Opciones de aislamiento de red de Azure Cache for Redis

  • Artículo

En este artículo, obtendrá información sobre cómo determinar la mejor solución de aislamiento de red para sus necesidades. Trataremos los aspectos básicos de Azure Private Link (recomendado), la inserción de Azure Virtual Network (VNet) y las reglas de Firewall. Analizaremos sus ventajas y limitaciones.

Azure Private Link proporciona conectividad privada desde una red virtual a los servicios PaaS de Azure. Private Link simplifica la arquitectura de red y protege la conexión entre los puntos de conexión de Azure. Private Link también elimina la exposición de los datos a la red pública de Internet.

  • Private Link es compatible con los todos los niveles: Básico, Estándar, Premium, Enterprise y Enterprise Flash de las instancias de Azure Cache for Redis.

  • Mediante Azure Private Link, puede conectarse a una instancia de Azure Cache desde la red virtual a través de un punto de conexión privado. Al punto de conexión se le asigna una dirección IP privada de una subred dentro de la red virtual. Con este vínculo privado, las instancias de caché están disponibles tanto dentro de la red virtual como de forma pública.

    Importante

    No se puede acceder públicamente a las memorias caché de Enterprise/Enterprise Flash con vínculo privado.

  • Una vez creado un punto de conexión privado en los niveles de caché Básico, Estándar o Premium, el acceso a la red pública se puede restringir a través de la marca publicNetworkAccess. Esta marca se establece en Disabled de forma predeterminada, lo que solo permitirá el acceso de vínculos privados. Puede establecer el valor en Enabled o Disabled con una solicitud PATCH. Para obtener más información, consulte Azure Cache for Redis con Azure Private Link.

    Importante

    El nivel Enterprise/Enterprise Flash no admite la marca publicNetworkAccess.

  • Ninguna dependencia de caché externa afecta a las reglas de NSG de VNet.

  • La conservación de las cuentas de almacenamiento protegidas con reglas de firewall se admite en el nivel Premium cuando se usa la identidad administrada para conectarse a la cuenta de almacenamiento, consulte más Importación y exportación de datos en Azure Cache for Redis

  • Actualmente, la consola del portal no se admite para las memorias caché con Private Link.

Nota:

Al agregar un punto de conexión privado a una instancia de caché, todo el tráfico de Redis se mueve al punto de conexión privado debido al DNS. Asegúrese de que se ajustan antes las reglas de firewall anteriores.

Inserción de Azure Virtual Network

Virtual Network (VNet) es el bloque de creación fundamental de una red privada en Azure. VNet permite que muchos recursos de Azure se puedan comunicar de forma segura entre ellos, con Internet y con redes en el entorno local. Una red virtual es como una red tradicional que usaría en su propio centro de datos. Sin embargo, la red virtual también tiene las ventajas de infraestructura, escalabilidad, disponibilidad y aislamiento de Azure.

Ventajas de la inserción de red virtual

  • Si una instancia de Azure Cache for Redis se configura con una red virtual, no se puede acceder a ella de forma pública. Solo se puede acceder desde máquinas virtuales y aplicaciones que se encuentren dentro de la red virtual.
  • Cuando se combina VNet con directivas de NSG restringidas, ayuda a reducir el riesgo de la exfiltración de datos.
  • La implementación de una red virtual proporciona mayor seguridad y aislamiento para la instancia de Azure Cache for Redis. Las subredes, las directivas de control de acceso y otras características restringen aún más el acceso.
  • Se admite la replicación geográfica.

Limitaciones de la inserción de red virtual

  • La creación y el mantenimiento de configuraciones de red virtual pueden ser propensas a errores. La solución de problemas es difícil. Las configuraciones de red virtual incorrectas pueden provocar varios problemas:
    • transmisión de métricas obstruidas desde las instancias de caché,
    • error del nodo de réplica para replicar datos del nodo principal,
    • posible pérdida de datos,
    • error de operaciones de administración como el escalado,
    • y, en los escenarios más graves, pérdida de disponibilidad.
  • Las cachés insertadas en VNet solo están disponibles para las instancias de Azure Cache for Redis del nivel Premium.
  • Al usar una caché insertada en una red virtual, tendrá que cambiar esta para almacenar en caché las dependencias, como las CRL/PKI, AKV, Azure Storage, Azure Monitor, etc.
  • No se puede insertar una instancia existente de Azure Cache for Redis en una red virtual. Solo se puede seleccionar esta opción al crear la caché.

Reglas de firewall

Azure Cache for Redis permite configurar reglas de firewall para especificar la dirección IP que desea permitir para conectarse a la instancia de Azure Cache for Redis.

Ventajas de las reglas de firewall

  • Cuando se configuran las reglas de firewall, solo las conexiones de cliente de los intervalos de direcciones IP especificados pueden conectarse a la memoria caché. Siempre se permiten las conexiones de los sistemas de supervisión de Azure Cache for Redis, incluso si se configuran reglas de firewall. También se permiten las reglas de NSG que defina.

Limitaciones de las reglas de firewall

  • Las reglas de firewall se pueden aplicar a una caché de punto de conexión privado solo si el acceso a la red pública está habilitado. Si el acceso a la red pública está habilitado en la caché del punto de conexión privado sin ninguna regla de firewall, la caché acepta todo el tráfico de red pública.
  • La configuración de reglas de firewall está disponible para todos los niveles Básico, Estándar y Premium.
  • La configuración de reglas de firewall no está disponible para los niveles Enterprise ni Enterprise Flash.

Pasos siguientes