Azure Cache for Redis – Možnosti izolace sítě

V tomto článku se dozvíte, jak určit nejlepší řešení izolace sítě pro vaše potřeby. Probereme základy injektáže služby Azure Private Link (doporučeno), injektáž virtuální sítě Azure a pravidel brány firewall. Probereme jejich výhody a omezení.

Azure Private Link (doporučeno)

Azure Private Link poskytuje privátní připojení z virtuální sítě ke službám PaaS v Azure. Private Link zjednodušuje síťovou architekturu a zabezpečuje připojení mezi koncovými body v Azure. Private Link také zabezpečuje připojení tím, že eliminuje vystavení dat veřejnému internetu.

Výhody služby Private Link

• Privátní propojení podporované na všech úrovních – úrovně Basic, Standard, Premium, Enterprise a Enterprise Flash – instancí Azure Cache for Redis.

• Pomocí služby Azure Private Link se můžete připojit k instanci služby Azure Cache z vaší virtuální sítě prostřednictvím privátního koncového bodu. Koncový bod má přiřazenou privátní IP adresu v podsíti v rámci virtuální sítě. Díky tomuto privátnímu propojení jsou instance mezipaměti dostupné jak v rámci virtuální sítě, tak i veřejně.

  Důležité

  K mezipamětí Enterprise/Enterprise Flash s privátním propojením nelze přistupovat veřejně.

• Po vytvoření privátního koncového bodu v mezipaměti úrovně Basic/Standard/Premium je možné přístup k veřejné síti omezit prostřednictvím příznaku publicNetworkAccess . Tento příznak je ve výchozím nastavení nastavený Disabled tak, aby umožňoval pouze přístup k privátnímu propojení. Hodnotu můžete nastavit na Enabled požadavek PATCH nebo Disabled ho použít. Další informace najdete v tématu Azure Cache for Redis se službou Azure Private Link.

  Důležité

  Úroveň Enterprise/Enterprise Flash nepodporuje publicNetworkAccess příznak.

• Všechny závislosti externí mezipaměti nemají vliv na pravidla skupiny zabezpečení sítě virtuální sítě.

• Zachování u všech účtů úložiště chráněných pravidly brány firewall je podporováno na úrovni Premium při použití spravované identity pro připojení k účtu služby Storage. Další informace o importu a exportu dat ve službě Azure Cache for Redis

Omezení služby Private Link

• Konzola portálu se v současné době nepodporuje pro mezipaměti s privátním propojením.

Poznámka:

Při přidávání privátního koncového bodu do instance mezipaměti se veškerý provoz Redis přesune do privátního koncového bodu kvůli DNS. Před úpravou předchozích pravidel brány firewall se ujistěte.

Injektáž virtuální sítě Azure

Základní stavební blok vaší privátní sítě v Azure je virtuální síť. Virtuální síť umožňuje mnoha prostředkům Azure bezpečně komunikovat mezi sebou, internetem a místními sítěmi. Virtuální síť je jako tradiční síť, kterou byste provozovala ve vlastním datovém centru. Virtuální síť má ale také výhody infrastruktury Azure, škálování, dostupnosti a izolace.

Výhody injektáže virtuální sítě

• Pokud je instance Azure Cache for Redis nakonfigurovaná s virtuální sítí, není veřejně adresovatelná. Je přístupný jenom z virtuálních počítačů a aplikací v rámci virtuální sítě.
• Když se virtuální síť zkombinuje s omezenými zásadami NSG, pomáhá snížit riziko exfiltrace dat.
• Nasazení virtuální sítě poskytuje rozšířené zabezpečení a izolaci služby Azure Cache for Redis. Podsítě, zásady řízení přístupu a další funkce dále omezují přístup.
• Podporuje se geografická replikace.

Omezení injektáže virtuální sítě

• Vytváření a údržba konfigurací virtuální sítě může být náchylná k chybám. Řešení potíží je náročné. Nesprávné konfigurace virtuální sítě můžou vést k různým problémům:
  • nepřerušované přenosy metrik z instancí mezipaměti,
  • selhání uzlu repliky pro replikaci dat z primárního uzlu,
  • potenciální ztrátu dat,
  • selhání operací správy, jako je škálování,
  • a ve většině závažných scénářů ztrátu dostupnosti.
• Mezipaměti vložené do virtuální sítě jsou k dispozici pouze pro instance Azure Cache for Redis na úrovni Premium.
• Při použití mezipaměti vložené do virtuální sítě je nutné změnit virtuální síť tak, aby ukážila závislosti, jako jsou seznamy CRL/PKI, AKV, Azure Storage, Azure Monitor a další.
• Do virtuální sítě nemůžete vložit existující instanci Azure Cache for Redis. Tuto možnost můžete vybrat pouze při vytváření mezipaměti.

Pravidla brány firewall

Azure Cache for Redis umožňuje konfigurovat pravidla brány firewall pro zadání IP adresy, kterou chcete povolit pro připojení k instanci Azure Cache for Redis.

Výhody pravidel brány firewall

• Pokud jsou nakonfigurovaná pravidla brány firewall, můžou se k mezipaměti připojit pouze připojení klientů ze zadaných rozsahů IP adres. Připojení iony ze systémů monitorování Azure Cache for Redis jsou vždy povolené, i když jsou nakonfigurovaná pravidla brány firewall. Jsou povolená také pravidla NSG, která definujete.

Omezení pravidel brány firewall

• Pravidla brány firewall se dají použít pro mezipaměť privátních koncových bodů jenom v případě, že je povolený přístup k veřejné síti. Pokud je v mezipaměti privátního koncového bodu povolen přístup k veřejné síti bez pravidel brány firewall, mezipaměť přijímá veškerý provoz veřejné sítě.
• Konfigurace pravidel brány firewall je dostupná pro všechny úrovně Basic, Standard a Premium.
• Konfigurace pravidel brány firewall není dostupná pro podnikové ani podnikové úrovně Flash.

Další kroky

• Zjistěte, jak nakonfigurovat mezipaměť vloženou do virtuální sítě pro instanci Azure Cache for Redis úrovně Premium.
• Zjistěte, jak nakonfigurovat pravidla brány firewall pro všechny úrovně Azure Cache for Redis.
• Zjistěte, jak nakonfigurovat privátní koncové body pro všechny úrovně Azure Cache for Redis.