共用方式為


Azure Cache for Redis 網路隔離選項

在本文中,您會了解如何判斷最適合您需求的網路隔離解決方案。 我們會討論 Azure Private Link (建議)、Azure 虛擬網路 (VNet) 插入和防火牆規則的基本概念。 我們會討論其優點和限制。

Azure Private Link 能提供從虛擬網路到 Azure PaaS 服務的私人連線。 私人連結可簡化網路架構,並確保 Azure 中端點之間的連線。 Private Link 也會藉由排除對公用網際網路的資料暴露,來保護連線。

  • Azure Cache for Redis 執行個體的所有層級都支援 Private Link (基本、標準、進階、Enterprise 和 Enterprise Flash 層)。

  • 您可以使用 Azure Private Link,透過私人端點從虛擬網路連線到 Azure 快取執行個體。 會在虛擬網路內的子網路中將私人 IP 位址指派給端點。 透過此私人連結,快取執行個體可同時從 VNet 內和公開取得。

    重要

    無法公開存取具有私人連結的 Enterprise/Enterprise Flash 快取。

  • 在基本/標準/進階層快取上建立私人端點之後,即可透過 publicNetworkAccess 旗標來限制對公用網路的存取。 此旗標預設設定為 Disabled,這僅允許私人連結存取。 您可以使用 PATCH 要求將值設定為 EnabledDisabled。 如需詳細資訊,請參閱使用 Azure Private Link 的 Azure Cache for Redis

    重要

    Enterprise/Enterprise Flash 層不支援 publicNetworkAccess 旗標。

  • 任何外部快取相依性都不會影響 VNet 的 NSG 規則。

  • 使用受控識別連線到記憶體帳戶時,在進階層支援使用防火牆規則保護的任何記憶體帳戶,請參閱 Azure Cache for Redis 中的更多 匯入和導出數據

  • 私人鏈接藉由減少快取對其他網路資源的存取量,提供較少的許可權。 私人連結可防止不良動作專案起始網路其餘部分的流量。

  • 目前,使用私人連結的快取不支援入口網站主控台。

注意

將私人端點新增至快取執行個體時,所有 Redis 流量都會因 DNS 而移至私人端點。 請確定先前已調整之前的防火牆規則。

Azure 虛擬網路插入

警告

不建議 虛擬網絡 插入。 如需詳細資訊,請參閱 VNet 插入的限制。

虛擬網絡 (VNet) 可讓許多 Azure 資源安全地彼此通訊、因特網和內部部署網路。 VNet 就像是在自己的資料中心運作的傳統網路。

VNet 插入的限制

  • 建立及維護虛擬網路設定往往容易出錯。 疑難排解也是一項挑戰。 不正確的虛擬網路設定可能會導致問題:

    • 來自快取執行個體的計量傳輸受阻

    • 複本節點無法從主要節點複寫資料

    • 可能遺失資料

    • 管理作業 (例如調整) 失敗

    • 間歇性或完整的 SSL/TLS 失敗

    • 無法套用更新,包括重要的安全性和可靠性改善

    • 在最嚴重的情況下,會失去可用性

  • 使用 VNet 插入快取時,您必須讓 VNet 保持更新,以允許存取快取相依性,例如證書吊銷清單、公鑰基礎結構、Azure 金鑰保存庫、Azure 儲存體、Azure 監視器等等。

  • VNet 插入快取僅適用於進階層 Azure Redis 快取實例,而非其他層。

  • 您無法將現有的 Azure Cache for Redis 執行個體插入虛擬網路中。 您必須在建立快取時選取此選項。

防火牆規則

Azure Cache for Redis 允許設定防火牆規則,以指定您想要允許連線到 Azure Cache for Redis 執行個體的 IP 位址。

防火牆規則優點

  • 設定防火牆規則時,只有來自指定 IP 位址範圍的用戶端連線可以連接至快取。 系統一律會允許來自「Azure Redis 快取」監視系統的連線,即使已設定防火牆規則也一樣。 也允許使用您定義的 NSG 規則。

防火牆規則的限制

  • 僅在啟用公用網路存取時,才能將防火牆規則套用至私人端點快取。 如果在未設定防火牆規則的私人端點快取上啟用公用網路存取,則快取會接受所有公用網路流量。
  • 防火牆規則設定適用於所有基本、標準和進階層。
  • 企業版或企業 Flash 層無法使用防火牆規則設定。

下一步