Wat is Azure Managed Redis (preview) met Azure Private Link?
In dit artikel leert u hoe u een virtueel netwerk en een exemplaar van Azure Managed Redis (preview) met een privé-eindpunt maakt met behulp van Azure Portal. U leert ook hoe u een privé-eindpunt toevoegt aan een bestaand Azure Managed Redis-exemplaar.
Een privé-eindpunt in Azure is een netwerkinterface waarmee u privé en veilig verbinding maakt met Azure Managed Redis die door Azure Private Link mogelijk wordt gemaakt.
Belangrijk
Het gebruik van een privé-eindpunt om verbinding te maken met een virtueel netwerk is de aanbevolen oplossing voor het beveiligen van uw Azure Managed Redis-resource (preview) op de netwerklaag.
Vereisten
- Azure-abonnement: u kunt een gratis abonnement nemen
Een privé-eindpunt maken met een nieuw Azure Managed Redis-exemplaar
In deze sectie maakt u een nieuw azure Managed Redis-exemplaar met een privé-eindpunt.
Een virtueel netwerk maken voor uw nieuwe cache
Een cache maken met behulp van de portal:
Meld u aan bij de Azure-portal en selecteer Create a resource.
Selecteer Netwerken op de pagina Nieuw en selecteer vervolgens Virtueel netwerk.
Selecteer Toevoegen om een virtueel netwerk te maken.
Typ of selecteer in Virtueel netwerk maken de volgende gegevens op het tabblad Basisinstellingen:
Instelling Voorgestelde waarde Beschrijving Abonnement Open de vervolgkeuzelijst en selecteer uw abonnement. Het abonnement waarin u dit virtuele netwerk maakt. Resourcegroep Open de vervolgkeuzelijst en selecteer een resourcegroep of kies Nieuwe maken en geef een naam voor de nieuwe resourcegroep op. Naam voor de resourcegroep waarin u uw virtuele netwerk en andere resources wilt maken. Door al uw app-resources in één resourcegroep te plaatsen, kunt u ze eenvoudig beheren of verwijderen. Naam Voer een naam voor een virtueel netwerk in. De naam moet beginnen met een letter of cijfer; eindigen met een letter, cijfer of onderstrepingsteken; en alleen letters, cijfers, onderstrepingstekens, punten of afbreekstreepjes bevatten. Regio Vervolgkeuzelijst en selecteer een regio. Selecteer een regio in de buurt van andere services die gebruikmaken van uw virtuele netwerk. Selecteer het tabblad IP-adressen of selecteer de knop Volgende: IP-adressen onderaan de pagina.
Geef op het tabblad IP-adressen de IPv4-adresruimte op als een of meer adresvoorvoegsels in CIDR-notatie (bijvoorbeeld 192.168.1.0/24).
Selecteer onder Subnetnaam de standaardinstelling om de eigenschappen van het subnet te bewerken.
Geef in het deelvenster Subnet bewerken een subnetnaam en het adresbereik van het subnet op. Het adresbereik van het subnet moet de CIDR-notatie hebben (bijvoorbeeld 192.168.1.0/24). Deze moet zijn opgenomen in de adresruimte van het virtuele netwerk.
Selecteer Opslaan.
Selecteer het tabblad Controleren + maken of klik op de knop Controleren + maken.
Controleer of alle informatie juist is en selecteer Maken om het virtuele netwerk te maken.
Een Azure Managed Redis-exemplaar maken met een privé-eindpunt
Voer de volgende stappen uit om een cache-exemplaar te maken:
Ga terug naar de startpagina van Azure Portal of open het zijbalkmenu en selecteer Een resource maken.
Typ Azure Cache voor Redis in het zoekvak. Verfijn uw zoekopdracht alleen naar Azure-services en selecteer Azure Cache voor Redis.
Configureer op de pagina Nieuwe Redis-cache de instellingen voor de nieuwe cache.
- Selecteer een Azure Managed Redis-cache in cache-SKU.
- Selecteer een geschikte optie in cachegrootte.
Selecteer het tabblad Netwerken of selecteer de knop Netwerken onderaan de pagina.
Selecteer op het tabblad Netwerken het privé-eindpunt voor de connectiviteitsmethode.
Selecteer de knop Toevoegen om uw privé-eindpunt te maken.
Configureer op de pagina Een privé-eindpunt maken de instellingen voor uw privé-eindpunt met het virtuele netwerk en subnet dat u in de laatste sectie hebt gemaakt en selecteer OK.
Selecteer het tabblad Volgende: Geavanceerd of selecteer de knop Volgende: Geavanceerd onderaan de pagina.
