Azure Cache for Redis 네트워크 격리 옵션
이 문서에서는 사용자의 요구에 맞는 최고의 네트워크 격리 솔루션을 찾는 방법을 알아봅니다. Azure Private Link(권장), Azure VNet(Virtual Network) 삽입 및 방화벽 규칙의 기본 사항에 대해 설명합니다. 각각의 장점과 제한 사항을 설명합니다.
Azure Private Link(권장)
Azure Private Link는 가상 네트워크에서 Azure PaaS 서비스로 프라이빗 연결을 제공합니다. Private Link는 네트워크 아키텍처를 단순화하고 Azure에서 엔드포인트 간의 연결을 보호합니다. Private Link는 또한 공용 인터넷에 대한 데이터 노출을 제거하여 연결을 보호합니다.
Private Link의 장점
Azure Cache for Redis 인스턴스의 모든 계층(기본, 표준, 프리미엄, Enterprise 및 Enterprise Flash 계층)에서 지원되는 프라이빗 링크입니다.
Azure Private Link를 사용하면 프라이빗 엔드포인트를 통해 가상 네트워크에서 Azure Cache 인스턴스에 연결할 수 있습니다. 엔드포인트는 가상 네트워크 내에 있는 서브넷에 개인 IP 주소를 할당합니다. 이 개인 링크를 통해 캐시 인스턴스를 VNet 내에서 공개적으로 사용할 수 있습니다.
Important
프라이빗 링크가 있는 Enterprise/Enterprise Flash 캐시는 공개적으로 액세스할 수 없습니다.
기본/표준/프리미엄 계층 캐시에 프라이빗 엔드포인트가 만들어지면
publicNetworkAccess
플래그를 통해 공용 네트워크에 대한 액세스를 제한할 수 있습니다. 이 플래그는 기본적으로Disabled
로 설정되며, 이 경우 프라이빗 링크 액세스만 허용됩니다. 패치 요청을 사용하여Enabled
또는Disabled
로 값을 설정할 수 있습니다. 자세한 정보는 Azure Cache for Redis와 Azure Private Link를 참조하세요.Important
Enterprise/Enterprise Flash 계층은
publicNetworkAccess
플래그를 지원하지 않습니다.모든 외부 캐시 종속성은 VNet의 NSG 규칙에 영향을 주지 않습니다.
관리 ID를 사용하여 스토리지 계정에 연결할 때 방화벽 규칙으로 보호되는 모든 스토리지 계정을 유지할 수 있도록 프리미엄 계층에서 지원됩니다. 자세한 내용은 Azure Cache for Redis에서 데이터 가져오기 및 내보내기를 참조하세요.
프라이빗 링크는 캐시가 다른 네트워크 리소스에 대한 액세스 권한을 줄여 더 적은 권한을 제공합니다. 프라이빗 링크는 잘못된 행위자가 네트워크의 나머지 부분에 대한 트래픽을 시작하지 못하도록 방지합니다.
Private Link의 제한 사항
- 현재, 프라이빗 링크가 있는 캐시에 대해서는 포털 콘솔이 지원되지 않습니다.
참고 항목
캐시 인스턴스에 프라이빗 엔드포인트를 추가하는 경우 DNS로 인해 모든 Redis 트래픽이 프라이빗 엔드포인트로 이동합니다. 이전 방화벽 규칙이 이전에 조정되었는지 확인합니다.
Azure Virtual Network 추가
주의
Virtual Network 주입은 권장되지 않습니다. 자세한 내용은 VNet 주입의 제한 사항을 참조하세요.
VNet(Virtual Network)을 사용하면 많은 Azure 리소스가 서로, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. VNet은 사용자 고유의 데이터 센터에서 작동하는 기존 네트워크와 같습니다.
VNet 주입의 제한 사항
- 가상 네트워크 구성을 만들고 유지 관리하는 것은 오류가 발생하기 쉽습니다. 네트워크 구성 문제 해결은 어렵습니다. 잘못된 가상 네트워크 구성으로 인해 다음과 같은 다양한 문제가 발생할 수 있습니다.
- 캐시 인스턴스에 대한 메트릭 손실
- 계획되지 않은 가용성 손실로 인해 데이터가 손실될 수 있음(고객 네트워크 구성으로 인한 가용성 손실은 SLA에서 다루지 않을 수 있음)
- 데이터 복제 실패로 인해 데이터가 손실될 수 있음
- 크기 조정과 같은 관리 작업 실패
- VNet 삽입 캐시를 사용하는 경우 인증서 해지 목록, 공개 키 인프라, Azure Key Vault, Azure Storage, Azure Monitor 등과 같은 캐시 종속성에 대한 액세스를 허용하도록 VNet을 업데이트된 상태로 유지해야 합니다.
- VNet 삽입 캐시는 프리미엄 계층 Azure Cache for Redis 인스턴스에만 사용할 수 있습니다.
- 기존 Azure Cache for Redis 인스턴스를 Virtual Network에 삽입할 수 없습니다. 캐시를 만들 때만 이 옵션을 선택할 수 있습니다.
방화벽 규칙
Azure Cache for Redis를 사용하면 Azure Cache for Redis 인스턴스에 연결할 수 있도록 하려면 IP 주소를 지정하기 위한 방화벽 규칙을 구성할 수 있습니다.
방화벽 규칙의 장점
- 방화벽 규칙이 구성되면 지정된 IP 주소 범위의 클라이언트 연결만 캐시에 연결할 수 있습니다. 방화벽 규칙이 구성된 경우에도 Azure Cache for Redis 모니터링 시스템의 연결은 항상 허용됩니다. 사용자가 정의한 NSG 규칙 또한 허용됩니다.
방화벽 규칙의 제한 사항
- 공용 네트워크 액세스를 사용하는 경우에만 프라이빗 엔드포인트 캐시에 방화벽 규칙을 적용할 수 있습니다. 방화벽 규칙이 구성되지 않은 프라이빗 엔드포인트 캐시에서 공용 네트워크 액세스를 사용하도록 설정하면 캐시가 모든 공용 네트워크 트래픽을 허용합니다.
- 방화벽 규칙 구성은 모든 기본, 표준 및 프리미엄 계층에 사용할 수 있습니다.
- 엔터프라이즈 또는 엔터프라이즈 플래시 계층에는 방화벽 규칙 구성을 사용할 수 없습니다.
다음 단계
- 프리미엄 Azure Cache for Redis 인스턴스에 대한 VNet 삽입 캐시를 구성하는 방법을 알아봅니다.
- 모든 Azure Cache for Redis 계층에 대해 방화벽 규칙을 구성하는 방법을 알아봅니다.
- 모든 Azure Cache for Redis 계층에 대해 프라이빗 엔드포인트를 구성하는 방법을 알아봅니다.