Co je Azure Managed Redis se službou Azure Private Link?

V tomto článku se dozvíte, jak vytvořit virtuální síť a používat ji s instancí Azure Managed Redis s privátním koncovým bodem. Privátní koncový bod Azure je síťové rozhraní, které vás privátně a zabezpečeně připojí ke službě Azure Managed Redis využívající službu Azure Private Link.

Proces se provádí ve dvou krocích:

1. Nejprve vytvořte virtuální síť, která se bude používat s mezipamětí.

2. Potom v závislosti na tom, jestli už mezipaměť máte:

   1. Přidejte virtuální síť při vytváření nové mezipaměti.
   2. Přidejte virtuální síť do existující mezipaměti.

Důležité

Použití privátního koncového bodu pro připojení k virtuální síti je doporučeným řešením pro zabezpečení prostředku Azure Managed Redis na síťové vrstvě.

Požadavky

• Předplatné Azure – vytvoření bezplatného předplatného

Vytvoření virtuální sítě s podsítí

Prvním krokem v procesu je vytvoření virtuální sítě pomocí portálu. Tuto virtuální síť pak použijete při vytváření nové mezipaměti nebo sexistující mezipamětí.

1. Přihlaste se k webu Azure Portal a vyberte Vytvořit prostředek.

2. V podokně Nový vyberte Sítě a pak vyberte Virtuální síť.

3. Vyberte Přidat a vytvořte virtuální síť.

4. V části Vytvořit virtuální síť zadejte nebo vyberte tyto informace v podokně Základy :

   Nastavení	Navrhovaná hodnota	Popis
   Předplatné	Rozevřete seznam a vyberte svoje předplatné.	Předplatné, ve kterém vytvoříte tuto virtuální síť.
   Skupina zdrojů	Rozevírací seznam a vyberte skupinu prostředků nebo vyberte Vytvořit novou a zadejte nový název skupiny prostředků.	Název skupiny prostředků, ve které chcete vytvořit virtuální síť a další prostředky. Když umístíte všechny prostředky aplikace do jedné skupiny prostředků, můžete je snadno spravovat nebo odstraňovat společně.
   Název virtuální sítě	Zadejte název virtuální sítě.	Název musí začínat písmenem nebo číslem; končí písmenem, číslem nebo podtržítkem; a obsahují jenom písmena, číslice, podtržítka, tečky nebo pomlčky.
   Oblast	Rozevřít seznam a vybrat oblast	Vyberte oblast poblíž jiných služeb, které používají vaši virtuální síť.

5. Vyberte podokno IP adresy nebo vyberte tlačítko Další: IP adresy v dolní části podokna.

6. V podokně IP adres zadejte adresní prostor IPv4 nebo adresní prostor IPv6. Pro účely tohoto postupu použijte adresní prostor IPv4.

7. Vyberte Přidat podsíť. V části Název podsítě vyberte výchozí nebo přidejte název. Vlastnosti podsítě můžete upravit také podle potřeby pro vaši aplikaci.

8. Vyberte Přidat.

9. Vyberte podokno Zkontrolovat a vytvořit nebo vyberte tlačítko Zkontrolovat a vytvořit .

10. Ověřte, že jsou všechny informace správné, a výběrem možnosti Vytvořit vytvořte virtuální síť.

Vytvoření instance Azure Managed Redis s privátním koncovým bodem připojeným k podsíti virtuální sítě

Pokud chcete vytvořit instanci mezipaměti Azure Managed Redis a přidat privátní koncový bod, postupujte takto. Nejprve musíte vytvořit virtuální síť , která se bude používat s mezipamětí.

1. Přejděte na domovskou stránku webu Azure Portal nebo otevřete nabídku bočního panelu a vyberte Vytvořit prostředek.

2. Do vyhledávacího pole zadejte Azure Managed Redis. Zpřesněte vyhledávání pouze na služby Azure a vyberte Azure Managed Redis.

