Anmerkung
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel erfahren Sie, wie Sie ein virtuelles Netzwerk erstellen und mit einer Azure Managed Redis-Instanz mit einem privaten Endpunkt verwenden. Ein privater Endpunkt in Azure ist eine Netzwerkschnittstelle, die Sie privat und sicher mit Azure Managed Redis unterstützt von Azure Private Link verbindet.
Der Prozess wird in zwei Schritten durchgeführt:
Erstellen Sie zunächst ein virtuelles Netzwerk, das mit einem Cache verwendet werden soll.
Je nachdem, ob Sie bereits über einen Cache verfügen:
- Fügen Sie das virtuelle Netzwerk hinzu, wenn Sie einen neuen Cache erstellen.
- Fügen Sie das virtuelle Netzwerk zu Ihrem vorhandenen Cache hinzu.
Von Bedeutung
Die Verwendung eines privaten Endpunkts zum Herstellen einer Verbindung mit einem virtuellen Netzwerk ist die empfohlene Lösung zum Sichern Ihrer Azure Managed Redis-Ressource auf der Netzwerkebene.
Voraussetzungen
- Azure-Abonnement – Erstellen eines kostenlosen Kontos
Erstellen eines virtuellen Netzwerks mit einem Subnetz
Erstellen Sie zunächst mithilfe des Portals ein virtuelles Netzwerk. Verwenden Sie dieses virtuelle Netzwerk, wenn Sie einen neuen Cache oder einen vorhandenen Cache erstellen.
Melden Sie sich beim Azure-Portal an, und wählen Sie dann Ressource erstellen aus.
Wählen Sie im Bereich "Neu " die Option "Netzwerk" und dann " Virtuelles Netzwerk" aus.
Wählen Sie Hinzufügen aus, um ein virtuelles Netzwerk zu erstellen.
Geben Sie in "Virtuelles Netzwerk erstellen" diese Informationen im Bereich "Grundlagen " ein, oder wählen Sie sie aus:
Konfiguration Vorgeschlagener Wert BESCHREIBUNG Abonnement Öffnen Sie die Dropdownliste, und wählen Sie Ihr Abonnement aus. Das Abonnement, in dem Sie dieses virtuelle Netzwerk erstellen. Ressourcengruppe Öffnen Sie die Dropdownliste, und wählen Sie eine Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, und geben Sie einen Namen für eine neue Ressourcengruppe ein. Name der Ressourcengruppe, in der Ihr virtuelles Netzwerk und weitere Ressourcen erstellt werden. Wenn Sie alle Ihre App-Ressourcen in einer Ressourcengruppe zusammenfassen, können Sie sie einfacher gemeinsam verwalten oder löschen. Name des virtuellen Netzwerks Geben Sie einen Namen für das virtuelle Netzwerk ein. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen, auf einen Buchstaben, eine Ziffer oder einen Unterstrich enden und darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten. Region Öffnen Sie die Dropdownliste, und wählen Sie eine Region aus. Wählen Sie eine Region in der Nähe anderer Dienste, die Ihr virtuelles Netzwerk nutzen. Wählen Sie den Bereich "IP-Adressen " aus, oder wählen Sie die Schaltfläche "Weiter: IP-Adressen " am unteren Rand des Bereichs aus.
Geben Sie im Bereich "IP-Adressen " den IPv4-Adressraum oder den IPv6-Adressraum an. Verwenden Sie für dieses Verfahren IPv4-Adressraum.
Wählen Sie Subnetz hinzufügen aus. Wählen Sie unter "Subnetzname" den Standardwert aus, oder fügen Sie einen Namen hinzu. Sie können die Subnetzeigenschaften auch nach Bedarf für Ihre Anwendung bearbeiten.
Wählen Sie Hinzufügen aus.
Wählen Sie den Bereich "Überprüfen + Erstellen " aus, oder wählen Sie die Schaltfläche " Überprüfen + Erstellen " aus.
Stellen Sie sicher, dass alle Informationen korrekt sind, und wählen Sie "Erstellen" aus, um das virtuelle Netzwerk zu erstellen.
Erstellen einer Azure Managed Redis-Instanz mit einem privaten Endpunkt, der mit einem virtuellen Netzwerksubnetz verbunden ist
Führen Sie die folgenden Schritte aus, um eine Azure Managed Redis-Cacheinstanz zu erstellen und einen privaten Endpunkt hinzuzufügen. Sie müssen zuerst ein virtuelles Netzwerk erstellen , das mit Ihrem Cache verwendet werden soll.