Selecteer in het tabblad Geavanceerd voor een basic of standard cache-exemplaar de schakeloptie inschakelen als u een niet-TLS-poort wilt inschakelen.
Configureer in het tabblad Geavanceerd voor premium cache-exemplaar de instellingen voor een niet-TLS-poort, clustering en gegevenspersistentie.
Selecteer het tabblad Volgende: Tags of selecteer de knop Volgende: Tags onderaan de pagina.
Voer desgewenst in het tabblad Tags de naam en waarde in om de resource te categoriseren.
Selecteer Controleren + maken. Het tabblad Beoordelen + maken wordt weergegeven, waar uw configuratie wordt gevalideerd in Azure.
Selecteer Maken nadat het groene bericht Validatie geslaagd verschijnt.
Het duurt even voor de cache is gemaakt. U kunt de voortgang controleren op de overzichtspagina van Azure Managed Redis. Als u bij StatusWordt uitgevoerd ziet staan, kunt u de cache gebruiken.
Een privé-eindpunt maken met een bestaand Azure Managed Redis-exemplaar
In deze sectie voegt u een privé-eindpunt toe aan een bestaand Azure Managed Redis-exemplaar.
Een virtueel netwerk maken voor uw bestaande cache
Volg deze stappen om een virtueel netwerk te maken:
Meld u aan bij de Azure-portal en selecteer Create a resource.
Selecteer Netwerken op de pagina Nieuw en selecteer vervolgens Virtueel netwerk.
Selecteer Toevoegen om een virtueel netwerk te maken.
Typ of selecteer in Virtueel netwerk maken de volgende gegevens op het tabblad Basisinstellingen:
Instelling Voorgestelde waarde Beschrijving Abonnement Open de vervolgkeuzelijst en selecteer uw abonnement. Het abonnement waarin u dit virtuele netwerk maakt. Resourcegroep Open de vervolgkeuzelijst en selecteer een resourcegroep of kies Nieuwe maken en geef een naam voor de nieuwe resourcegroep op. Naam voor de resourcegroep waarin u uw virtuele netwerk en andere resources wilt maken. Door al uw app-resources in één resourcegroep te plaatsen, kunt u ze eenvoudig beheren of verwijderen. Naam Voer een naam voor een virtueel netwerk in. De naam moet beginnen met een letter of cijfer; eindigen met een letter, cijfer of onderstrepingsteken; en alleen letters, cijfers, onderstrepingstekens, punten of afbreekstreepjes bevatten. Regio Vervolgkeuzelijst en selecteer een regio. Selecteer een regio in de buurt van andere services die gebruikmaken van uw virtuele netwerk. Selecteer het tabblad IP-adressen of selecteer de knop Volgende: IP-adressen onderaan de pagina.
Geef op het tabblad IP-adressen de IPv4-adresruimte op als een of meer adresvoorvoegsels in CIDR-notatie (bijvoorbeeld 192.168.1.0/24).
Selecteer onder Subnetnaam de standaardinstelling om de eigenschappen van het subnet te bewerken.
Geef in het deelvenster Subnet bewerken een subnetnaam en het adresbereik van het subnet op. Het adresbereik van het subnet moet de CIDR-notatie hebben (bijvoorbeeld 192.168.1.0/24). Deze moet zijn opgenomen in de adresruimte van het virtuele netwerk.
Selecteer Opslaan.
Selecteer het tabblad Controleren + maken of klik op de knop Controleren + maken.
Controleer of alle informatie juist is en selecteer Maken om het virtuele netwerk te maken.
Een privé-eindpunt maken
Voer de volgende stappen uit om een privé-eindpunt te maken:
Zoek in Azure Portal naar Azure Cache voor Redis. Druk vervolgens op Enter of selecteer deze in de zoeksuggesties voor uw cache.
Selecteer het cache-exemplaar waaraan u een privé-eindpunt wilt toevoegen.
Selecteer Privé-eindpunt aan de linkerkant van het scherm.
Selecteer de knop Privé-eindpunt om uw privé-eindpunt te maken.
Configureer op de pagina Een privé-eindpunt maken de instellingen voor uw privé-eindpunt.
