Che cos'è Redis gestito di Azure (anteprima) con collegamento privato di Azure?

Questo articolo illustra come creare una rete virtuale e un'istanza di Redis gestita di Azure (anteprima) con un endpoint privato usando il portale di Azure. Si apprenderà anche come aggiungere un endpoint privato a un'istanza di Redis gestita di Azure esistente.

Un endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a Managed Redis di Azure basato su Collegamento privato di Azure.

Importante

L'uso dell'endpoint privato per connettersi a un Rete virtuale è la soluzione consigliata per proteggere la risorsa Redis gestita di Azure (anteprima) a livello di rete.

Prerequisiti

• Sottoscrizione di Azure: creare un account gratuito

Creare un endpoint privato con una nuova istanza di Redis gestita di Azure

In questa sezione viene creata una nuova istanza di Redis gestita di Azure con un endpoint privato.

Creare una rete virtuale per la nuova cache

Per creare una cache usando il portale:

1. Accedere al portale di Azure e selezionare Crea una risorsa.

   

2. Nella pagina Nuovo selezionare Rete e quindi Rete virtuale.

3. Selezionare Aggiungi per creare una rete virtuale.

4. In Crea rete virtuale immettere o selezionare queste informazioni nella scheda Generale:

   Impostazione	Valore suggerito	Descrizione
   Abbonamento	Nell'elenco a discesa selezionare la sottoscrizione.	Sottoscrizione in cui si crea la rete virtuale.
   Gruppo di risorse	Nell'elenco a discesa selezionare un gruppo di risorse oppure scegliere Crea nuovo e immettere il nome di un nuovo gruppo di risorse.	Nome del gruppo di risorse in cui creare la rete virtuale e altre risorse. L'inserimento di tutte le risorse di un'app in un unico gruppo di risorse ne semplifica la gestione o l'eliminazione.
   Nome	Immettere un nome di rete virtuale.	Il nome deve: iniziare con una lettera o un numero; terminare con una lettera, un numero o un carattere di sottolineatura; e contengono solo lettere, numeri, caratteri di sottolineatura, punti o trattini.
   Area	A discesa e selezionare un'area.	Selezionare un'area vicina ad altri servizi che usano la rete virtuale.

5. Selezionare la scheda Indirizzi IP oppure il pulsante Avanti: Indirizzi IP nella parte inferiore della pagina.

6. Nella scheda Indirizzi IP specificare lo spazio indirizzi IPv4 come uno o più prefissi di indirizzo nella notazione CIDR, ad esempio 192.168.1.0/24.

7. In Nome subnet selezionare per impostazione predefinita per modificare le proprietà della subnet.

8. Nel riquadro Modifica subnet specificare un nome subnet e l'intervallo di indirizzi subnet. L'intervallo di indirizzi della subnet deve trovarsi nella notazione CIDR, ad esempio 192.168.1.0/24. Deve essere incluso nello spazio indirizzi della rete virtuale.

9. Seleziona Salva.

10. Selezionare la scheda Rivedi e crea oppure il pulsante Rivedi e crea.

11. Verificare che tutte le informazioni siano corrette e selezionare Crea per creare la rete virtuale.

Creare un'istanza di Redis gestita di Azure con un endpoint privato

Per creare un'istanza della cache, seguire questa procedura:

1. Tornare alla home page portale di Azure o aprire il menu della barra laterale, quindi selezionare Crea una risorsa.

2. Nella casella di ricerca digitare cache di Azure per Redis. Ridefinire la ricerca solo nei servizi di Azure e selezionare cache di Azure per Redis.

3. Nella pagina Nuova cache Redis configurare le impostazioni per la nuova cache.

   1. Selezionare una cache Redis gestita di Azure nello SKU della cache.
   2. Selezionare un'opzione appropriata in Dimensioni cache.

4. Selezionare la scheda Rete o selezionare il pulsante Rete nella parte inferiore della pagina.

5. Nella scheda Rete selezionare Endpoint privato per il metodo di connettività.

6. Selezionare il pulsante Aggiungi per creare l'endpoint privato.

   

7. Nella pagina Crea un endpoint privato configurare le impostazioni per l'endpoint privato con la rete virtuale e la subnet create nell'ultima sezione e selezionare OK.

8. Selezionare la scheda Avanti: Avanzate oppure selezionare il pulsante Avanti: Avanzate nella parte inferiore della pagina.

9. Nella scheda Avanzate per un'istanza della cache Basic o Standard selezionare l'interruttore Abilita se si vuole abilitare una porta non TLS.