Wechseln Sie zur Startseite des Azure-Portals, oder öffnen Sie das Randleistenmenü, und wählen Sie " Ressource erstellen" aus.
Geben Sie im Suchfeld Azure Managed Redis ein. Verfeinern Sie Ihre Suche nur für Azure-Dienste, und wählen Sie Azure Managed Redis aus.
Konfigurieren Sie im Bereich "Neu verwaltete Azure Redis " die grundlegenden Einstellungen für Ihren neuen Cache.
Wählen Sie die Registerkarte "Netzwerk " aus, oder wählen Sie " Weiter: Netzwerk " am unteren Rand des Arbeitsbereichs aus.
Wählen Sie im Netzwerkbereichden privaten Endpunkt für die Konnektivitätsmethode aus.
Wählen Sie den privaten Endpunkt hinzufügen , um Ihren privaten Endpunkt hinzuzufügen.
Konfigurieren Sie im Bereich "Privater Endpunkt erstellen" die Einstellungen für Ihren privaten Endpunkt mit dem virtuellen Netzwerk und dem Subnetz, das Sie im letzten Abschnitt erstellt haben, und wählen Sie "Hinzufügen" aus.
Fahren Sie mit anderen Registerkarten fort, um die Konfigurationseinstellungen nach Bedarf auszufüllen.
Klicken Sie auf Überprüfen + erstellen. Sie gelangen zum Bereich "Überprüfen und Erstellen", in dem Azure Ihre Konfiguration überprüft.
Wenn die grüne Meldung „Validierung erfolgreich“ angezeigt wird, wählen Sie Erstellen aus.
Es dauert eine Weile, bis der Cache erstellt wird. Sie können den Fortschritt auf dem Bereich Überblick von Azure Managed Redis überwachen. Wenn Wird ausgeführt als Status angezeigt wird, ist der Cache einsatzbereit.
Hinzufügen eines privaten Endpunkts zu einer vorhandenen Azure Managed Redis-Instanz
In diesem Abschnitt fügen Sie einer vorhandenen Azure Managed Redis-Instanz einen privaten Endpunkt hinzu.
Erstellen Sie ein virtuelles Netzwerk für die Verwendung mit Ihrem vorhandenen Cache.
Öffnen Sie den Cache im Portal, und fügen Sie das Subnetz hinzu, das Sie im ersten Schritt erstellt haben.
Führen Sie nach dem Erstellen eines privaten Endpunkts die folgenden Schritte aus:
Wählen Sie im Azure-Portal die Cacheinstanz aus, der Sie einen privaten Endpunkt hinzufügen möchten.
Wählen Sie im Ressourcenmenü unter "Verwaltung" die Option "Privater Endpunkt" aus, um Ihren privaten Endpunkt für Ihren Cache zu erstellen.
Wählen Sie im Bereich "Privater Endpunkt " +Privater Endpunkt aus, um die Einstellungen für Ihren privaten Endpunkt hinzuzufügen.
Konfiguration Vorgeschlagener Wert BESCHREIBUNG Abonnement Öffnen Sie die Dropdownliste, und wählen Sie Ihr Abonnement aus. Das Abonnement, in dem Sie Ihr virtuelles Netzwerk erstellt haben. Ressourcengruppe Öffnen Sie die Dropdownliste, und wählen Sie eine Ressourcengruppe aus, oder wählen Sie Neu erstellen aus, und geben Sie einen Namen für eine neue Ressourcengruppe ein. Der Name der Ressourcengruppe, in der Ihr privater Endpunkt und weitere Ressourcen erstellt werden. Wenn Sie alle Ihre App-Ressourcen in einer Ressourcengruppe zusammenfassen, können Sie sie einfacher gemeinsam verwalten oder löschen. Name Geben Sie einen Namen für den privaten Endpunkt ein. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen, auf einen Buchstaben, eine Ziffer oder einen Unterstrich enden und darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten. Name der Netzwerkschnittstelle Automatisch generiert basierend auf dem Namen. Der Name muss mit einem Buchstaben oder einer Ziffer beginnen, auf einen Buchstaben, eine Ziffer oder einen Unterstrich enden und darf nur Buchstaben, Ziffern, Unterstriche, Punkte und Bindestriche enthalten. Region Öffnen Sie die Dropdownliste, und wählen Sie eine Region aus. Wählen Sie eine Region in der Nähe anderer Dienste aus, die Ihren privaten Endpunkt verwenden. Wählen Sie "Weiter" aus: Ressource am unteren Rand des Bereichs.
