Opties voor netwerkisolatie van Azure Cache voor Redis

In dit artikel leert u hoe u de beste oplossing voor netwerkisolatie voor uw behoeften kunt bepalen. We bespreken de basisbeginselen van Azure Private Link (aanbevolen), Azure Virtual Network -injectie (VNet) en firewallregels. We bespreken hun voordelen en beperkingen.

Azure Private Link (aanbevolen)

Azure Private Link biedt privéconnectiviteit vanuit een virtueel netwerk naar Azure PaaS-services. Private Link vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure. Private Link beveiligt de verbinding ook door gegevensblootstelling op het openbare internet te elimineren.

Voordelen van Private Link

• Private Link die wordt ondersteund voor alle lagen - Basic-, Standard-, Premium-, Enterprise- en Enterprise Flash-lagen - van Azure Cache voor Redis exemplaren.

• Met behulp van Azure Private Link kunt u verbinding maken met een Azure Cache-exemplaar vanuit uw virtuele netwerk via een privé-eindpunt. Aan het eindpunt wordt een privé-IP-adres toegewezen in een subnet binnen het virtuele netwerk. Met deze privékoppeling zijn cache-exemplaren beschikbaar vanuit zowel het VNet als openbaar.

  Belangrijk

  Enterprise/Enterprise Flash-caches met private link kunnen niet openbaar worden geopend.

• Zodra een privé-eindpunt is gemaakt in de caches van Basic/Standard/Premium, kan de toegang tot het openbare netwerk worden beperkt via de publicNetworkAccess vlag. Deze vlag is standaard ingesteld Disabled op, waardoor alleen private link-toegang is toegestaan. U kunt de waarde instellen op Enabled of Disabled met een PATCH-aanvraag. Zie Azure Cache voor Redis met Azure Private Link voor meer informatie.

  Belangrijk

  Enterprise/Enterprise Flash-laag biedt geen ondersteuning voor publicNetworkAccess vlag.

• Eventuele externe cacheafhankelijkheden zijn niet van invloed op de NSG-regels van het VNet.

• Het behouden van opslagaccounts die zijn beveiligd met firewallregels wordt ondersteund in de Premium-laag wanneer u beheerde identiteit gebruikt om verbinding te maken met het opslagaccount. Zie meer import- en exportgegevens in Azure Cache voor Redis

• Private Link biedt minder bevoegdheden door de toegang tot uw cache te verminderen tot andere netwerkresources. Private Link voorkomt dat een slechte actor verkeer naar de rest van uw netwerk initieert.

Beperkingen van Private Link

• Op dit moment wordt de portalconsole niet ondersteund voor caches met een privékoppeling.

Notitie

Wanneer u een privé-eindpunt toevoegt aan een cache-exemplaar, wordt al het Redis-verkeer naar het privé-eindpunt verplaatst vanwege de DNS. Zorg ervoor dat eerdere firewallregels eerder worden aangepast.

Azure Virtual Network-injectie

Let op

Virtual Network-injectie wordt niet aanbevolen. Zie Beperkingen van VNet-injectie voor meer informatie.

Met Virtual Network (VNet) kunnen veel Azure-resources veilig communiceren met elkaar, internet en on-premises netwerken. VNet is net als een traditioneel netwerk dat u in uw eigen datacenter zou gebruiken.

Beperkingen van VNet-injectie

• Het maken en onderhouden van configuraties voor virtuele netwerken is foutgevoelig. Problemen met netwerkconfiguratie oplossen is lastig. Onjuiste configuraties van virtuele netwerken kunnen leiden tot verschillende problemen:
  • verlies van metrische gegevens voor uw cache-exemplaren
  • ongepland verlies van beschikbaarheid, wat gegevensverlies kan veroorzaken (verlies van beschikbaarheid veroorzaakt door de netwerkconfiguratie van de klant wordt mogelijk niet gedekt door de SLA)
  • kan geen gegevens repliceren, wat gegevensverlies kan veroorzaken
  • mislukte beheerbewerkingen, zoals schalen
• Wanneer u een in VNet geïnjecteerde cache gebruikt, moet u uw VNet bijgewerkt houden om toegang te verlenen tot cacheafhankelijkheden, zoals certificaatintrekkingslijsten, openbare sleutelinfrastructuur, Azure Key Vault, Azure Storage, Azure Monitor en meer.
• In VNet opgenomen caches zijn alleen beschikbaar voor Azure Cache voor Redis exemplaren van de Premium-laag.
• U kunt een bestaand Azure Cache voor Redis exemplaar niet injecteren in een virtueel netwerk. U kunt deze optie alleen selecteren wanneer u de cache maakt.

Firewallregels

Azure Cache voor Redis kunt u firewallregels configureren voor het opgeven van HET IP-adres dat u wilt toestaan om verbinding te maken met uw Azure Cache voor Redis-exemplaar.

Voordelen van firewallregels

• Wanneer firewallregels zijn geconfigureerd, kunnen alleen clientverbindingen van de opgegeven IP-adresbereiken verbinding maken met de cache. Verbindingen van Azure Cache voor Redis bewakingssystemen zijn altijd toegestaan, zelfs als firewallregels zijn geconfigureerd. NSG-regels die u definieert, zijn ook toegestaan.

Beperkingen van firewallregels

• Firewallregels kunnen alleen worden toegepast op een privé-eindpuntcache als de openbare netwerktoegang is ingeschakeld. Als openbare netwerktoegang is ingeschakeld in de privé-eindpuntcache zonder firewallregels, accepteert de cache al het openbare netwerkverkeer.
• De configuratie van firewallregels is beschikbaar voor alle Basic-, Standard- en Premium-lagen.
• Configuratie van firewallregels is niet beschikbaar voor Enterprise- of Enterprise Flash-lagen.

Volgende stappen

• Meer informatie over het configureren van een in VNet geïnjecteerde cache voor een Premium Azure Cache voor Redis-exemplaar.
• Meer informatie over het configureren van firewallregels voor alle Azure Cache voor Redis lagen.
• Meer informatie over het configureren van privé-eindpunten voor alle Azure Cache voor Redis lagen.