3. V podokně Nový Spravovaný Redis v Azure nakonfigurujte základní nastavení pro novou mezipaměť.

4. Vyberte kartu Sítě nebo vyberte Další: Sítě v dolní části pracovního podokna.

5. V podokně Sítě vyberte privátní koncový bod pro metodu připojení.

6. Vyberte Přidat privátní koncový bod pro přidání vašeho privátního koncového bodu.

7. V podokně Vytvořit privátní koncový bod nakonfigurujte nastavení privátního koncového bodu s virtuální sítí a podsítí, kterou jste vytvořili v poslední části, a vyberte Přidat.

8. Pokračujte dalšími kartami a podle potřeby vyplňte nastavení konfigurace.

9. Vyberte možnost Zkontrolovat a vytvořit. Přejdete do podokna Zkontrolovat a vytvořit, kde Azure ověří vaši konfiguraci.

10. Jakmile se zobrazí zelená zpráva o úspěšném ověření, vyberte Vytvořit.

Vytvoření mezipaměti chvíli trvá. Průběh můžete sledovat v podokně Přehled spravovaného Redis Azure. Když je stav zobrazen jako Spuštěno, je mezipaměť připravená k použití.

Přidání privátního koncového bodu do existující instance Azure Managed Redis

V této části přidáte privátní koncový bod do existující instance Azure Managed Redis.

1. Prvním krokem je vytvoření virtuální sítě pro použití se stávající mezipamětí.

2. Pak otevřete mezipaměť na portálu a přidáte vytvořenou podsíť v prvním kroku.

   Po vytvoření privátního koncového bodu postupujte takto:

3. Na webu Azure Portal vyberte instanci mezipaměti, do které chcete přidat privátní koncový bod.

4. V nabídce prostředků v části Správa vyberte privátní koncový bod a vytvořte privátní koncový bod pro vaši mezipaměť.

5. V podokně Privátní koncový bod vyberte + Privátní koncový bod a přidejte nastavení privátního koncového bodu.

   Nastavení	Navrhovaná hodnota	Popis
   Předplatné	Rozevřete seznam a vyberte svoje předplatné.	Předplatné, v rámci kterého jste vytvořili virtuální síť.
   Skupina zdrojů	Rozevírací seznam a vyberte skupinu prostředků nebo vyberte Vytvořit novou a zadejte nový název skupiny prostředků.	Název skupiny prostředků, ve které chcete vytvořit privátní koncový bod a další prostředky. Když umístíte všechny prostředky aplikace do jedné skupiny prostředků, můžete je snadno spravovat nebo odstraňovat společně.
   název	Zadejte název privátního koncového bodu.	Název musí začínat písmenem nebo číslem; končí písmenem, číslem nebo podtržítkem; a může obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky.
   Název síťového rozhraní	Automaticky vygenerováno na základě názvu.	Název musí začínat písmenem nebo číslem; končí písmenem, číslem nebo podtržítkem; a může obsahovat pouze písmena, číslice, podtržítka, tečky nebo pomlčky.
   Oblast	Rozevřít seznam a vybrat oblast	Vyberte oblast poblíž jiných služeb, které používají váš privátní koncový bod.

6. Vyberte další: Zdroj v dolní části podokna.

7. V podokně Prostředek vyberte své předplatné.

   1. Pak zvolte typ prostředku jako Microsoft.Cache/redisEnterprise.
   2. Pak vyberte mezipaměť, ke které chcete připojit privátní koncový bod pro vlastnost Prostředek .

8. Vyberte tlačítko Další: Virtuální síť v dolní části podokna.

9. V podokně Virtuální síť vyberte virtuální síť a podsíť , které jste vytvořili v předchozí části.

10. Vyberte tlačítko Další: Značky v dolní části podokna.

11. Volitelně můžete v podokně Značky zadat název a hodnotu, pokud chcete prostředek zařadit do kategorií.

12. Vyberte možnost Zkontrolovat a vytvořit. Přejdete do podokna Zkontrolovat a vytvořit , kde Azure ověří vaši konfiguraci.

