¿Qué es Azure Cache for Redis con Azure Private Link?
En este artículo, puede obtener información sobre cómo crear una red virtual y una instancia de Azure Cache for Redis con un punto de conexión privado mediante Azure Portal. También puede aprender a agregar un punto de conexión privado a una instancia de Azure Cache for Redis existente.
Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a Azure Cache for Redis de Azure Private Link.
Puede restringir el acceso público al punto de conexión privado de la memoria caché si deshabilita la marca PublicNetworkAccess.
Importante
Hay una marca publicNetworkAccess que está establecida en Disabled de manera predeterminada.
Puede establecer el valor en Disabled o Enabled. Cuando se establece en habilitado, esta marca permite el acceso del punto de conexión público y privado a la memoria caché. Cuando se establece en Disabled, solo permite el acceso a puntos de conexión privados. Ni el nivel Enterprise ni Enterprise Flash admiten la marca publicNetworkAccess. Para más información sobre cómo cambiar el valor, consulte las preguntas más frecuentes.
Importante
El punto de conexión privado se admite en los niveles de caché básico, estándar, premium y empresarial. Recomendamos usar puntos de conexión privados en lugar de redes virtuales. Los puntos de conexión privados son fáciles de configurar o quitar, se admiten en todos los niveles y pueden conectar la memoria caché a varias redes virtuales diferentes a la vez.
Al usar el nivel Básico, es posible que experimente pérdida de datos al eliminar y volver a crear un punto de conexión privado.
Ámbito de disponibilidad
| Nivel | Básico, Estándar, Premium | Enterprise o Enterprise Flash |
|---|---|---|
| Disponible | Sí | Sí |
Requisitos previos
- Una suscripción a Azure: cree una cuenta gratuita
Importante
Actualmente, la consola de redis basada en el portal no se admite con el vínculo privado.
Importante
Al usar el vínculo privado, no puede exportar ni importar datos a una cuenta de almacenamiento que tenga el firewall habilitado a menos que use la identidad administrada para autenticarse en la cuenta de almacenamiento. Para más información, consulte ¿Cómo hacer una exportación si mi cuenta de almacenamiento está habilitada para firewall?
Creación de un punto de conexión privado con una nueva instancia de Azure Cache for Redis
En esta sección, cree una nueva instancia de Azure Cache for Redis con un punto de conexión privado.
Creación de una red virtual para la nueva memoria caché
Inicie sesión en Azure Portal y después seleccione Crear un recurso.
En la página Nuevo, seleccione Redes y seleccione Red virtual.
Seleccione Agregar para crear una red virtual.
En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:
Parámetro Valor sugerido Descripción Suscripción Desplácese hacia abajo y seleccione su suscripción. Suscripción en la que se va a crear esta red virtual. Grupos de recursos Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos. Nombre del grupo de recursos en el que se van a crear la memoria caché y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente. Nombre Escriba un nombre de red virtual. El nombre debe comenzar con una letra o un número, acabar con una letra, un número o un carácter de subrayado y contener solo letras, números, caracteres de subrayado, puntos o guiones. Región Desplácese hacia abajo y seleccione una región. Seleccione una región cerca de otros servicios que usan la red virtual. Seleccione la pestaña Direcciones IP o el botón Siguiente: Direcciones IP situado en la parte inferior de la página.
En la pestaña Direcciones IP, especifique el espacio de direcciones IPv4 como uno o varios prefijos de dirección en la notación CIDR (por ejemplo, 192.168.1.0/24).
En Nombre de subred, seleccione en predeterminada para editar las propiedades de la subred.
En el panel Editar subred, especifique un nombre en Nombre de subred y un valor en Intervalo de direcciones de subred. Se debe usar la notación CIDR para el intervalo de direcciones de la subred (por ejemplo, 192.168.1.0/24). Debe incluirse en el espacio de direcciones de la red virtual.
Seleccione Guardar.
Seleccione la pestaña Revisar y crear o el botón Revisar y crear.
