Azure Cache for Redis 網路隔離選項
在本文中,您會了解如何判斷最適合您需求的網路隔離解決方案。 我們會討論 Azure Private Link (建議)、Azure 虛擬網路 (VNet) 插入和防火牆規則的基本概念。 我們會討論其優點和限制。
Azure Private Link (建議)
Azure Private Link 能提供從虛擬網路到 Azure PaaS 服務的私人連線。 私人連結可簡化網路架構,並確保 Azure 中端點之間的連線。 Private Link 也會藉由排除對公用網際網路的資料暴露,來保護連線。
Private Link 的優點
Azure Cache for Redis 執行個體的所有層級都支援 Private Link (基本、標準、進階、Enterprise 和 Enterprise Flash 層)。
您可以使用 Azure Private Link,透過私人端點從虛擬網路連線到 Azure 快取執行個體。 會在虛擬網路內的子網路中將私人 IP 位址指派給端點。 透過此私人連結,快取執行個體可同時從 VNet 內和公開取得。
重要
無法公開存取具有私人連結的 Enterprise/Enterprise Flash 快取。
在基本/標準/進階層快取上建立私人端點之後,即可透過
publicNetworkAccess
旗標來限制對公用網路的存取。 此旗標預設設定為Disabled
,這僅允許私人連結存取。 您可以使用 PATCH 要求將值設定為Enabled
或Disabled
。 如需詳細資訊,請參閱使用 Azure Private Link 的 Azure Cache for Redis。重要
Enterprise/Enterprise Flash 層不支援
publicNetworkAccess
旗標。任何外部快取相依性都不會影響 VNet 的 NSG 規則。
使用受控識別連線到記憶體帳戶時,在進階層支援使用防火牆規則保護的任何記憶體帳戶,請參閱 Azure Cache for Redis 中的更多 匯入和導出數據
私人鏈接藉由減少快取對其他網路資源的存取量,提供較少的許可權。 私人連結可防止不良動作專案起始網路其餘部分的流量。
Private Link 的限制
- 目前,使用私人連結的快取不支援入口網站主控台。
注意
將私人端點新增至快取執行個體時,所有 Redis 流量都會因 DNS 而移至私人端點。 請確定先前已調整之前的防火牆規則。
Azure 虛擬網路插入
警告
不建議 虛擬網絡 插入。 如需詳細資訊,請參閱 VNet 插入的限制。
虛擬網絡 (VNet) 可讓許多 Azure 資源安全地彼此通訊、因特網和內部部署網路。 VNet 就像是在自己的資料中心運作的傳統網路。
VNet 插入的限制
建立及維護虛擬網路設定往往容易出錯。 疑難排解也是一項挑戰。 不正確的虛擬網路設定可能會導致問題:
來自快取執行個體的計量傳輸受阻
複本節點無法從主要節點複寫資料
可能遺失資料
管理作業 (例如調整) 失敗
間歇性或完整的 SSL/TLS 失敗
無法套用更新,包括重要的安全性和可靠性改善
在最嚴重的情況下,會失去可用性
使用 VNet 插入快取時,您必須讓 VNet 保持更新,以允許存取快取相依性,例如證書吊銷清單、公鑰基礎結構、Azure 金鑰保存庫、Azure 儲存體、Azure 監視器等等。
VNet 插入快取僅適用於進階層 Azure Redis 快取實例,而非其他層。
您無法將現有的 Azure Cache for Redis 執行個體插入虛擬網路中。 您必須在建立快取時選取此選項。
防火牆規則
Azure Cache for Redis 允許設定防火牆規則,以指定您想要允許連線到 Azure Cache for Redis 執行個體的 IP 位址。
防火牆規則優點
- 設定防火牆規則時,只有來自指定 IP 位址範圍的用戶端連線可以連接至快取。 系統一律會允許來自「Azure Redis 快取」監視系統的連線,即使已設定防火牆規則也一樣。 也允許使用您定義的 NSG 規則。
防火牆規則的限制
- 僅在啟用公用網路存取時,才能將防火牆規則套用至私人端點快取。 如果在未設定防火牆規則的私人端點快取上啟用公用網路存取,則快取會接受所有公用網路流量。
- 防火牆規則設定適用於所有基本、標準和進階層。
- 企業版或企業 Flash 層無法使用防火牆規則設定。