Wählen Sie im Bereich "Ressource " Ihr Abonnement aus.
- Wählen Sie den Ressourcentyp als
Microsoft.Cache/redisEnterprise. - Wählen Sie den Cache aus, mit dem Sie den privaten Endpunkt für die Resource-Eigenschaft verbinden möchten.
- Wählen Sie den Ressourcentyp als
Wählen Sie die Schaltfläche "Weiter: Virtuelles Netzwerk " am unteren Rand des Bereichs aus.
Wählen Sie im Bereich "Virtuelles Netzwerk " das virtuelle Netzwerk und das Subnetz aus, das Sie im vorherigen Abschnitt erstellt haben.
Wählen Sie die Schaltfläche "Weiter: Kategorien " am unteren Rand des Bereichs aus.
Geben Sie optional im Bereich "Kategorien " den Namen und den Wert ein, wenn Sie die Ressource kategorisieren möchten.
Klicken Sie auf Überprüfen + erstellen. Sie gelangen zum Bereich "Überprüfen und Erstellen ", in dem Azure Ihre Konfiguration überprüft.
Wenn die grüne Meldung Validierung erfolgreich angezeigt wird, wählen Sie Erstellen aus.
Aktivieren des Öffentlichen Netzwerkzugriffs
Mit der publicNetworkAccess Eigenschaft können Sie den öffentlichen IP-Datenverkehr unabhängig von privaten Links auf virtuelle Netzwerke (VNets) einschränken.
Zuvor wurde Azure Managed Redis mit zwei exklusiven Netzwerkkonfigurationen entwickelt: Die Aktivierung des öffentlichen Datenverkehrs erforderte die Deaktivierung privater Endpunkte; und das Aktivieren privater Endpunkte hat automatisch den gesamten öffentlichen Zugriff eingeschränkt. Diese Einstellung sorgte für klare Netzwerkgrenzen, beschränkte jedoch die Flexibilität für Szenarien wie Migrationen, bei denen sowohl der öffentliche als auch der private Zugriff gleichzeitig erforderlich sind.
Mit publicNetworkAccess, die folgenden Netzwerkkonfigurationen werden jetzt unterstützt:
- Öffentlicher Datenverkehr ohne private Links
- Öffentlicher Verkehr mit privaten Links
- Privater Datenverkehr ohne private Links
- Privater Datenverkehr mit privaten Links
Das Deaktivieren publicNetworkAccess und Schützen Ihres Caches mithilfe eines VNet zusammen mit einem privaten Endpunkt und privaten Links ist die sicherste Option. Ein VNet ermöglicht Netzwerksteuerelemente und fügt eine zusätzliche Sicherheitsebene hinzu. Private Links beschränken den Datenverkehr auf unidirektionale Kommunikation aus dem virtuellen Netzwerk und bieten eine verbesserte Netzwerkisolation. Dies bedeutet, dass auch dann, wenn die Azure Managed Redis-Ressource kompromittiert wird, andere Ressourcen innerhalb des virtuellen Netzwerks sicher bleiben.
Einen Cache mithilfe des Portals auf publicNetworkAccess aktualisieren
Verwenden Sie das Azure-Portal, um die Anweisungen zum Hinzufügen publicNetworkAccess zu Ihrem vorhandenen Cache zu befolgen.
Wechseln Sie zum Azure-Portal.
Navigieren Sie zu Ihrer Azure Managed Redis-Ressource | Verwaltung | Netzwerk im Ressourcenmenü.
Wählen Sie "Öffentlichen Zugriff über alle Netzwerke aktivieren" aus , um den öffentlichen Zugriff zu ermöglichen. Um den öffentlichen Zugriff zu deaktivieren, wählen Sie "Öffentlichen Zugriff deaktivieren" aus, und verwenden Sie den privaten Zugriff.
API-Änderungen
Die publicNetworkAccess Eigenschaft wird in Microsoft.Cache redisEnterprise 2025-07-01 eingeführt. Da diese Änderung eine sicherheitsrelevante Änderung ist, werden API-Versionen vor 2025-07-01 im Oktober 2026 veraltet sein.