Compruebe que toda la información es correcta y seleccione Crear para crear la red virtual.
Creación de una instancia de Azure Cache for Redis con un punto de conexión privado
Para crear una instancia de caché, siga estos pasos:
Vuelva a la página principal de Azure Portal o abra el menú de barra lateral y seleccione Crear un recurso.
En la página Nuevo, seleccione Base de datos y, a continuación, seleccione Azure Cache for Redis.
En la página Nueva instancia de Redis Cache, configure las opciones de la nueva caché.
Configuración Valor sugerido Descripción Nombre DNS Escriba un nombre único global. El nombre de caché debe ser una cadena comprendida entre 1 y 63 caracteres. La cadena solo debe contener números, letras o guiones. El nombre debe comenzar y terminar por un número o una letra y no puede contener guiones consecutivos. El nombre de host de la instancia de caché es <DNS name>.redis.cache.windows.net. Suscripción Desplácese hacia abajo y seleccione su suscripción. La suscripción en la que se creará esta nueva instancia de Azure Cache for Redis. Grupos de recursos Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos. Nombre del grupo de recursos en el que se van a crear la caché y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente. Ubicación Desplácese hacia abajo y seleccione una ubicación. Selecciona una región cerca de otros servicios que usan la memoria caché. Plan de tarifa Desplácese hacia abajo y seleccione un plan de tarifa. El plan de tarifa determina el tamaño, el rendimiento y las características disponibles para la memoria caché. Para más información, consulte la introducción a Azure Redis Cache. Seleccione la pestaña Redes o elija el botón Redes situado en la parte inferior de la página.
En la pestaña Redes, seleccione Punto de conexión privado para el método de conectividad.
Seleccione el botón + Agregar para crear el punto de conexión privado.
En la página Crear un punto de conexión privado, defina la configuración del punto de conexión privado con la red virtual y la subred que creó en la última sección y seleccione Aceptar.
Seleccione la pestaña Siguiente: Opciones avanzadas o seleccione el botón Siguiente: Opciones avanzadas en la parte inferior de la página.
En la pestaña Opciones avanzadas de una instancia de caché básica o estándar, seleccione el botón de alternancia de habilitación si desea habilitar un puerto que no sea TLS.
En la pestaña Opciones avanzadas de la instancia de caché Premium, configure el puerto no TLS, la agrupación en clústeres y la persistencia de datos.
Seleccione el botón Siguiente: Opciones avanzadas o elija el botón Siguiente: Etiquetas situado en la parte inferior de la página.
Opcionalmente, en la pestaña Etiquetas, escriba el nombre y el valor si desea clasificar el recurso.
Seleccione Revisar + crear. Pasará a la pestaña Revisar y crear, donde Azure valida la configuración.
Tras aparecer el mensaje verde Validación superada, seleccione Crear.
La caché tarda un tiempo en crearse. Puede supervisar el progreso en la página Información general de Azure Cache for Redis. Cuando Estado se muestra como En ejecución, la memoria caché está lista para su uso.
Importante
Hay una marca publicNetworkAccess que está establecida en Disabled de manera predeterminada.
Puede establecer el valor en Disabled o Enabled. Cuando se establece en Enabled, esta marca permite el acceso del punto de conexión público y privado a la memoria caché. Cuando se establece en Disabled, solo permite el acceso a puntos de conexión privados. Para más información sobre cómo cambiar el valor, consulte las preguntas más frecuentes.
Creación de un punto de conexión privado con una instancia de Azure Cache for Redis existente
En esta sección, agregará un punto de conexión privado a una instancia de Azure Cache for Redis existente.
Creación de una red virtual para la memoria caché existente
Para crear una red virtual, siga estos pasos:
Inicie sesión en Azure Portal y después seleccione Crear un recurso.
En la página Nuevo, seleccione Redes y seleccione Red virtual.
Seleccione Agregar para crear una red virtual.
