Alternativ för nätverksisolering för Azure Cache for Redis

I den här artikeln får du lära dig hur du fastställer den bästa lösningen för nätverksisolering för dina behov. Vi diskuterar grunderna i Azure Private Link (rekommenderas), Azure Virtual Network (VNet) inmatning och brandväggsregler. Vi diskuterar deras fördelar och begränsningar.

Azure Private Link (rekommenderas)

Azure Private Link tillhandahåller en privat anslutning från ett virtuellt nätverk till Azure PaaS-tjänster. Private Link förenklar nätverksarkitekturen och skyddar anslutningen mellan slutpunkter i Azure. Private Link skyddar också anslutningen genom att eliminera dataexponering för det offentliga Internet.

Fördelar med Private Link

• Privat länk som stöds på alla nivåer – Basic-, Standard-, Premium-, Enterprise- och Enterprise Flash-nivåer – för Azure Cache for Redis-instanser.

• Genom att använda Azure Private Link kan du ansluta till en Azure Cache-instans från ditt virtuella nätverk via en privat slutpunkt. Slutpunkten tilldelas en privat IP-adress i ett undernät i det virtuella nätverket. Med den här privata länken är cacheinstanser tillgängliga både från det virtuella nätverket och offentligt.

  Viktigt!

  Enterprise/Enterprise Flash-cacheminnen med privat länk kan inte nås offentligt.

• När en privat slutpunkt har skapats på Cacheminnen på Basic/Standard/Premium-nivå kan åtkomsten till det offentliga nätverket begränsas via publicNetworkAccess flaggan. Den här flaggan är inställd Disabled på som standard, vilket endast tillåter åtkomst till privata länkar. Du kan ange värdet till Enabled eller Disabled med en PATCH-begäran. Mer information finns i Azure Cache for Redis med Azure Private Link.

  Viktigt!

  Enterprise-/Enterprise Flash-nivån stöder publicNetworkAccess inte flagga.

• Eventuella externa cacheberoenden påverkar inte det virtuella nätverkets NSG-regler.

• Lagringskonton som skyddas med brandväggsregler stöds på Premium-nivån när du använder hanterad identitet för att ansluta till lagringskontot. Mer information finns i Importera och exportera data i Azure Cache for Redis

• Privat länk ger mindre behörighet genom att minska mängden åtkomst som cacheminnet har till andra nätverksresurser. Privat länk förhindrar att en dålig aktör initierar trafik till resten av nätverket.

Begränsningar för Private Link

• För närvarande stöds inte portalkonsolen för cacheminnen med privat länk.

Kommentar

När du lägger till en privat slutpunkt i en cacheinstans flyttas all Redis-trafik till den privata slutpunkten på grund av DNS. Kontrollera att tidigare brandväggsregler har justerats tidigare.

Azure Virtual Network-inmatning

Varning

Virtuell nätverksinmatning rekommenderas inte. Mer information finns i Begränsningar för VNet-inmatning.

Med virtuellt nätverk (VNet) kan många Azure-resurser kommunicera säkert med varandra, internet och lokala nätverk. VNet är som ett traditionellt nätverk som du skulle använda i ditt eget datacenter.

Begränsningar för VNet-inmatning

• Det är felbenäget att skapa och underhålla konfigurationer för virtuella nätverk. Det är svårt att felsöka problem med nätverkskonfigurationen. Felaktiga konfigurationer av virtuella nätverk kan leda till olika problem:
  • förlust av mått för dina cacheinstanser
  • oplanerad tillgänglighetsförlust, vilket kan orsaka dataförlust (tillgänglighetsförlust som orsakas av kundens nätverkskonfiguration omfattas kanske inte av serviceavtalet)
  • det inte går att replikera data, vilket kan orsaka dataförlust
  • fel vid hanteringsåtgärder som skalning
• När du använder ett VNet-inmatat cacheminne måste du hålla ditt virtuella nätverk uppdaterat för att tillåta åtkomst till cacheberoenden, till exempel listor över återkallade certifikat, infrastruktur för offentliga nycklar, Azure Key Vault, Azure Storage, Azure Monitor med mera.
• VNet-inmatade cacheminnen är endast tillgängliga för Azure Cache for Redis-instanser på Premium-nivå.
• Du kan inte mata in en befintlig Azure Cache for Redis-instans i ett virtuellt nätverk. Du kan bara välja det här alternativet när du skapar cacheminnet.

Brandväggsregler

Med Azure Cache for Redis kan du konfigurera brandväggsregler för att ange IP-adress som du vill tillåta för att ansluta till din Azure Cache for Redis-instans.

Fördelar med brandväggsregler

• När brandväggsregler har konfigurerats kan endast klientanslutningar från de angivna IP-adressintervallen ansluta till cacheminnet. Anslutningar från Azure Cache for Redis-övervakningssystem tillåts alltid, även om brandväggsregler har konfigurerats. NSG-regler som du definierar är också tillåtna.

Begränsningar i brandväggsregler

• Brandväggsregler kan endast tillämpas på en privat slutpunktscache om åtkomsten till det offentliga nätverket är aktiverad. Om offentlig nätverksåtkomst är aktiverad i den privata slutpunktscacheminnet utan att några brandväggsregler har konfigurerats accepterar cachen all offentlig nätverkstrafik.
• Konfiguration av brandväggsregler är tillgänglig för alla Basic-, Standard- och Premium-nivåer.
• Konfiguration av brandväggsregler är inte tillgänglig för Enterprise- eller Enterprise Flash-nivåer.

Nästa steg

• Lär dig hur du konfigurerar ett VNet-inmatat cacheminne för en Premium Azure Cache for Redis-instans.
• Lär dig hur du konfigurerar brandväggsregler för alla Azure Cache for Redis-nivåer.
• Lär dig hur du konfigurerar privata slutpunkter för alla Azure Cache for Redis-nivåer.