13. Jakmile se zobrazí zelená zpráva o úspěšném ověření, vyberte Vytvořit.

Důležité

Pro prostředek Azure Managed Redis v současné době neexistuje žádná publicNetworkAccess vlastnost. Pokud je koncový bod sPrivate připojený k mezipaměti Azure Managed Redis, přijímá pouze privátní provoz z připojené virtuální sítě. Pokud odstraníte privátní koncový bod, prostředek se automaticky otevře pro přístup k veřejné síti.

Vytvoření mezipaměti Azure Managed Redis připojené k privátnímu koncovému bodu pomocí Azure PowerShellu

Pokud chcete vytvořit privátní koncový bod s názvem MyPrivateEndpoint pro existující instanci Azure Managed Redis, spusťte následující skript PowerShellu. Nahraďte hodnoty proměnných podrobnostmi pro vaše prostředí:

$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"

# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"

$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/redisEnterprise/$($redisCacheName)"

$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisEnterprise"
 
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $ResourceGroupName -Name $VNetName  
 
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object  {$_.Name -eq $SubnetName}  
 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet  $subnet -PrivateLinkServiceConnection $privateEndpointConnection

Jak načíst privátní koncový bod pomocí Azure PowerShell

Pokud chcete získat podrobnosti privátního koncového bodu, použijte tento příkaz PowerShellu:

Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Odeberte soukromý koncový bod pomocí Azure PowerShell

Pokud chcete odebrat privátní koncový bod, použijte následující příkaz PowerShellu:

Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Vytvoření mezipaměti Azure Managed Redis připojené k privátnímu koncovému bodu pomocí Azure CLI

Pokud chcete vytvořit privátní koncový bod s názvem myPrivateEndpoint pro existující instanci Azure Managed Redis, spusťte následující skript Azure CLI. Nahraďte hodnoty proměnných podrobnostmi pro vaše prostředí:

# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"

# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"

# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"

# Name of the virtual network to create
VNetName="myVnet"

# Name of the subnet to create
SubnetName="mySubnet"

# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"

# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"

az network vnet create \
    --name $VNetName \
    --resource-group $ResourceGroupName \
    --subnet-name $SubnetName

az network vnet subnet update \
    --name $SubnetName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName \
    --disable-private-endpoint-network-policies true

az network private-endpoint create \
    --name $PrivateEndpointName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName  \
    --subnet $SubnetName \
    --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
    --group-ids "redisEnterprise" \
    --connection-name $PrivateConnectionName

Načtení privátního koncového bodu pomocí Azure CLI

Pokud chcete získat podrobnosti o privátním koncovém bodu, použijte následující příkaz rozhraní příkazového řádku:

az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup

Odebrání privátního koncového bodu pomocí Azure CLI

Pokud chcete odebrat privátní koncový bod, použijte následující příkaz rozhraní příkazového řádku:

az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup

Hodnota zóny privátního DNS privátního koncového bodu Azure Managed Redis

Vaše aplikace by se měla připojit na <cachename>.<region>.redis.azure.net portu 10000. V předplatném se automaticky vytvoří privátní zóna DNS s názvem *.privatelink.redis.azure.net. Privátní zóna DNS je nezbytná pro navázání připojení TLS k privátnímu koncovému bodu. Doporučujeme vyhnout se použití <cachename>.privatelink.redis.azure.net konfigurace pro připojení klienta.

Další informace najdete v tématu Konfigurace zóny DNS služeb Azure.

časté otázky

• Proč se nemůžu připojit k privátnímu koncovému bodu?
• Jaké funkce se u privátních koncových bodů nepodporují?
• Jak ověřím, jestli je privátní koncový bod správně nakonfigurovaný?
• Jak můžu změnit privátní koncový bod tak, aby byl zakázaný nebo povolený z přístupu k veřejné síti?
• Jak můžu mít více koncových bodů v různých virtuálních sítích?
• Co se stane, když odstraním všechny privátní koncové body v mezipaměti?
• Jsou pro privátní koncové body povolené skupiny zabezpečení sítě (NSG)?
• Moje instance privátního koncového bodu není ve virtuální síti, takže jak je přidružená k mé virtuální síti?