Instelling Voorgestelde waarde Beschrijving Abonnement Open de vervolgkeuzelijst en selecteer uw abonnement. Het abonnement waarin u dit privé-eindpunt maakt. Resourcegroep Open de vervolgkeuzelijst en selecteer een resourcegroep of kies Nieuwe maken en geef een naam voor de nieuwe resourcegroep op. Naam voor de resourcegroep waarin u uw privé-eindpunt en andere resources wilt maken. Door al uw app-resources in één resourcegroep te plaatsen, kunt u ze eenvoudig beheren of verwijderen. Naam Voer een privé-eindpuntnaam in. De naam moet beginnen met een letter of cijfer; eindigen met een letter, cijfer of onderstrepingsteken; en mag alleen letters, cijfers, onderstrepingstekens, punten of afbreekstreepjes bevatten. Regio Vervolgkeuzelijst en selecteer een regio. Selecteer een regio in de buurt van andere services die gebruikmaken van uw privé-eindpunt. Selecteer de knop Volgende: Resource onderaan de pagina.
Selecteer uw abonnement op het tabblad Resource , kies het resourcetype als
Microsoft.Cache/redisEnterpriseen selecteer vervolgens de cache waarmee u het privé-eindpunt wilt verbinden.Selecteer de knop Volgende: Configuratie onderaan de pagina.
Selecteer de knop Volgende: Virtueel netwerk onderaan de pagina.
Selecteer op het tabblad Configuratie het virtuele netwerk en het subnet dat u in de vorige sectie hebt gemaakt.
Selecteer op het tabblad Virtueel netwerk het virtuele netwerk en het subnet dat u in de vorige sectie hebt gemaakt.
Selecteer de knop Volgende: Tags onderaan de pagina.
Voer desgewenst in het tabblad Tags de naam en waarde in om de resource te categoriseren.
Selecteer Controleren + maken. U gaat naar het tabblad Controleren en maken , waar Azure uw configuratie valideert.
Nadat het groene bericht Validatie is geslaagd , selecteert u Maken.
Belangrijk
Er is een publicNetworkAccess-vlag die standaard op Disabled is ingesteld.
U kunt de waarde instellen op Disabled of Enabled. Als deze markering is ingeschakeld, heeft zowel het openbare als het privé-eindpunt toegang tot de cache. Als deze optie is ingesteld op Disabled, is alleen toegang tot privé-eindpunten mogelijk. Zie de Veelgestelde vragen (FAQ) voor meer informatie over het wijzigen van de waarde.
Een privé=eindpunt maken met Azure PowerShell
Voer het volgende PowerShell-script uit om een privé-eindpunt met de naam MyPrivateEndpoint te maken voor een bestaand Azure Managed Redis-exemplaar. Vervang de variabelewaarden door de details voor uw omgeving:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Een privé-eindpunt ophalen met Behulp van Azure PowerShell
Gebruik deze PowerShell-opdracht om de details van een privé-eindpunt op te halen:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Een privé-eindpunt verwijderen met Behulp van Azure PowerShell
Als u een privé-eindpunt wilt verwijderen, gebruikt u de volgende PowerShell-opdracht:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Een privé-eindpunt maken met behulp van Azure CLI
Voer het volgende Azure CLI-script uit om een privé-eindpunt met de naam myPrivateEndpoint te maken voor een bestaand Azure Managed Redis-exemplaar. Vervang de variabelewaarden door de details voor uw omgeving:
# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
--group-ids "redisEnterprise" \
--connection-name $PrivateConnectionName
Een privé-eindpunt ophalen met behulp van Azure CLI
Gebruik de volgende CLI-opdracht om de details van een privé-eindpunt op te halen:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Een privé-eindpunt verwijderen met behulp van Azure CLI
Als u een privé-eindpunt wilt verwijderen, gebruikt u de volgende CLI-opdracht:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Veelgestelde vragen
- Hoe kan ik via een privé-eindpunt verbinding maken met mijn cache?
- Waarom kan ik geen verbinding maken met een privé-eindpunt?
- Welke functies worden niet ondersteund met privé-eindpunten?
- Hoe kan ik controleren of mijn privé-eindpunt correct is geconfigureerd?
- Hoe kan ik mijn privé-eindpunt wijzigen zodat deze wordt uitgeschakeld of ingeschakeld vanuit openbare netwerktoegang?
- Hoe kan ik meerdere eindpunten in verschillende virtuele netwerken hebben?
- Wat gebeurt er als ik alle privé-eindpunten in mijn cache verwijder?
- Zijn netwerkbeveiligingsgroepen (NSG) ingeschakeld voor privé-eindpunten?
- Mijn privé-eindpuntexemplaar bevindt zich niet in mijn VNet, dus hoe is het aan mijn VNet gekoppeld?
Hoe kan ik via een privé-eindpunt verbinding maken met mijn cache?