10. Nella scheda Avanzate per l'istanza della cache Premium configurare le impostazioni per la porta non TLS, il clustering e la persistenza dei dati.

11. Selezionare la scheda Avanti: Tag oppure selezionare il pulsante Avanti: Tag nella parte inferiore della pagina.

12. Facoltativamente, nella scheda Tag immettere il nome e il valore se si vuole categorizzare la risorsa.

13. Selezionare Rivedi e crea. Viene visualizzata la scheda Rivedi e crea in cui Azure convalida la configurazione.

14. Quando viene visualizzato il messaggio di convalida verde, selezionare Crea.

La creazione della cache richiede un po' di tempo. È possibile monitorare lo stato di avanzamento nella pagina Panoramica di Redis gestita di Azure. Quando l'elemento Stato indica In esecuzione, la cache è pronta per l'uso.

Creare un endpoint privato con un'istanza di Redis gestita di Azure esistente

In questa sezione si aggiunge un endpoint privato a un'istanza di Redis gestita di Azure esistente.

Creare una rete virtuale per la cache esistente

Per creare una rete virtuale, seguire questa procedura:

1. Accedere al portale di Azure e selezionare Crea una risorsa.

2. Nella pagina Nuovo selezionare Rete e quindi Rete virtuale.

3. Selezionare Aggiungi per creare una rete virtuale.

4. In Crea rete virtuale immettere o selezionare queste informazioni nella scheda Generale:

   Impostazione	Valore suggerito	Descrizione
   Abbonamento	Nell'elenco a discesa selezionare la sottoscrizione.	Sottoscrizione in cui si crea la rete virtuale.
   Gruppo di risorse	Nell'elenco a discesa selezionare un gruppo di risorse oppure scegliere Crea nuovo e immettere il nome di un nuovo gruppo di risorse.	Nome del gruppo di risorse in cui creare la rete virtuale e altre risorse. L'inserimento di tutte le risorse di un'app in un unico gruppo di risorse ne semplifica la gestione o l'eliminazione.
   Nome	Immettere un nome di rete virtuale.	Il nome deve: iniziare con una lettera o un numero; terminare con una lettera, un numero o un carattere di sottolineatura; e contengono solo lettere, numeri, caratteri di sottolineatura, punti o trattini.
   Area	A discesa e selezionare un'area.	Selezionare un'area vicina ad altri servizi che usano la rete virtuale.

5. Selezionare la scheda Indirizzi IP oppure il pulsante Avanti: Indirizzi IP nella parte inferiore della pagina.

6. Nella scheda Indirizzi IP specificare lo spazio indirizzi IPv4 come uno o più prefissi di indirizzo nella notazione CIDR, ad esempio 192.168.1.0/24.

7. In Nome subnet selezionare per impostazione predefinita per modificare le proprietà della subnet.

8. Nel riquadro Modifica subnet specificare un nome subnet e l'intervallo di indirizzi subnet. L'intervallo di indirizzi della subnet deve trovarsi nella notazione CIDR, ad esempio 192.168.1.0/24. Deve essere incluso nello spazio indirizzi della rete virtuale.

9. Seleziona Salva.

10. Selezionare la scheda Rivedi e crea oppure il pulsante Rivedi e crea.

11. Verificare che tutte le informazioni siano corrette e selezionare Crea per creare la rete virtuale.

Creare un endpoint privato

Per creare un endpoint privato, seguire questa procedura:

1. Nella portale di Azure cercare cache di Azure per Redis. Premere quindi INVIO o selezionarlo nei suggerimenti di ricerca per la cache.

2. Selezionare l'istanza della cache a cui si vuole aggiungere un endpoint privato.

3. Sul lato sinistro della schermata, selezionare Endpoint privato.

4. Selezionare il pulsante Endpoint privato per creare l'endpoint privato.

5. Nella pagina Crea un endpoint privato configurare le impostazioni per l'endpoint privato.

   Impostazione	Valore suggerito	Descrizione
   Abbonamento	Nell'elenco a discesa selezionare la sottoscrizione.	Sottoscrizione in cui si crea questo endpoint privato.
   Gruppo di risorse	Nell'elenco a discesa selezionare un gruppo di risorse oppure scegliere Crea nuovo e immettere il nome di un nuovo gruppo di risorse.	Nome del gruppo di risorse in cui creare l'endpoint privato e altre risorse. L'inserimento di tutte le risorse di un'app in un unico gruppo di risorse ne semplifica la gestione o l'eliminazione.
   Nome	Immettere un nome di endpoint privato.	Il nome deve: iniziare con una lettera o un numero; terminare con una lettera, un numero o un carattere di sottolineatura; e può contenere solo lettere, numeri, caratteri di sottolineatura, punti o trattini.
   Area	A discesa e selezionare un'area.	Selezionare un'area vicina ad altri servizi che usano l'endpoint privato.

