Opções de isolamento de rede do Cache do Azure para Redis

Neste artigo, você aprenderá a determinar a melhor solução de isolamento de rede das suas necessidades. Discutiremos os conceitos básicos do Link Privado do Azure, da injeção da Rede Virtual do Azure (VNet) e das Regras do Firewall do Azure. Discutiremos as vantagens e limitações deles.

Link Privado do Azure (recomendado)

O Link Privado do Azure fornece conectividade privada de uma rede virtual aos serviços de PaaS do Azure. O Link Privado simplifica a arquitetura de rede e protege a conexão entre os pontos de extremidade no Azure. O Link Privado também protege a conexão ao eliminar a exposição de dados para a Internet pública.

Vantagens do Link Privado

• Com suporte em todas as camadas – Básico, Standard, Premium, Enterprise e Enterprise Flash – das instâncias de Cache do Azure para Redis.

• Ao usar o Link Privado do Azure, você pode se conectar a uma instância de Cache do Azure da sua rede virtual por um ponto de extremidade privado. Um endereço IP privado é atribuído ao ponto de extremidade em uma sub-rede dentro da rede virtual. Com este link privado, as instâncias de cache estão disponíveis tanto na VNet quanto publicamente.

  Importante

  Os caches Enterprise Flash/Enterprise com link privado não podem ser acessados publicamente.

• Depois que um ponto de extremidade privado é criado nos caches de camada de nível Basic/Standard/Premium, o acesso à rede pública pode ser restringido por meio do sinalizador publicNetworkAccess. Esse sinalizador é definido como Disabled por padrão, o que permitirá acesso somente por link privado. Você pode definir o valor para Enabled ou Disabled com uma solicitação de PATCH. Para obter mais informações, confira Cache do Azure para Redis com o Link Privado do Azure.

  Importante

  A camada Enterprise/Enterprise Flash não dá suporte ao sinalizador publicNetworkAccess.

• Nenhuma das dependências de cache externo afetará as regras de NSG da VNet.

• Há suporte para a persistência de contas de armazenamento protegidas com regras do firewall na camada Premium ao usar a identidade gerenciada para se conectar à Conta de armazenamento, consulte mais em Importar e Exportar dados no Cache do Azure para Redis

• O link privado oferece menos privilégios reduzindo a quantidade de acesso que o seu cache tem a outros recursos de rede. O link privado impede que um ator mal-intencionado inicie o tráfego para o restante da rede.

Limitações do Link Privado

• Atualmente, o console do portal não tem suporte para caches com link privado.

Observação

Ao adicionar um ponto de extremidade privado a uma instância de cache, todo o tráfego Redis é movido para o ponto de extremidade privado por causa do DNS. Verifique se as regras de firewall anteriores foram ajustadas com antecedência.

Injeção da Rede Virtual do Azure

Cuidado

A injeção de Rede Virtual não é recomendada. Para obter mais informações, confira Limitações da injeção de VNet.

A VNet (Rede Virtual) permite que os recursos do Azure se comuniquem com segurança uns com os outros, com a Internet e com as redes locais. A VNet é como uma rede tradicional que você operaria em seu próprio data center.

Limitações da injeção de VNet

• A criação e a manutenção de configurações de rede virtual são propensas a erros. A solução de problemas também é desafiadora. Configurações incorretas de rede virtual podem causar problemas:

  • transmissão obstruídas de métricas de suas instâncias de cache

  • falha do nó de réplica em replicar dados do nó primário

  • possível perda de dados

  • falha nas operações de gerenciamento, como escalonamento

  • falhas intermitentes ou completas de SSL/TLS

  • falha ao aplicar atualizações, incluindo melhorias importantes de segurança e confiabilidade

  • nos cenários mais graves, a perda de disponibilidade

• Ao usar um cache injetado por VNet, você precisa manter a VNet atualizada para permitir o acesso a dependências de cache, como as listas de certificados revogados, a infraestrutura de chave pública, o Azure Key Vault, o Armazenamento do Azure, o Azure Monitor, entre outros.

• Os caches injetados pela VNet estão disponíveis apenas para instâncias do Cache do Azure para Redis de nível Premium, não para outros níveis.

• Você não pode injetar uma instância existente do Cache do Azure para Redis em uma Rede Virtual. Você deve selecionar esta opção ao criar o cache.

Regras de firewall

O Cache do Azure para Redis permite configurar Regras de firewall para especificar o endereço de IP que você quer permitir para se conectar à sua instância de Cache do Azure para Redis.

Vantagens das regras de firewall

• Quando regras de firewall são configuradas, apenas as conexões de cliente de intervalos de endereços IP especificados podem se conectar ao cache. Conexões dos sistemas de monitoramento do Cache do Azure para Redis serão sempre permitidas, mesmo se regras de firewall forem configuradas. As regras NSG que você definir também serão permitidas.

Limitações das regras de firewall

• As regras de firewall só poderão ser aplicadas a um cache de ponto de extremidade privado se o acesso à rede pública estiver habilitado. Se o acesso à rede pública estiver habilitado no cache de ponto de extremidade privado sem nenhuma regra de firewall, o cache aceitará todo o tráfego de rede pública.
• A configuração de regras de firewall está disponível para todas as camadas Básica, Standard e Premium.
• A configuração de regras de firewall não está disponível para camadas Enterprise nem Enterprise Flash.

Próximas etapas

• Saiba como configurar um Cache injetado de VNet para uma instância Cache do Azure para Redis Premium.
• Saiba como configurar regras de firewall para todas as camadas do Cache do Azure para Redis.
• Saiba como configurar pontos de extremidade privados para todas as camadas do Cache do Azure para Redis.