Udostępnij za pośrednictwem

Opcje izolacji sieci usługi Azure Cache for Redis

  • Artykuł

Z tego artykułu dowiesz się, jak określić najlepsze rozwiązanie izolacji sieci dla Twoich potrzeb. Omówimy podstawy usługi Azure Private Link (zalecane), iniekcję usługi Azure Virtual Network (sieć wirtualna) i reguły zapory. Omawiamy ich zalety i ograniczenia.

Usługa Azure Private Link zapewnia prywatną łączność z sieci wirtualnej z usługami PaaS platformy Azure. Usługa Private Link upraszcza architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure. Usługa Private Link zabezpiecza również połączenie, eliminując narażenie danych na publiczny Internet.

  • Usługa Private Link obsługiwana we wszystkich warstwach — podstawowa, Standardowa, Premium, Enterprise i Enterprise Flash — wystąpienia usługi Azure Cache for Redis.

  • Za pomocą usługi Azure Private Link możesz nawiązać połączenie z wystąpieniem usługi Azure Cache z sieci wirtualnej za pośrednictwem prywatnego punktu końcowego. Punkt końcowy ma przypisany prywatny adres IP w podsieci w sieci wirtualnej. Dzięki temu linkowi prywatne wystąpienia pamięci podręcznej są dostępne zarówno w sieci wirtualnej, jak i publicznie.

    Ważne

    Nie można publicznie uzyskać dostępu do pamięci podręcznych Flash przedsiębiorstwa/przedsiębiorstwa z linkiem prywatnym.

  • Po utworzeniu prywatnego punktu końcowego w pamięciach podręcznych w warstwie Podstawowa/Standardowa/Premium dostęp do sieci publicznej można ograniczyć za pomocą flagi publicNetworkAccess . Ta flaga jest domyślnie ustawiona na Disabled wartość , która zezwala tylko na dostęp za pomocą łącza prywatnego. Możesz ustawić wartość na Enabled lub Disabled za pomocą żądania PATCH. Aby uzyskać więcej informacji, zobacz Azure Cache for Redis with Azure Private Link (Usługa Azure Cache for Redis z usługą Azure Private Link).

    Ważne

    Warstwa Flash przedsiębiorstwa/przedsiębiorstwa nie obsługuje publicNetworkAccess flagi.

  • Żadne zależności zewnętrznej pamięci podręcznej nie mają wpływu na reguły sieciowej grupy zabezpieczeń sieci wirtualnej.

  • Utrwalanie wszystkich kont magazynu chronionych za pomocą reguł zapory jest obsługiwane w warstwie Premium w przypadku używania tożsamości zarządzanej do nawiązywania połączenia z kontem magazynu, zobacz więcej importowania i eksportowania danych w usłudze Azure Cache for Redis

  • Łącze prywatne zapewnia mniejsze uprawnienia dzięki zmniejszeniu ilości dostępu do pamięci podręcznej do innych zasobów sieciowych. Łącze prywatne uniemożliwia nieprawidłowemu aktorowi inicjowanie ruchu do reszty sieci.

  • Obecnie konsola portalu nie jest obsługiwana w przypadku pamięci podręcznych z linkiem prywatnym.

Uwaga

Podczas dodawania prywatnego punktu końcowego do wystąpienia pamięci podręcznej cały ruch usługi Redis jest przenoszony do prywatnego punktu końcowego z powodu systemu DNS. Upewnij się, że poprzednie reguły zapory zostały wcześniej dostosowane.

Wstrzykiwanie sieci wirtualnej platformy Azure

Uwaga

Wstrzykiwanie sieci wirtualnej nie jest zalecane. Aby uzyskać więcej informacji, zobacz Ograniczenia iniekcji sieci wirtualnej.

Sieć wirtualna umożliwia wielu zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Sieć wirtualna jest jak tradycyjna sieć, która będzie działać we własnym centrum danych.

Ograniczenia iniekcji sieci wirtualnej

  • Tworzenie i utrzymywanie konfiguracji sieci wirtualnej jest podatne na błędy. Rozwiązywanie problemów z konfiguracją sieci jest trudne. Nieprawidłowe konfiguracje sieci wirtualnej mogą prowadzić do różnych problemów:
    • utrata metryk dla wystąpień pamięci podręcznej
    • nieplanowana utrata dostępności, co może spowodować utratę danych (utrata dostępności spowodowana konfiguracją sieci klienta może nie być objęta umową SLA)
    • brak replikowania danych, co może spowodować utratę danych
    • niepowodzenie operacji zarządzania, takich jak skalowanie
  • W przypadku korzystania z wstrzyczonej pamięci podręcznej sieci wirtualnej należy zaktualizować sieć wirtualną, aby zezwolić na dostęp do zależności pamięci podręcznej, takich jak listy odwołania certyfikatów, infrastruktura kluczy publicznych, usługa Azure Key Vault, usługa Azure Storage, usługa Azure Monitor i inne.
  • Wprowadzone w sieci wirtualnej pamięci podręczne są dostępne tylko dla wystąpień usługi Azure Cache for Redis w warstwie Premium.
  • Nie można wstrzyknąć istniejącego wystąpienia usługi Azure Cache for Redis do sieci wirtualnej. Tę opcję można wybrać tylko podczas tworzenia pamięci podręcznej.

Reguły zapory

Usługa Azure Cache for Redis umożliwia konfigurowanie reguł zapory na potrzeby określania adresu IP, który chcesz zezwolić na łączenie się z wystąpieniem usługi Azure Cache for Redis.

Zalety reguł zapory

  • Po skonfigurowaniu reguł zapory tylko połączenia klientów z określonych zakresów adresów IP mogą łączyć się z pamięcią podręczną. Połączenia z systemów monitorowania usługi Azure Cache for Redis są zawsze dozwolone, nawet jeśli reguły zapory są skonfigurowane. Zdefiniowane reguły sieciowej grupy zabezpieczeń są również dozwolone.

Ograniczenia reguł zapory

  • Reguły zapory można stosować do prywatnej pamięci podręcznej punktu końcowego tylko wtedy, gdy jest włączony dostęp do sieci publicznej. Jeśli dostęp do sieci publicznej jest włączony w prywatnej pamięci podręcznej punktu końcowego bez skonfigurowanych reguł zapory, pamięć podręczna akceptuje cały ruch sieciowy publiczny.
  • Konfiguracja reguł zapory jest dostępna dla wszystkich warstw Podstawowa, Standardowa i Premium.
  • Konfiguracja reguł zapory nie jest dostępna dla warstw Enterprise ani Flash w przedsiębiorstwie.

Następne kroki