Что такое Управляемый Redis Azure (предварительная версия) с Приватный канал Azure?
В этой статье вы узнаете, как создать виртуальную сеть и экземпляр Управляемого Redis (предварительная версия) Azure с частной конечной точкой с помощью портал Azure. Вы также узнаете, как добавить частную конечную точку в существующий экземпляр Управляемого Redis Azure.
Частная конечная точка Azure — это сетевой интерфейс, который подключает вас приватно и безопасно к Управляемому Redis Azure с помощью Приватный канал Azure.
Внимание
Использование частной конечной точки для подключения к виртуальная сеть рекомендуется для защиты ресурса Azure Managed Redis (предварительная версия) на сетевом уровне.
Необходимые компоненты
- Подписка Azure — создайте бесплатную учетную запись.
Создание частной конечной точки с новым экземпляром Управляемого Redis в Azure
В этом разделе описано, как создать экземпляр Управляемого Redis в Azure с частной конечной точкой.
Создание виртуальной сети для нового кэша
Чтобы создать кэш с помощью портала, выполните следующие действия.
Войдите на портал Azure и выберите Создать ресурс.
На новой странице выберите Сеть, а затем Виртуальная сеть.
Нажмите Добавить, чтобы создать виртуальную сеть.
В подменю Создать виртуальную сеть введите или выберите следующую информацию на вкладке Основные сведения:
Параметр Предлагаемое значение Description Подписка Раскройте список и выберите нужную подписку. Подписка, в которой создается эта виртуальная сеть. Группа ресурсов Раскройте список и выберите группу ресурсов или нажмите Создать и введите имя для новой группы ресурсов. Название группы ресурсов, в которой будут созданы виртуальная сеть и другие ресурсы. Поместив все ресурсы приложения в одну группу ресурсов, вы сможете легко управлять ими и/или удалить их вместе. Имя Введите имя виртуальной сети. Оно должно начинаться с буквы или цифры, заканчиваться буквой, цифрой или символом подчеркивания и может содержать только буквы, цифры, символы подчеркивания, точки и дефисы. Регион Откройте выпадающий список и выберите регион. Выберите регион рядом с другими службами, используюющими виртуальную сеть. Откройте вкладку IP-адрес или нажмите кнопку Далее: IP-адреса внизу страницы.
На вкладке IP-адреса в поле Пространство IPv4-адресов укажите один или нескольких префиксов адресов в нотации CIDR (например, 192.168.1.0/24).
В разделе Имя подсети выберите По умолчанию, чтобы изменить свойства подсети.
В области Изменение подсети укажите Имя подсети, а также Диапазон адресов подсети. Диапазон адресов подсети должен быть в нотации CIDR (например, 192.168.1.0/24). Он должен содержаться в адресном пространстве виртуальной сети.
Выберите Сохранить.
Перейдите на вкладку Просмотр и создание или нажмите кнопку Просмотр и создание.
Убедитесь, что все сведения указаны правильно, и нажмите кнопку Создать, чтобы создать виртуальную сеть.
Создание экземпляра Управляемого Redis в Azure с частной конечной точкой
Чтобы создать экземпляр кэша, выполните следующие действия.
Вернитесь на домашнюю страницу портала Azure или откройте боковое меню и выберите Создать ресурс.
В поле поиска введите Кэш Azure для Redis. Укажите только поиск в службах Azure и выберите Кэш Azure для Redis.
На странице Новый кэш Redis настройте параметры для нового кэша.
- Выберите кэш Управляемого Redis Azure в номере SKU кэша.
- Выберите соответствующий параметр в размере кэша.
Выберите вкладку Сети или нажмите кнопку Сети в нижней части страницы.
На вкладке Сеть выберите в качестве метода подключения пункт Частная конечная точка.
Нажмите кнопку Добавить, чтобы создать частную конечную точку.
На странице Создание частной конечной точки настройте параметры частной конечной точки в виртуальной сети и подсети, созданной в последнем разделе, и нажмите кнопку ОК.