En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:
Parámetro Valor sugerido Descripción Suscripción Desplácese hacia abajo y seleccione su suscripción. Suscripción en la que se va a crear esta red virtual. Grupos de recursos Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos. Nombre del grupo de recursos en el que se van a crear la memoria caché y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente. Nombre Escriba un nombre de red virtual. El nombre debe comenzar con una letra o un número, acabar con una letra, un número o un carácter de subrayado y contener solo letras, números, caracteres de subrayado, puntos o guiones. Región Desplácese hacia abajo y seleccione una región. Seleccione una región cerca de otros servicios que usan la red virtual. Seleccione la pestaña Direcciones IP o el botón Siguiente: Direcciones IP situado en la parte inferior de la página.
En la pestaña Direcciones IP, especifique el espacio de direcciones IPv4 como uno o varios prefijos de dirección en la notación CIDR (por ejemplo, 192.168.1.0/24).
En Nombre de subred, seleccione en predeterminada para editar las propiedades de la subred.
En el panel Editar subred, especifique un nombre en Nombre de subred y un valor en Intervalo de direcciones de subred. Se debe usar la notación CIDR para el intervalo de direcciones de la subred (por ejemplo, 192.168.1.0/24). Debe incluirse en el espacio de direcciones de la red virtual.
Seleccione Guardar.
Seleccione la pestaña Revisar y crear o el botón Revisar y crear.
Compruebe que toda la información es correcta y seleccione Crear para crear la red virtual.
Creación de un punto de conexión privado
Para crear un punto de conexión privado, siga estos pasos:
En Azure Portal, busque Azure Cache for Redis. Después, presione Entrar o selecciónelo en las sugerencias de búsqueda.
Seleccione la instancia de caché a la que desea agregar un punto de conexión privado.
En el lado izquierdo de la pantalla, seleccione Puntos de conexión privados.
Seleccione el botón Punto de conexión privado para crear el punto de conexión privado.
En la página Crear un punto de conexión privado, configure las opciones del punto de conexión privado.
Configuración Valor sugerido Descripción Suscripción Desplácese hacia abajo y seleccione su suscripción. La suscripción en la que se va a crear este punto de conexión privado. Grupos de recursos Desplácese hacia abajo y seleccione un grupo de recursos o Crear nuevo y escriba un nombre nuevo para el grupo de recursos. Nombre del grupo de recursos en el que se van a crear el punto de conexión privado y otros recursos. Al colocar todos los recursos de la aplicación en un grupo de recursos, puede administrarlos o eliminarlos fácilmente. Nombre Escriba un nombre de punto de conexión privado. El nombre debe comenzar con una letra o un número, acabar con una letra, un número o un carácter de subrayado, y puede contener solo letras, números, caracteres de subrayado, puntos o guiones. Región Desplácese hacia abajo y seleccione una región. Seleccione una región cerca de los otros servicios que usan el punto de conexión privado. Seleccione el botón Siguiente: Recurso en la parte inferior de la página.
En la pestaña Recurso, seleccione su suscripción, elija el tipo de recurso
Microsoft.Cache/Redisy seleccione la memoria caché a la que desea conectar el punto de conexión privado.Seleccione el botón Siguiente: Configuración situado en la parte inferior de la página.
Seleccione el botón Siguiente: red virtual de la parte inferior de la página.
En la pestaña Configuración, seleccione la red virtual y la subred que creó en la sección anterior.
En la pestaña Red virtual, seleccione la red virtual y la subred que creó en la sección anterior.
Seleccione el botón Siguiente: Etiquetas situado en la parte inferior de la página.
Opcionalmente, en la pestaña Etiquetas, escriba el nombre y el valor si desea clasificar el recurso.
Seleccione Revisar + crear. Pasará a la pestaña Revisar y crear, donde Azure valida la configuración.
Tras aparecer el mensaje verde Validación superada, seleccione Crear.
Importante
Hay una marca publicNetworkAccess que está establecida en Disabled de manera predeterminada.