Uw toepassing moet verbinding maken <cachename>.<region>.redis.azure.net met op poort 10000. Er wordt automatisch een privé-DNS-zone met de naam *.privatelink.redis.azure.net gemaakt in uw abonnement. De privé-DNS-zone is essentieel voor het tot stand brengen van de TLS-verbinding met het privé-eindpunt. We raden u aan het gebruik van <cachename>.privatelink.redis.azure.net in de configuratie voor clientverbinding te vermijden.
Zie voor meer informatie de configuratie van de DNS-zone voor Azure-Services.
Waarom kan ik geen verbinding maken met een privé-eindpunt?
Privé-eindpunten kunnen niet worden gebruikt met uw cache-exemplaar als uw cache al een in een virtueel netwerk (VNet) geïnjecteerde cache is.
Azure Managed Redis-caches zijn beperkt tot 84 privékoppelingen.
Als u probeert gegevens op te slaan in het opslagaccount waarop firewallregels worden toegepast, wordt mogelijk voorkomen dat u de privékoppeling maakt.
Mogelijk maakt u geen verbinding met uw privé-eindpunt als uw cache-exemplaar gebruikmaakt van een niet-ondersteunde functie.
Welke functies worden niet ondersteund met privé-eindpunten?
- Er is geen beperking voor het gebruik van een privé-eindpunt met Azure Managed Redis (preview).
Hoe kan ik controleren of mijn privé-eindpunt correct is geconfigureerd?
Ga naar Overzicht in het menu Resource in de portal. U ziet de hostnaam voor uw cache in het werkvenster. Als u wilt controleren of de opdracht wordt omgezet in het privé-IP-adres voor de cache, voert u een opdracht uit, zoals nslookup <hostname> vanuit het VNet dat is gekoppeld aan het privé-eindpunt.
Hoe kan ik mijn privé-eindpunt wijzigen zodat deze wordt uitgeschakeld of ingeschakeld vanuit openbare netwerktoegang?
Voer de volgende stappen uit om de waarde in de Azure-portal te wijzigen:
Zoek in Azure Portal naar Azure Managed Redis. Druk vervolgens op Enter of maak een keuze uit de zoeksuggesties.
Selecteer het cache-exemplaar waarvoor u de openbare netwerktoegangswaarde wilt wijzigen.
Selecteer Privé-eindpunt aan de linkerkant van het scherm.
Verwijder het privé-eindpunt.
Hoe kan ik meerdere eindpunten in verschillende virtuele netwerken hebben?
Als u meerdere privé-eindpunten in verschillende virtuele netwerken wilt hebben, moet de privé-DNS-zone handmatig worden geconfigureerd voor de verschillende virtuele netwerken voordat u het privé-eindpunt maakt. Raadpleeg DNS-configuratie voor Azure-privé-eindpunt voor meer informatie.
Wat gebeurt er als ik alle privé-eindpunten in mijn cache verwijder?
Als u alle privé-eindpunten in uw Azure Managed Redis-cache (preview) verwijdert, hebben netwerken standaard openbare netwerktoegang.
Zijn netwerkbeveiligingsgroepen (NSG) ingeschakeld voor privé-eindpunten?
Nee, ze zijn uitgeschakeld voor privé-eindpunten. Hoewel aan subnetten met het privé-eindpunt NSG kan worden gekoppeld, zijn de regels niet effectief voor verkeer dat wordt verwerkt door het privé-eindpunt. Het afdwingen van netwerkbeleid moet zijn uitgeschakeld om privé-eindpunten in een subnet te kunnen implementeren. NSG wordt nog steeds afgedwongen voor andere workloads die op hetzelfde subnet worden gehost. Routes op elk clientsubnet gebruiken een /32-voorvoegsel, het wijzigen van het standaardrouteringsgedrag vereist een vergelijkbare UDR.
Beheer het verkeer met behulp van NSG-regels voor uitgaand verkeer op bronclients. Implementeer afzonderlijke routes met het voorvoegsel /32 om privé-eindpuntroutes te overschrijven. NSG-stroomlogboeken en bewakingsgegevens voor uitgaande verbindingen worden nog steeds ondersteund en kunnen worden gebruikt.
Mijn privé-eindpuntexemplaar bevindt zich niet in mijn VNet, dus hoe is het aan mijn VNet gekoppeld?
Uw privé-eindpunt is alleen gekoppeld aan uw VNet. Omdat deze zich niet in uw VNet bevinden, hoeven NSG-regels niet te worden gewijzigd voor afhankelijke eindpunten.
Gerelateerde inhoud
- Zie de documentatie van Azure Private Link voor meer informatie over Azure Private Link.
- Zie Azure Cache voor Redis documentatie voor netwerkisolatie om verschillende netwerkisolatieopties voor uw cache te vergelijken.