Azure Cache for Redis のネットワークの分離オプション
この記事では、ニーズに合わせて最適なネットワークの分離ソリューションを決定する方法について説明します。 Azure Private Link (推奨)、Azure Virtual Network (VNet) インジェクション、Azure Firewall 規則の基本を説明します。 それらの利点と制限事項について説明します。
Azure Private Link (推奨)
Azure Private Link を使用すると、仮想ネットワークから Azure PaaS サービスへのプライベート接続が可能になります。 Private Link により、ネットワーク アーキテクチャが簡素化され、Azure 内のエンドポイント間の接続がセキュリティで保護されます。 また、Private Link では、パブリック インターネットにデータが公開されないようにして接続を保護します。
Private Link の利点
Azure Cache for Redis インスタンスのすべてのレベル (Basic、Standard、Premium、Enterprise、Enterprise Flash レベル) でサポートされるプライベートリンク。
Azure Private Link を使用すると、プライベート エンドポイント経由で仮想ネットワークから Azure Cache インスタンスに接続できます。 エンドポイントには、仮想ネットワーク内のサブネットのプライベート IP アドレスが割り当てられます。 このプライベート リンクにより、キャッシュ インスタンスは VNet 内とパブリックの両方から使用できるようになります。
重要
プライベート リンクを含む Enterprise/Enterprise Flash キャッシュにパブリックにアクセスすることはできません。
Basic/Standard/Premium レベルのキャッシュでプライベート エンドポイントが作成されたら、
publicNetworkAccess
フラグを使用して公衆ネットワークへのアクセスを制限できます。 このフラグは既定で、プライベート リンク アクセスのみを許可するDisabled
に設定されています。 この値は、PATCH 要求を使用してEnabled
またはDisabled
に設定できます。 詳細については、「Azure Private Link を使用した Azure Cache for Redis」を参照してください。重要
Enterprise/Enterprise Flash レベルでは
publicNetworkAccess
フラグはサポートされていません。外部キャッシュの依存関係はすべて、VNet の NSG ルールには影響しません。
ファイアウォール規則で保護されているストレージ アカウントへの永続化が、マネージド ID を使用してストレージ アカウントに接続する場合に、Premium レベルでサポートされます。詳細については、「Azure Cache for Redis のデータのインポートとエクスポート」を参照してください
プライベート リンクでは、キャッシュが他のネットワーク リソースにアクセスする量を減らすことで、低い特権が提供されます。 プライベート リンクは、悪意のあるアクターがネットワークの残りの部分へのトラフィックを開始するのを防ぎます。
Private Link の制限事項
- 現在、ポータル コンソールは、プライベート リンクを使用するキャッシュではサポートされていません。
Note
キャッシュ インスタンスにプライベート エンドポイントを追加すると、DNS が原因で、すべての Redis トラフィックがプライベート エンドポイントに移動されます。 以前のファイアウォール規則が事前に調整されているようにします。
Azure Virtual Network インジェクション
注意事項
仮想ネットワーク インジェクションは推奨されません。 詳細については「VNet インジェクションの制限事項」を参照してください。
仮想ネットワーク (VNet) によって、多くの Azure リソースがお互い同士や、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 VNet は、独自のデータ センターで運用する従来のネットワークに似ています。
VNet インジェクションの制限事項
多くの場合、仮想ネットワーク構成を作成して維持すると、エラーが発生しやすくなります。 トラブルシューティングも困難です。 仮想ネットワークの構成が正しくないと、次の問題が発生する可能性があります:
キャッシュ インスタンスからの妨害されたメトリックの送信
レプリカ ノードがプライマリ ノードからデータをレプリケートできない
データ損失の可能性
スケーリングなどの管理操作の失敗
断続的または完全な SSL/TLS エラー
セキュリティおよび信頼性の向上などの重要な更新を含め、更新プログラムを適用できない
最も深刻なシナリオでは、可用性の損失
VNet の挿入されたキャッシュを使用する場合、証明書の失効リスト、公開キー基盤、Azure Key Vault、Azure Storage、Azure Monitor などのキャッシュの依存関係にアクセスできるように、VNet を最新の状態に保つ必要があります。
VNet に挿入されたキャッシュは、Premium レベルの Azure Cache for Redis インスタンスでのみ使用でき、他のレベルでは使用できません。
既存の Azure Cache for Redis インスタンスを Virtual Network に挿入することはできません。 キャッシュを 作成 するときは、このオプションを選択する必要があります。
ファイアウォール規則
Azure Cache for Redis では、Azure Cache for Redis インスタンスへの接続を許可する IP アドレスを指定するためのファイアウォール規則を構成できます。
ファイアウォール規則の利点
- ファイアウォール ルールを構成すると、指定した IP アドレス範囲からのクライアント接続のみがキャッシュに接続できます。 ファイアウォール ルールが構成されている場合でも、Azure Cache for Redis 監視システムからの接続は常に許可されます。 自分が定義した NSG ルールも許可されます。
ファイアウォール規則の制限事項
- ファイアウォール規則は、パブリック ネットワーク アクセスが有効になっている場合にのみ、プライベート エンドポイント キャッシュに適用できます。 ファイアウォール規則が構成されていないプライベート エンドポイント キャッシュでパブリック ネットワーク アクセスが有効になっている場合、キャッシュはすべてのパブリック ネットワーク トラフィックを受け入れます。
- ファイアウォール規則の構成は、Basic、Standard、Premium のすべてのレベルで使用できます。
- ファイアウォール規則の構成は、Enterprise レベルまたは Enterprise Flash レベルでは使用できません。
次の手順
- Premium の Azure Cache for Redis インスタンス用の VNet インジェクションされたキャッシュを構成する方法について学習します。
- すべてのレベルの Azure Cache for Redis に対するファイアウォール規則を構成する方法について学習します。
- すべてのレベルの Azure Cache for Redis に対するプライベート エンドポイントを構成する方法について学習します。