Выберите вкладку Далее: дополнительно или нажмите в нижней части страницы кнопку Далее: дополнительно.
На вкладке Дополнительно для экземпляра кэша уровня "Базовый" или "Стандартный" установите переключатель, чтобы включить порт, отличный от TLS.
На вкладке Дополнительно для экземпляра кэша уровня "Премиум" настройте параметры для портов, отличных от TLS, а также кластеризацию и сохраняемость данных.
Выберите вкладку Next: Tags (Далее: теги) или нажмите в нижней части страницы кнопку Next: Tags (Далее: теги).
При необходимости на вкладке Теги введите имя и значение, чтобы классифицировать ресурс.
Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на вкладку Проверка и создание, где Azure проверит вашу конфигурацию.
Когда отобразится сообщение "Проверка пройдена" зеленого цвета, выберите Создать.
На создание кэша требуется некоторое время. Ход выполнения можно отслеживать на странице обзора Управляемого Redis в Azure. Когда Состояние примет значение Running (Выполняется), кэш будет готов к использованию.
Создание частной конечной точки с существующим экземпляром Управляемого Redis в Azure
В этом разделе описано, как добавить частную конечную точку в существующий экземпляр Управляемого Redis Azure.
Создание виртуальной сети для существующего кэша
Чтобы создать виртуальную сеть, выполните следующие действия:
Войдите на портал Azure и выберите Создать ресурс.
На новой странице выберите Сеть, а затем Виртуальная сеть.
Нажмите Добавить, чтобы создать виртуальную сеть.
В подменю Создать виртуальную сеть введите или выберите следующую информацию на вкладке Основные сведения:
Параметр Предлагаемое значение Description Подписка Раскройте список и выберите нужную подписку. Подписка, в которой создается эта виртуальная сеть. Группа ресурсов Раскройте список и выберите группу ресурсов или нажмите Создать и введите имя для новой группы ресурсов. Название группы ресурсов, в которой будут созданы виртуальная сеть и другие ресурсы. Поместив все ресурсы приложения в одну группу ресурсов, вы сможете легко управлять ими и/или удалить их вместе. Имя Введите имя виртуальной сети. Оно должно начинаться с буквы или цифры, заканчиваться буквой, цифрой или символом подчеркивания и может содержать только буквы, цифры, символы подчеркивания, точки и дефисы. Регион Откройте выпадающий список и выберите регион. Выберите регион рядом с другими службами, используюющими виртуальную сеть. Откройте вкладку IP-адрес или нажмите кнопку Далее: IP-адреса внизу страницы.
На вкладке IP-адреса в поле Пространство IPv4-адресов укажите один или нескольких префиксов адресов в нотации CIDR (например, 192.168.1.0/24).
В разделе Имя подсети выберите По умолчанию, чтобы изменить свойства подсети.
В области Изменение подсети укажите Имя подсети, а также Диапазон адресов подсети. Диапазон адресов подсети должен быть в нотации CIDR (например, 192.168.1.0/24). Он должен содержаться в адресном пространстве виртуальной сети.
Выберите Сохранить.
Перейдите на вкладку Просмотр и создание или нажмите кнопку Просмотр и создание.
Убедитесь, что все сведения указаны правильно, и нажмите кнопку Создать, чтобы создать виртуальную сеть.
Создание частной конечной точки
Чтобы создать частную конечную точку, выполните следующие действия.
На портале Azure выполните поиск Кэш Azure для Redis. Затем нажмите клавишу ВВОД или выберите его из предложений поиска для кэша.
Выберите экземпляр кэша, к которому нужно добавить частную конечную точку.
В левой части экрана выберите Частная конечная точка.
Нажмите кнопку Частная конечная точка, чтобы создать частную конечную точку.
На странице Создание частной конечной точки настройте параметры частной конечной точки.
