Azure Cache for Redis: Netzwerkisolationsoptionen

  • Artikel

In diesem Artikel erfahren Sie, wie Sie die beste Lösung für die Netzwerkisolation gemäß Ihren Anforderungen ermitteln. Sie lernen die Grundlagen von Azure Private Link (empfohlen), Azure Virtual Network-Einfügungen (VNet) und Azure Firewall-Regeln kennen. Dabei werden auch deren Vorteile und Einschränkungen erläutert.

Azure Private Link stellt eine private Verbindung zwischen einem virtuellen Netzwerk und Azure-PaaS-Diensten (Platform-as-a-Service) her. Durch Private Link wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure geschützt. Private Link schützt außerdem die Verbindung, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird.

  • Private Links werden auf allen Ebenen – Basic, Standard, Premium, Enterprise und Enterprise Flash – von Azure Cache für Redis-Instanzen unterstützt.

  • Mit Azure Private Link können Sie aus Ihrem virtuellen Netzwerk über einen privaten Endpunkt eine Verbindung mit einer Azure Cache-Instanz herstellen. Dem Endpunkt ist eine private IP-Adresse in einem Subnetz innerhalb des virtuellen Netzwerks zugewiesen. Über diese private Verbindung sind Cache-Instanzen sowohl innerhalb des VNet als auch öffentlich verfügbar.

    Wichtig

    Auf Enterprise/Enterprise Flash-Caches mit privater Verbindung kann nicht öffentlich zugegriffen werden.

  • Nachdem ein privater Endpunkt für Caches auf den Dienstebenen Basic/Standard/Premium erstellt wurde, kann der Zugriff auf das öffentliche Netzwerk durch das publicNetworkAccess-Flag eingeschränkt werden. Dieses Flag wird standardmäßig auf Disabled festgelegt, wodurch nur Zugriff über private Verbindungen zulässig ist. Sie können den Wert mit einer PATCH-Anforderung auf Enabled oder Disabled festlegen. Weitere Informationen finden Sie unter Azure Cache for Redis mit Azure Private Link.

    Wichtig

    Die Dienstebene Enterprise/Enterprise Flash unterstützt nicht das publicNetworkAccess-Flag.

  • Externe Cacheabhängigkeiten haben keine Auswirkungen auf die Netzwerksicherheitsgruppen-Regeln des VNet.

  • Die Speicherung von Daten in einem beliebigen Speicherkonto, das durch Firewallregeln geschützt ist, wird im Premium-Tarif unterstützt, wenn eine verwaltete Identität wird, um die Verbindung mit dem Speicherkonto herzustellen. Weitere Informationen finden Sie im Artikel Importieren und Exportieren von Daten in Azure Cache for Redis.

  • Derzeit wird die Portalkonsole für Caches mit Privat Link nicht unterstützt.

Hinweis

Beim Hinzufügen eines privaten Endpunkts zu einer Cache-Instanz wird der gesamte Redis-Datenverkehr wegen des DNS auf den privaten Endpunkt verschoben. Stellen Sie sicher, dass vorherige Firewallregeln vorher angepasst werden.

Einfügen in Azure Virtual Network

Azure Virtual Network (VNet) ist der grundlegende Baustein für Ihr privates Netzwerk in Azure. VNet ermöglicht zahlreichen Azure-Ressourcen die sichere Kommunikation untereinander sowie mit dem Internet und mit lokalen Netzwerken. Ein VNet ist vergleichbar mit einem herkömmlichen Netzwerk, das in einem Rechenzentrum betrieben wird. Das VNet bietet jedoch auch die Vorteile der Azure-Infrastruktur wie Skalierung, Verfügbarkeit und Isolation.

Vorteile der VNet-Injektion

  • Wenn eine Azure Cache for Redis-Instanz mit einem VNet konfiguriert wurde, ist sie nicht öffentlich adressierbar. Stattdessen kann nur von VMs und Anwendungen innerhalb des VNet auf die Instanz zugegriffen werden.
  • Durch die Kombination von VNet und eingeschränkten NSG-Richtlinien kann das Risiko der Datenexfiltration verringert werden.
  • Eine VNet-Bereitstellung bietet eine verbesserte Sicherheit und Isolation für Azure Cache for Redis. Subnetze, Zugriffssteuerungsrichtlinien und andere Features schränken den Zugriff weiter ein.
  • Die Georeplikation wird unterstützt.

Einschränkungen der VNet-Injektion

  • Das Erstellen und Verwalten von Konfigurationen virtueller Netzwerke kann fehleranfällig sein. Die Problembehandlung ist eine Herausforderung. Falsche Konfigurationen virtueller Netzwerkkonfigurationen können zu verschiedenen Problemen führen:
    • blockierte Metrikübertragung von Ihren Cache-Instanzen,
    • Fehler des Replikatknotens beim Replizieren von Daten vom primären Knoten,
    • potenzieller Datenverlust,
    • Fehler bei Verwaltungsvorgängen wie Skalierung,
    • und in den schwerwiegendsten Szenarien: Verlust der Verfügbarkeit.
  • In VNet eingefügte Caches sind nur für Azure Cache for Redis Premium-Instanzen verfügbar.
  • Wenn Sie einen in das VNet eingefügten Cache verwenden, müssen Sie Ihr VNet ändern, um Abhängigkeiten wie CRLs/PKI, AKV, Azure Storage, Azure Monitor und mehr zwischenzuspeichern.
  • Sie können keine vorhandene Azure Cache for Redis-Instanz in eine Virtual Network-Instanz einfügen. Sie können diese Option nur auswählen, wenn Sie den Cache erstellen.

Firewallregeln

Azure Cache for Redis ermöglicht das Konfigurieren von Firewallregeln zum Angeben der IP-Adresse, die Sie für die Verbindung mit Ihrer Azure Cache for Redis-Instanz zulassen möchten.

Vorteile von Firewallregeln

  • Wenn Firewallregeln konfiguriert werden, können nur Clientverbindungen aus dem angegebenen IP-Adressbereich eine Verbindung mit dem Cache herstellen. Verbindungen von Azure Cache for Redis-Überwachungssystemen werden immer zugelassen, auch wenn Firewallregeln konfiguriert sind. Netzwerksicherheitsgruppen-Regeln, die Sie definieren, sind ebenfalls zulässig.

Einschränkungen von Firewallregeln

  • Firewallregeln können nur dann auf einen privaten Endpunktcache angewendet werden, wenn der öffentliche Netzwerkzugriff aktiviert ist. Wenn der Zugriff auf öffentliche Netzwerke im privaten Endpunktcache ohne Firewallregeln aktiviert ist, akzeptiert der Cache den gesamten öffentlichen Netzwerkdatenverkehr.
  • Die Konfiguration von Firewallregeln ist für alle Basic-, Standard- und Premium-Tarife verfügbar.
  • Die Konfiguration von Firewallregeln ist für Enterprise- und Enterprise Flash-Tarife nicht verfügbar.

Nächste Schritte