6. Selezionare il pulsante Avanti: Risorsa nella parte inferiore della pagina.

7. Nella scheda Risorsa selezionare la sottoscrizione, scegliere il tipo di risorsa come Microsoft.Cache/redisEnterprisee quindi selezionare la cache a cui connettere l'endpoint privato.

8. Selezionare il pulsante Avanti: Configurazione nella parte inferiore della pagina.

9. Selezionare il pulsante Avanti: Rete virtuale nella parte inferiore della pagina.

10. Nella scheda Configurazione selezionare la rete virtuale e la subnet create nella sezione precedente.

11. Nella scheda Rete virtuale selezionare la rete virtuale e la subnet create nella sezione precedente.

12. Selezionare il pulsante Avanti: Tag nella parte inferiore della pagina.

13. Facoltativamente, nella scheda Tag immettere il nome e il valore se si vuole categorizzare la risorsa.

14. Selezionare Rivedi e crea. Viene visualizzata la scheda Rivedi e crea in cui Azure convalida la configurazione.

15. Quando viene visualizzato il messaggio verde di Convalida superata, selezionare Crea.

Importante

Esiste un flag publicNetworkAccess che è Disabled per impostazione predefinita. È possibile impostare il valore su Disabled o Enabled. Se impostato su Enabled, questo flag consente l'accesso alla cache tramite endpoint pubblico e privato. Se impostato su Disabled, consente solo l'accesso tramite endpoint privato. Per altre informazioni su come modificare il valore, vedere le domande frequenti.

Creare un endpoint privato con Azure PowerShell

Per creare un endpoint privato denominato MyPrivateEndpoint per un'istanza di Redis gestita di Azure esistente, eseguire lo script di PowerShell seguente. Sostituire i valori delle variabili con i dettagli per l'ambiente:

$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"

# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"

$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"

$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
 
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $ResourceGroupName -Name $VNetName  
 
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object  {$_.Name -eq $SubnetName}  
 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet  $subnet -PrivateLinkServiceConnection $privateEndpointConnection

Recuperare un endpoint privato con Azure PowerShell

Per ottenere i dettagli di un endpoint privato, usare questo comando di PowerShell:

Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Rimuovere un endpoint privato con Azure PowerShell

Per rimuovere un endpoint privato, usare il comando di PowerShell seguente:

Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Creare un endpoint privato con l'interfaccia della riga di comando di Azure

Per creare un endpoint privato denominato myPrivateEndpoint per un'istanza di Redis gestita di Azure esistente, eseguire lo script dell'interfaccia della riga di comando di Azure seguente. Sostituire i valori delle variabili con i dettagli per l'ambiente:

# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"

# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"

# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"

# Name of the virtual network to create
VNetName="myVnet"

# Name of the subnet to create
SubnetName="mySubnet"

# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"

# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"

az network vnet create \
    --name $VNetName \
    --resource-group $ResourceGroupName \
    --subnet-name $SubnetName

az network vnet subnet update \
    --name $SubnetName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName \
    --disable-private-endpoint-network-policies true

az network private-endpoint create \
    --name $PrivateEndpointName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName  \
    --subnet $SubnetName \
    --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
    --group-ids "redisEnterprise" \
    --connection-name $PrivateConnectionName

Recuperare un endpoint privato usando l'interfaccia della riga di comando di Azure

Per ottenere i dettagli di un endpoint privato, usare il comando dell'interfaccia della riga di comando seguente:

az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup

Rimuovere un endpoint privato con l'interfaccia della riga di comando di Azure

Per rimuovere un endpoint privato, usare il comando dell'interfaccia della riga di comando seguente:

az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup

Domande frequenti

• Come collegarsi alla cache con l'endpoint privato?
• Perché non è possibile connettersi a un endpoint privato?
• Quali funzionalità non sono supportate con gli endpoint privati?
• Come è possibile verificare se l'endpoint privato è configurato correttamente?
• Come impostare l'endpoint privato su Disabled o Enabled dall'accesso pubblico alla rete?
• Come è possibile avere più endpoint in reti virtuali diverse?
• Cosa succede se si eliminano tutti gli endpoint privati nella cache?
• I gruppi di sicurezza di rete (NSG) sono abilitati per gli endpoint privati?
• L'istanza dell'endpoint privato non si trova nella rete virtuale, quindi come è associata alla rete virtuale?