Параметр Предлагаемое значение Description Подписка Раскройте список и выберите нужную подписку. Подписка, в которой создается эта частная конечная точка. Группа ресурсов Раскройте список и выберите группу ресурсов или нажмите Создать и введите имя для новой группы ресурсов. Название группы ресурсов, в которой будут созданы частная конечная точка и другие ресурсы. Поместив все ресурсы приложения в одну группу ресурсов, вы сможете легко управлять ими и/или удалить их вместе. Имя Введите имя частной конечной точки. Оно должно начинаться с буквы или цифры, заканчиваться буквой, цифрой или символом подчеркивания и может содержать только буквы, цифры, символы подчеркивания, точки и дефисы. Регион Откройте выпадающий список и выберите регион. Выберите регион рядом с другими службами, используюющими частную конечную точку. Нажмите кнопку Далее: ресурс в нижней части страницы.
На вкладке Ресурс выберите подписку, тип ресурса
Microsoft.Cache/redisEnterprise, а затем кэш, к которому нужно подключить частную конечную точку.Теперь нажмите кнопку Далее: конфигурация в нижней части страницы.
Нажмите кнопку Далее: Виртуальная сеть в нижней части страницы.
На вкладке Конфигурация выберите виртуальную сеть и подсеть, созданные в предыдущем разделе.
На вкладке Виртуальная сеть выберите виртуальную сеть и подсеть, созданные в предыдущем разделе.
Нажмите кнопку Далее: тэги в нижней части страницы.
При необходимости на вкладке Теги введите имя и значение, чтобы классифицировать ресурс.
Выберите Review + create (Просмотреть и создать). Вы будете перенаправлены на вкладку Проверка и создание, где Azure проверит вашу конфигурацию.
Когда отобразится сообщение Проверка пройдена зеленого цвета, выберите Создать.
Внимание
Флаг publicNetworkAccess по умолчанию имеет значение Disabled.
Вы можете задать любое из этих значений Disabled или Enabled. Если задано значение «Включено», этот флажок разрешает доступ к кэшу как для общедоступной, так и для частной конечной точки. Если задано значение Disabled, то доступ разрешен только для частной конечной точки. Чтобы узнать, как изменить это значение, ознакомьтесь с вопросами и ответами.
Создание частной конечной точки с помощью Azure PowerShell
Чтобы создать частную конечную точку с именем MyPrivateEndpoint для существующего экземпляра Управляемого Redis Azure, выполните следующий сценарий PowerShell. Замените значения переменных на значения для вашей среды.
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Получение частной конечной точки с помощью Azure PowerShell
Получение сведений о частной конечной точке, используйте следующую команду PowerShell:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Удаление частной конечной точки с помощью Azure PowerShell
Чтобы удалить частную конечную точку, используйте следующую команду PowerShell:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Создание частной конечной точки с помощью Azure CLI
Чтобы создать частную конечную точку с именем myPrivateEndpoint для существующего экземпляра Управляемого Redis Azure, выполните следующий сценарий Azure CLI. Замените значения переменных на значения для вашей среды.
# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
--group-ids "redisEnterprise" \
--connection-name $PrivateConnectionName
Получение частной конечной точки с помощью Azure CLI
Получение сведений о частной конечной точке, используйте следующую команду CLI:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Удаление частной конечной точки с помощью Azure CLI
Чтобы удалить частную конечную точку, используйте следующую команду CLI:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Вопросы и ответы
- Как подключиться к кэшу с помощью частной конечной точки?
- Почему я не могу подключиться к частной конечной точке?
- Какие функции не поддерживаются с частными конечными точками?
- Как проверить, правильно ли настроена частная конечная точка?
- Как изменить доступ к частной конечной точке из публичной сети?
- Как иметь несколько конечных точек в разных виртуальных сетях?
- Что произойдет, если удалить все частные конечные точки в кэше?
- Включены ли группы безопасности сети (NSG) для частных конечных точек?
- Экземпляр частной конечной точки не находится в моей виртуальной сети, поэтому как он связан с моей виртуальной сетью?