Proč se nemůžu připojit k privátnímu koncovému bodu?

• Privátní koncové body se s vaší instancí mezipaměti nedají použít, pokud už mezipaměť obsahuje vloženou mezipaměť virtuální sítě.

• Mezipaměti Azure Managed Redis jsou omezené na 84 privátních propojení.

• Pokusíte se zapsat data do účtu úložiště, kde jsou použita pravidla brány firewall, což může zabránit vytvoření Private Link.

• Pokud instance mezipaměti používá nepodporovanou funkci, možná se ke svému privátnímu koncovému bodu nepřipojíte.

Jaké funkce se u privátních koncových bodů nepodporují?

• Použití privátního koncového bodu se službou Azure Managed Redis nemá žádné omezení.

Jak ověřím, jestli je privátní koncový bod správně nakonfigurovaný?

Na portálu v nabídce Zdroj přejděte na Přehled. Název hostitele pro vaši mezipaměť se zobrazí v pracovním podokně. Pokud chcete ověřit, že se příkaz přeloží na privátní IP adresu mezipaměti, spusťte příkaz, například nslookup <hostname> z virtuální sítě propojené s privátním koncovým bodem.

Jak můžu změnit privátní koncový bod tak, aby byl zakázaný nebo povolený z přístupu k veřejné síti?

Pokud chcete změnit hodnotu na webu Azure Portal, postupujte takto:

1. Na webu Azure Portal vyhledejte Azure Managed Redis. Pak stiskněte enter nebo ho vyberte z návrhů hledání.

2. Vyberte instanci mezipaměti, kterou chcete změnit hodnotu přístupu k veřejné síti.

3. Na levé straně obrazovky vyberte privátní koncový bod.

4. Odstraňte privátní koncový bod.

Jak můžu mít více koncových bodů v různých virtuálních sítích?

Pokud chcete mít více privátních koncových bodů v různých virtuálních sítích, musí být zóna privátního DNS před vytvořením privátního koncového bodu ručně nakonfigurovaná pro více virtuálních sítí. Další informace najdete v tématu Konfigurace DNS privátního koncového bodu Azure.

Co se stane, když odstraním všechny privátní koncové body v mezipaměti?

Pokud odstraníte všechny privátní koncové body ve službě Azure Managed Redis Cache, budou mít sítě výchozí přístup k veřejné síti.

Jsou pro privátní koncové body povolené skupiny zabezpečení sítě (NSG)?

Pro privátní koncové body jsou síťové zásady deaktivovány. Pro vynucení pravidel skupiny zabezpečení sítě (NSG) a pravidel pro uživatelsky definované trasy (UDR) na provozu privátního koncového bodu musí být na podsíti povoleny tyto síťové zásady. Pokud jsou zásady sítě zakázány (což je nutné pro nasazení privátních koncových bodů), pravidla NSG a UDR se nevztahují na provoz zpracovaný privátním koncovým bodem. Další informace najdete v tématu Správa zásad sítě pro privátní koncové body. Pravidla NSG (skupiny zabezpečení sítě) a UDR (trasy definované uživatelem) se nadále běžně používají pro další úlohy ve stejné podsíti.

Provoz z klientských podsítí do privátních koncových bodů používá předponu /32. Pokud chcete toto výchozí chování směrování přepsat, vytvořte odpovídající UDR s trasou o masce /32.

Moje instance privátního koncového bodu není ve virtuální síti, takže jak je přidružená k mé virtuální síti?

Váš privátní koncový bod je propojený pouze s vaší virtuální sítí. Vzhledem k tomu, že není ve vaší virtuální síti, nemusí být pravidla skupiny zabezpečení sítě upravena pro závislé koncové body.

Související obsah

• Další informace o službě Azure Private Link najdete v dokumentaci ke službě Azure Private Link.
• Pokud chcete porovnat různé možnosti izolace sítě pro vaši mezipaměť, přečtěte si dokumentaci k možnostem izolace sítě Azure Cache for Redis.