Partilhar via

Opções de isolamento de rede da Cache do Azure para Redis

  • Artigo

Neste artigo, você aprenderá a determinar a melhor solução de isolamento de rede para suas necessidades. Discutimos os conceitos básicos do Azure Private Link (recomendado), da injeção da Rede Virtual do Azure (VNet) e das Regras de Firewall. Discutimos as suas vantagens e limitações.

O Azure Private Link fornece conectividade privada a partir de uma rede virtual para os serviços do Azure PaaS. O Private Link simplifica a arquitetura de rede e protege a conexão entre pontos de extremidade no Azure. O Private Link também protege a conexão, eliminando a exposição de dados à internet pública.

  • Link privado com suporte em todas as camadas - camadas Basic, Standard, Premium, Enterprise e Enterprise Flash - do Cache do Azure para instâncias Redis.

  • Usando o Azure Private Link, você pode se conectar a uma instância de Cache do Azure de sua rede virtual por meio de um ponto de extremidade privado. O ponto de extremidade recebe um endereço IP privado em uma sub-rede dentro da rede virtual. Com esse link privado, as instâncias de cache estão disponíveis na VNet e publicamente.

    Importante

    Os caches Enterprise/Enterprise Flash com link privado não podem ser acessados publicamente.

  • Depois que um ponto de extremidade privado é criado em caches de nível Basic/Standard/Premium, o acesso à rede pública pode ser restrito por meio do publicNetworkAccess sinalizador. Esse sinalizador é definido como Disabled por padrão, que só permite acesso ao link privado. Você pode definir o valor para Enabled ou Disabled com uma solicitação PATCH. Para obter mais informações, consulte Cache do Azure para Redis com o Azure Private Link.

    Importante

    A camada Enterprise/Enterprise Flash não suporta publicNetworkAccess sinalizador.

  • Quaisquer dependências de cache externo não afetam as regras NSG da VNet.

  • Há suporte para a persistência de contas de armazenamento protegidas com regras de firewall na camada Premium ao usar a identidade gerenciada para se conectar à conta de armazenamento, veja mais Importar e exportar dados no Cache Redis do Azure

  • O link privado oferece menos privilégios, reduzindo a quantidade de acesso que seu cache tem a outros recursos da rede. O link privado impede que um agente mal-intencionado inicie o tráfego para o resto da rede.

  • Atualmente, o console do portal não é suportado para caches com link privado.

Nota

Ao adicionar um ponto de extremidade privado a uma instância de cache, todo o tráfego Redis é movido para o ponto de extremidade privado devido ao DNS. Verifique se as regras de firewall anteriores foram ajustadas antes.

Injeção de Rede Virtual do Azure

Atenção

A injeção de Rede Virtual não é recomendada. Para obter mais informações, consulte Limitações da injeção de VNet.

A Rede Virtual (VNet) permite que muitos recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. A VNet é como uma rede tradicional que você operaria em seu próprio data center.

Limitações da injeção de VNet

  • Criar e manter configurações de rede virtual geralmente são propensos a erros. A solução de problemas também é um desafio. Configurações de rede virtual incorretas podem causar problemas:

    • Transmissão de métricas obstruída de suas instâncias de cache

    • Falha do nó de réplica para replicar dados do nó primário

    • potencial perda de dados

    • falha de operações de gerenciamento, como dimensionamento

    • falhas intermitentes ou completas de SSL/TLS

    • falha na aplicação de atualizações, incluindo melhorias importantes de segurança e confiabilidade

    • nos cenários mais graves, perda de disponibilidade

  • Ao usar um cache injetado de VNet, você deve manter sua VNet atualizada para permitir o acesso a dependências de cache, como Listas de Revogação de Certificados, Infraestrutura de Chave Pública, Cofre de Chaves do Azure, Armazenamento do Azure, Monitor do Azure e muito mais.

  • Os caches injetados de VNet só estão disponíveis para instâncias do Cache do Azure para Redis de camada Premium, não para outras camadas.

  • Não é possível injetar uma instância existente do Cache do Azure para Redis em uma Rede Virtual. Você deve selecionar essa opção ao criar o cache.

Regras da firewall

O Cache do Azure para Redis permite configurar regras de Firewall para especificar o endereço IP que você deseja permitir que se conecte à sua instância do Cache do Azure para Redis.

Vantagens das regras de firewall

  • Quando as regras de firewall são configuradas, somente as conexões de cliente dos intervalos de endereços IP especificados podem se conectar ao cache. As conexões do Cache do Azure para sistemas de monitoramento Redis são sempre permitidas, mesmo que as regras de firewall estejam configuradas. As regras do NSG que você define também são permitidas.

Limitações das regras de firewall

  • As regras de firewall só podem ser aplicadas a um cache de ponto de extremidade privado se o acesso à rede pública estiver habilitado. Se o acesso à rede pública estiver habilitado no cache de ponto de extremidade privado sem regras de firewall configuradas, o cache aceitará todo o tráfego da rede pública.
  • A configuração das regras de firewall está disponível para todas as camadas Basic, Standard e Premium.
  • A configuração de regras de firewall não está disponível para as camadas Enterprise nem Enterprise Flash.

Próximos passos