Come collegarsi alla cache con l'endpoint privato?

L'applicazione deve connettersi a <cachename>.<region>.redis.azure.net sulla porta 10000. Una zona DNS privata, denominata *.privatelink.redis.azure.net, viene creata automaticamente nella sottoscrizione. La zona DNS privata è fondamentale per stabilire la connessione TLS con l'endpoint privato. È consigliabile evitare l'uso di <cachename>.privatelink.redis.azure.net nella configurazione per la connessione client.

Per altre informazioni, vedere Configurazione della zona DNS dei servizi di Azure.

Perché non è possibile connettersi a un endpoint privato?

• Gli endpoint privati non possono essere usati con l'istanza della cache se la cache è già una cache inserita nella rete virtuale.

• Le cache Redis gestite di Azure sono limitate a 84 collegamenti privati.

• Si tenta di rendere persistenti i dati nell'account di archiviazione in cui le regole del firewall applicate potrebbero impedire la creazione del collegamento privato.

• Potrebbe non essere possibile connettersi all'endpoint privato se l'istanza della cache usa una funzionalità non supportata.

Quali funzionalità non sono supportate con gli endpoint privati?

• Non esiste alcuna restrizione per l'uso di endpoint privato con Azure Managed Redis (anteprima).

Come è possibile verificare se l'endpoint privato è configurato correttamente?

Andare a Panoramica nel menu Risorsa del portale. Il nome dell'host per la cache è visibile nel riquadro di lavoro. Per verificare che il comando venga risolto nell'indirizzo IP privato per la cache, eseguire un comando simile nslookup <hostname> all'interno della rete virtuale collegata all'endpoint privato.

Come impostare l'endpoint privato su Disabled o Enabled dall'accesso pubblico alla rete?

Per modificare il valore nel portale di Azure, seguire questa procedura:

1. Nel portale di Azure cercare Managed Redis di Azure. Premere INVIO o selezionarlo nei suggerimenti di ricerca.

2. Selezionare l'istanza della cache di cui si vuole modificare il valore di accesso alla rete pubblica.

3. Sul lato sinistro della schermata, selezionare Endpoint privato.

4. Eliminare l'endpoint privato.

Come è possibile avere più endpoint in reti virtuali diverse?

Per avere più endpoint privati in reti virtuali diverse, la zona DNS privata deve essere configurata manualmente per le diversi reti virtuali prima di creare l'endpoint privato. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.

Cosa succede se si eliminano tutti gli endpoint privati nella cache?

Se si eliminano tutti gli endpoint privati nella cache redis gestita di Azure (anteprima), per impostazione predefinita la rete ha accesso alla rete pubblica.

I gruppi di sicurezza di rete (NSG) sono abilitati per gli endpoint privati?

No, sono disabilitati per gli endpoint privati. Mentre alle subnet contenenti l'endpoint privato possono essere associati gruppi di sicurezza di rete (NSG), le regole non sono valide per il traffico gestito dall'endpoint privato. Per distribuire endpoint privati in una subnet, è necessario che l'applicazione dei criteri di rete sia disabilitata. Il gruppo di sicurezza di rete (NSG) viene ancora applicato ad altri carichi di lavoro ospitati nella stessa subnet. Le route in qualsiasi subnet client usano un prefisso /32, la modifica del comportamento di routing predefinito richiede una route definita dall'utente simile.

Controllare il traffico usando le regole del gruppo di sicurezza di rete (NSG) per il traffico in uscita nei client di origine. Distribuire le singole route con prefisso /32 per eseguire l'override delle route degli endpoint privati. I log dei flussi e le informazioni di monitoraggio del gruppo di sicurezza di rete (NSG) per le connessioni in uscita sono ancora supportati e possono essere usati.

L'istanza dell'endpoint privato non si trova nella rete virtuale, quindi come è associata alla rete virtuale?

L'endpoint privato è collegato solo alla rete virtuale. Poiché non si trova nella rete virtuale, non è necessario modificare le regole del gruppo di sicurezza di rete (NSG) per gli endpoint dipendenti.

Contenuto correlato

• Per altre informazioni sulle collegamento privato di Azure, vedere la documentazione collegamento privato di Azure.
• Per confrontare varie opzioni di isolamento della rete per la cache, vedere cache di Azure per Redis documentazione delle opzioni di isolamento della rete.