Der Wert der publicNetworkAccess Eigenschaft ist effektiv NULL in Caches, die vor 2025-07-01 erstellt wurden. Nachdem Sie den Wert auf Enabled "oder Disabled" festgelegt haben, können Sie ihn nicht mehr auf NULL zurücksetzen.
Nach Oktober 2026:
- Sie können die Eigenschaft nur mit API-Versionen 2025-07-01 oder höher festlegen
publicNetworkAccess. - Sie können API-Aufrufe mit Versionen vor 2025-07-01 nicht mehr senden.
- Ihre älteren Caches, die mit den älteren Versionen der APIs bereitgestellt wurden, funktionieren weiterhin, andere Vorgänge müssen jedoch mit API-Versionen 2025-07-01 oder höher getätigt werden.
Erstellen eines azure managed Redis-Caches, der mit einem privaten Endpunkt verbunden ist, mithilfe von Azure PowerShell
Um einen privaten Endpunkt namens MyPrivateEndpoint für eine vorhandene Azure Managed Redis-Instanz zu erstellen, führen Sie das folgende PowerShell-Skript aus. Ersetzen Sie die Variablenwerte durch die entsprechenden Angaben für Ihre Umgebung:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/redisEnterprise/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisEnterprise"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Abrufen eines privaten Endpunkts mit Azure PowerShell
Verwenden Sie den folgenden PowerShell-Befehl, um die Details eines privaten Endpunkts zu erhalten:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Entfernen eines privaten Endpunkts mit Azure PowerShell
Verwenden Sie den folgenden PowerShell-Befehl, um einen privaten Endpunkt zu entfernen:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Erstellen eines Azure Managed Redis-Caches, der mit einem privaten Endpunkt verbunden ist, mithilfe der Azure CLI
Um einen privaten Endpunkt namens MyPrivateEndpoint für eine vorhandene Azure Managed Redis-Instanz zu erstellen, führen Sie das folgende Azure CLI-Skript aus. Ersetzen Sie die Variablenwerte durch die entsprechenden Angaben für Ihre Umgebung:
# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
--group-ids "redisEnterprise" \
--connection-name $PrivateConnectionName
Abrufen eines privaten Endpunkts mit Azure CLI
Verwenden Sie den folgenden CLI-Befehl, um die Details eines privaten Endpunkts zu erhalten:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Entfernen eines privaten Endpunkts mit Azure CLI
Verwenden Sie den folgenden CLI-Befehl, um einen privaten Endpunkt zu entfernen:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Privater Azure Managed Redis-Endpunkt: Wert der privaten DNS-Zone
Ihre Anwendung sollte über Port <cachename>.<region>.redis.azure.net eine Verbindung mit 10000 herstellen. Eine private DNS-Zone mit dem Namen *.privatelink.redis.azure.net wird automatisch in Ihrem Abonnement erstellt. Die private DNS-Zone ist von entscheidender Bedeutung für die Herstellung der TLS-Verbindung mit dem privaten Endpunkt. Vermeiden Sie die Verwendung <cachename>.privatelink.redis.azure.net in der Konfiguration für die Clientverbindung.
Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Häufig gestellte Fragen
- Warum kann ich keine Verbindung mit einem privaten Endpunkt herstellen?
- Welche Features werden von privaten Endpunkten nicht unterstützt?
- Wie kann ich überprüfen, ob mein privater Endpunkt richtig konfiguriert ist?
- Wie kann ich meinen privaten Endpunkt so ändern, dass der öffentliche Netzwerkzugriff auf ihn deaktiviert oder aktiviert ist?
- Wie kann ich mehrere Endpunkte in unterschiedlichen virtuellen Netzwerken haben?
- Was passiert, wenn ich alle privaten Endpunkte in meinem Cache lösche?
- Sind Netzwerksicherheitsgruppen (NSGs) für private Endpunkte aktiviert?
- Meine Instanz des privaten Endpunkts befindet sich nicht in meinem VNet. Wie wird sie meinem VNet zugeordnet?
Warum kann ich keine Verbindung mit einem privaten Endpunkt herstellen?
Sie können private Endpunkte nicht mit Ihrer Cacheinstanz verwenden, wenn Der Cache bereits ein injizierter Cache (Virtual Network, VNet) ist.
