde las instancias de caché
error del nodo de réplica al replicar datos del nodo principal
posible pérdida de datos
error de operaciones de administración, como el escalado
errores intermitentes o completos de SSL/TLS
error al aplicar actualizaciones, incluidas las mejoras importantes de seguridad y confiabilidad
en los peores casos, pérdida de disponibilidad
Al usar una caché insertada de red virtual, debe mantener actualizada la red virtual para permitir el acceso a las dependencias de caché, como listas de revocación de certificados, infraestructura de clave pública, Azure Key Vault, Azure Storage, Azure Monitor, etc.
Las cachés inyectadas en VNet solo están disponibles para las instancias de Azure Cache for Redis de nivel Premium, no en otros niveles.
No se puede insertar una instancia existente de Azure Cache for Redis en una red virtual. Hay que seleccionar esta opción al crear la caché.
Reglas de firewall
Azure Cache for Redis permite configurar reglas de firewall para especificar la dirección IP que desea permitir para conectarse a la instancia de Azure Cache for Redis.
Ventajas de las reglas de firewall
- Cuando se configuran las reglas de firewall, solo las conexiones de cliente de los intervalos de direcciones IP especificados pueden conectarse a la memoria caché. Siempre se permiten las conexiones de los sistemas de supervisión de Azure Cache for Redis, incluso si se configuran reglas de firewall. También se permiten las reglas de NSG que defina.
Limitaciones de las reglas de firewall
- Las reglas de firewall se pueden aplicar a una caché de punto de conexión privado solo si el acceso a la red pública está habilitado. Si el acceso a la red pública está habilitado en la caché del punto de conexión privado sin ninguna regla de firewall, la caché acepta todo el tráfico de red pública.
- La configuración de reglas de firewall está disponible para todos los niveles Básico, Estándar y Premium.
- La configuración de reglas de firewall no está disponible para los niveles Enterprise ni Enterprise Flash.
Pasos siguientes
- Obtenga información sobre cómo configurar una memoria caché insertada de VNet para una instancia Premium de Azure Cache for Redis.
- Obtenga información sobre cómo configurar reglas de firewall para todos los niveles de Azure Cache for Redis.
- Obtenga información sobre cómo configurar puntos de conexión privados para todos los niveles de Azure Cache for Redis.