Параметры сетевой изоляции Кэша Azure для Redis

В этой статье вы узнаете, как определить оптимальное решение сетевой изоляции для ваших потребностей. Мы обсудим основы внедрения Приватный канал Azure (рекомендуется), внедрения виртуальная сеть (виртуальная сеть) Azure и правил брандмауэра. Мы обсудим свои преимущества и ограничения.

Приватный канал Azure (рекомендуется)

Приватный канал Azure обеспечивает частное подключение между виртуальной сетью и службами Azure PaaS. Приватный канал упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure. Приватный канал также устраняет проблему незащищенности данных в общедоступном Интернете.

Преимущества Приватного канала

• Приватный канал, поддерживаемый на всех уровнях : "Базовый", "Стандартный", "Премиум", "Корпоративный" и "Корпоративный флэш-памяти" для Кэш Azure для Redis экземпляров.

• С помощью Приватный канал Azure можно подключиться к экземпляру кэша Azure из виртуальной сети через частную конечную точку. Конечной точке назначается частный IP-адрес в подсети в виртуальной сети. При использовании этого приватного канала экземпляры кэша доступны как в виртуальной сети, так и в общедоступной.

  Внимание

  Кэши Enterprise/Enterprise Flash с приватным каналом недоступны для общедоступного доступа.

• После создания частной конечной точки в кэшах уровня "Базовый" или "Стандартный" или "Премиум" доступ к общедоступной сети можно ограничить с помощью флага publicNetworkAccess . Этот флаг имеет значение Disabled по умолчанию, что разрешает доступ только к приватным каналу. Можно задать значение Enabled или Disabled с помощью запроса PATCH. Дополнительные сведения см. в статье Кэш Azure для Redis с Приватным каналом Azure.

  Внимание

  Уровень Enterprise/Enterprise Flash не поддерживает publicNetworkAccess флаг.

• Все зависимости внешнего кэша не влияют на правила NSG виртуальной сети.

• Сохранение в любых учетных записях хранения, защищенных правилами брандмауэра, поддерживается на уровне "Премиум" при использовании управляемого удостоверения для подключения к учетной записи хранения, см. дополнительные сведения о импорте и экспорте данных в Кэш Azure для Redis

• Приватный канал обеспечивает меньше привилегий, уменьшая объем доступа к кэшу к другим сетевым ресурсам. Приватный канал запрещает плохому субъекту инициировать трафик в остальную часть вашей сети.

Ограничения Приватного канала

• В настоящее время консоль портала не поддерживается для кэшей с приватным каналом.

Примечание.

При добавлении частной конечной точки в экземпляр кэша весь трафик Redis перемещается в частную конечную точку из-за DNS. Убедитесь, что предыдущие правила брандмауэра были настроены ранее.

Внедрение в виртуальную сеть Azure

Внимание

виртуальная сеть внедрение не рекомендуется. Дополнительные сведения см. в разделе "Ограничения внедрения виртуальной сети".

виртуальная сеть (виртуальная сеть) позволяет многим ресурсам Azure безопасно взаимодействовать друг с другом, Интернетом и локальными сетями. Виртуальная сеть напоминает традиционную сеть, которую вы бы использовали в собственном центре обработки данных.

Ограничения внедрения виртуальной сети

• Создание и обслуживание конфигураций виртуальной сети часто подвержены ошибкам. Устранение неполадок также сложно. Неправильные конфигурации виртуальной сети могут привести к проблемам:

  • Незащищенная передача метрик из экземпляров кэша

  • сбой узла реплики для репликации данных из первичного узла

  • потенциальная потеря данных

  • сбой операций управления, таких как масштабирование

  • периодические или полные сбои SSL/TLS

  • сбой применения обновлений, включая важные улучшения безопасности и надежности

  • в наиболее сложных сценариях потеря доступности

• При использовании внедренного кэша виртуальной сети необходимо сохранить виртуальную сеть, чтобы разрешить доступ к зависимостям кэша, таким как списки отзыва сертификатов, инфраструктура открытых ключей, Azure Key Vault, служба хранилища Azure, Azure Monitor и многое другое.

• Внедренные кэши виртуальной сети доступны только для экземпляров уровня "Премиум" Кэш Azure для Redis, а не для других уровней.

• Невозможно внедрить существующий экземпляр Кэш Azure для Redis в виртуальная сеть. Этот параметр необходимо выбрать при создании кэша.

Правила брандмауэра

Кэш Azure для Redis позволяет настраивать правила брандмауэра для указания IP-адреса, который требуется разрешить подключению к Кэш Azure для Redis экземпляру.

Преимущества правил брандмауэра

• Когда правила брандмауэра будут настроены, подключения к кэшу будут доступны только для клиентов из указанного диапазона IP-адресов. Подключения из систем мониторинга кэша Azure для Redis всегда разрешены, даже если настроены правила брандмауэра. Также разрешены правила NSG, определенные вами.

Ограничения правил брандмауэра

• Правила брандмауэра можно применять к кэшу частной конечной точки только в том случае, если доступ к общедоступной сети включен. Если доступ к общедоступной сети включен в кэше частной конечной точки без правил брандмауэра, кэш принимает весь общедоступный сетевой трафик.
• Конфигурация правил брандмауэра доступна для всех уровней "Базовый", "Стандартный" и "Премиум".
• Конфигурация правил брандмауэра недоступна для уровней Enterprise или Enterprise Flash.

Следующие шаги

• Узнайте, как настроить кэш, внедренный в виртуальную сеть для Кэша Azure уровня "Премиум" для экземпляра Redis.
• Узнайте, как настроить правила брандмауэра для всех уровней Кэша Azure для Redis.
• Узнайте, как настроить частные конечные точки для всех уровней Кэша Azure для Redis.