Azure Managed Redis Caches sind auf 84 private Links beschränkt.
Sie versuchen, Daten dauerhaft im Speicherkonto zu speichern, in dem Firewallregeln angewendet werden, die Sie möglicherweise daran hindern können, die private Verbindung zu erstellen.
Möglicherweise stellen Sie keine Verbindung mit Ihrem privaten Endpunkt her, wenn Ihre Cache-Instanz ein nicht unterstütztes Feature verwendet.
Welche Features werden von privaten Endpunkten nicht unterstützt?
- Es gibt keine Einschränkung für die Verwendung eines privaten Endpunkts mit azure Managed Redis.
Wie kann ich überprüfen, ob mein privater Endpunkt richtig konfiguriert ist?
Wechseln Sie im Portal im Menü „Ressource“ zu Übersicht. Im Arbeitsbereich wird der Hostname für Ihren Cache angezeigt. Um zu überprüfen, ob der Befehl die private IP-Adresse des Caches auflöst, führen Sie einen Befehl wie nslookup <hostname> aus dem VNet aus, das mit dem privaten Endpunkt verknüpft ist.
Wie kann ich meinen privaten Endpunkt so ändern, dass der öffentliche Netzwerkzugriff auf ihn deaktiviert oder aktiviert ist?
Um den Wert im Azure-Portal zu ändern, führen Sie die folgenden Schritte aus:
Suchen Sie im Azure-Portal nach Azure Managed Redis. Drücken Sie dann die EINGABETASTE, oder wählen Sie den Eintrag in den Suchvorschlägen aus.
Wählen Sie die Cache-Instanz aus, für die Sie den Wert für den öffentlichen Netzwerkzugang ändern möchten.
Wählen Sie im linken Bildschirmbereich Private Endpunkte aus.
Löschen Sie den privaten Endpunkt.
Wie kann ich mehrere Endpunkte in unterschiedlichen virtuellen Netzwerken haben?
Damit mehrere private Endpunkte in verschiedenen virtuellen Netzwerken vorhanden sind, müssen Sie die private DNS-Zone manuell für mehrere virtuelle Netzwerke konfigurieren, bevor Sie den privaten Endpunkt erstellen. Weitere Informationen finden Sie unter DNS-Konfiguration für private Azure-Endpunkte.
Was passiert, wenn ich alle privaten Endpunkte in meinem Cache lösche?
Wenn Sie alle privaten Endpunkte im Azure Managed Redis-Cache löschen, hat das Netzwerk standardmäßig zugriff auf öffentliche Netzwerke.
Sind Netzwerksicherheitsgruppen (NSGs) für private Endpunkte aktiviert?
Netzwerkrichtlinien sind für private Endpunkte deaktiviert. Zum Erzwingen von Regeln für die Netzwerksicherheitsgruppe (Network Security Group, NSG) und benutzerdefinierte Routen (User-Defined Route, UDR) für Datenverkehr an privaten Endpunkten müssen Sie Netzwerkrichtlinien im Subnetz aktivieren. Wenn Netzwerkrichtlinien deaktiviert sind (erforderlich für die Bereitstellung privater Endpunkte), gelten NSG- und UDR-Regeln nicht für den vom privaten Endpunkt verarbeiteten Datenverkehr. Weitere Informationen finden Sie unter Verwalten von Netzwerkrichtlinien für private Endpunkte. NSG- und UDR-Regeln gelten weiterhin normal für andere Workloads im selben Subnetz.
Datenverkehr von Clientsubnetzen zu privaten Endpunkten verwendet ein Präfix "/32". Um dieses Standardroutingverhalten außer Kraft zu setzen, erstellen Sie eine entsprechende UDR mit einer /32-Route.
Meine Instanz des privaten Endpunkts befindet sich nicht in meinem VNet. Wie wird sie meinem VNet zugeordnet?
Ihr privater Endpunkt ist nur mit Ihrem VNet verknüpft. Da es sich nicht in Ihrem VNet befindet, müssen Sie keine NSG-Regeln für abhängige Endpunkte ändern.
Verwandte Inhalte
- Weitere Informationen zu Azure Private Link finden Sie in der Azure Private Link-Dokumentation.
- Einen Vergleich der verschiedenen Netzwerkisolationsoptionen für Ihren Cache finden Sie in der Dokumentation zu Azure Cache für Redis-Netzwerkisolationsoptionen.