Как подключиться к кэшу с помощью частной конечной точки?
Приложение должно подключаться к <cachename>.<region>.redis.azure.net по порту 10000. В подписке автоматически создается частная зона DNS с именем *.privatelink.redis.azure.net. Частная зона DNS имеет критически важное значение для установления подключения по протоколу TLS к частной конечной точке. Рекомендуется избегать использования <cachename>.privatelink.redis.azure.net в конфигурации для подключения клиента.
Дополнительные сведения см. в статье Настройка зоны DNS служб Azure.
Почему не получается подключиться к частной конечной точке?
Частные конечные точки нельзя использовать с экземпляром кэша, если кэш уже является внедренным кэшем виртуальной сети.
Кэши Redis в Azure ограничены 84 частными ссылками.
Попытка сохранить данные в учетной записи хранения, где применяются правила брандмауэра, может препятствовать созданию приватного канала.
Если экземпляр кэша использует неподдерживаемую функцию, вы не сможете подключиться к своему экземпляру частной конечной точки.
Какие функции не поддерживаются частными конечными точками?
- Нет ограничений на использование частной конечной точки с Управляемым Redis Azure (предварительная версия).
Как проверить, правильно ли настроена частная конечная точка?
Перейдите в раздел Общие сведения в меню «Ресурс» на портале. Вы увидите имя узла для кэша в рабочей области. Чтобы убедиться, что команда разрешает частный IP-адрес кэша, выполните команду, например nslookup <hostname> из виртуальной сети, связанной с частной конечной точкой.
Как изменить доступ к частной конечной точке из публичной сети?
Чтобы изменить значение в портал Azure, выполните следующие действия.
В портал Azure найдите Управляемый Redis в Azure. Затем нажмите клавишу ВВОД или выберите эту службу из результатов поиска.
Выберите экземпляр кэша, для которого нужно изменить доступ к общедоступной сети.
В левой части экрана выберите Частная конечная точка.
Удалите частную конечную точку.
Как использовать несколько конечных точек в разных виртуальных сетях?
Для этого необходимо вручную настроить частные зоны DNS для нескольких виртуальных сетей перед тем, как создавать частные конечные точки. Дополнительные сведения см. в статье Конфигурация DNS для частной конечной точки Azure.
Что произойдет, если удалить все частные конечные точки в кэше?
Если удалить все частные конечные точки в кэше Управляемого Redis (предварительная версия) Azure, сеть по умолчанию имеет доступ к общедоступной сети.
Включены ли группы безопасности сети (NSG) для частных конечных точек?
Нет, они отключены для частных конечных точек. Несмотря на то, что подсети, содержащие частную конечную точку, могут иметь связанные NSG, правила не будут действовать для трафика, обрабатываемого частной конечной точкой. Для развертывания частных конечных точек в подсети необходимо отключить принудительное применение политик сети. NSG по-прежнему действуют по отношению к другим рабочим нагрузкам, размещенным в той же подсети. Маршруты в любой подсети клиента используют префикс /32, изменение поведения маршрутизации по умолчанию требует аналогичного UDR.
Управление трафиком с помощью правил NSG для исходящего трафика на клиентах источника. Разверните отдельные маршруты с префиксом /32 для переопределения маршрутов частных конечных точек. Журналы потоков NSG и данные мониторинга для исходящих подключений по-прежнему поддерживаются и могут использоваться.
Если мой экземпляр частной конечной точки находится не в моей виртуальной сети, то как он с ней связан?
Частная конечная точка связана только с виртуальной сетью. Так как он не находится в ней, для зависимых конечных точек не нужно изменять правила NSG.
Связанный контент
- Дополнительные сведения о Приватных каналах Azure см. в документации по Приватным каналам Azure.
- Чтобы сравнить разные параметры сетевой изоляции для кэша, см. документацию по параметрам сетевой изоляции Кэша Azure для Redis.