Puede establecer el valor en Disabled o Enabled. Cuando se establece en habilitado, esta marca permite el acceso del punto de conexión público y privado a la memoria caché. Cuando se establece en Disabled, solo permite el acceso a puntos de conexión privados. Para más información sobre cómo cambiar el valor, consulte las preguntas más frecuentes.
Creación de un punto de conexión privado mediante Azure PowerShell
Para crear un punto de conexión privado denominado MyPrivateEndpoint para una instancia existente de Azure Cache for Redis, ejecute el siguiente comando de PowerShell. Reemplace los valores de las variables por los detalles de su entorno:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Cache for Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Cache for Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Recuperación de un punto de conexión privado mediante Azure PowerShell
Para obtener los detalles de un punto de conexión privado, use este comando de PowerShell:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Eliminación de un punto de conexión privado mediante Azure PowerShell
Para quitar un punto de conexión privado, use el siguiente comando de PowerShell:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Creación de un punto de conexión privado mediante la CLI de Azure
Para crear un punto de conexión privado denominado myPrivateEndpoint para una instancia existente de Azure Cache for Redis, ejecute el siguiente comando de la CLI de Azure. Reemplace los valores de las variables por los detalles de su entorno:
# Resource group where the Azure Cache for Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Cache for Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Cache for Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/Redis/$redisCacheName" \
--group-ids "redisCache" \
--connection-name $PrivateConnectionName
Recuperación de un punto de conexión privado mediante la CLI de Azure
Para obtener los detalles de un punto de conexión privado, use el siguiente comando de la CLI:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Eliminación de un punto de conexión privado mediante la CLI de Azure
Para quitar un punto de conexión privado, use el siguiente comando de la CLI:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Preguntas más frecuentes
- ¿Cómo conectarse a la caché con un punto de conexión privado?
- ¿Por qué no puedo conectarme a un punto de conexión privado?
- ¿Qué características no son compatibles con los puntos de conexión privados?
- ¿Cómo compruebo si mi punto de conexión privado está configurado correctamente?
- ¿Cómo puedo cambiar el punto de conexión privado para que esté deshabilitado o habilitado el acceso desde la red pública?
- ¿Cómo puedo migrar mi memoria caché insertada en la red virtual a una memoria caché de Private Link?
- ¿Cómo puedo tener varios puntos de conexión en diferentes redes virtuales?
- ¿Qué ocurre si se eliminan todos los puntos de conexión privados de la caché?
- ¿Están habilitados los grupos de seguridad de red (NSG) para los puntos de conexión privados?
- Mi instancia de punto de conexión privado no está en mi red virtual, por tanto, ¿cómo se asocia a la red virtual?
¿Cómo conectarse a la caché con un punto de conexión privado?
En el caso de las memorias caché de nivel Básico, Estándar y Premium, la aplicación debe conectarse a <cachename>.redis.cache.windows.net en el puerto 6380. Una zona DNS privada, denominada *.privatelink.redis.cache.windows.net, se crea automáticamente en la suscripción. La zona DNS privada es fundamental para establecer la conexión TLS con el punto de conexión privado. Se recomienda evitar el uso de <cachename>.privatelink.redis.cache.windows.net en la configuración o la cadena de conexión.
En el caso de las memorias caché de nivel Enterprise y Enterprise Flash, la aplicación debe conectarse a <cachename>.<region>.redisenterprise.cache.azure.net en el puerto 10000.
Para más información, consulte Configuración de DNS para puntos de conexión privados de Azure.
¿Por qué no puedo conectarme a un punto de conexión privado?
Si la memoria caché ya está insertada en la red virtual, los puntos de conexión privados no se pueden usar con la instancia de la memoria caché.
En el caso de las memorias caché de nivel Básico, Estándar y Premium, está limitado a 100 vínculos privados.
En las memorias caché de nivel Premium mediante la agrupación en clústeres, está limitado a un vínculo privado.
Las memorias caché de nivel Enterprise y Enterprise Flash están limitadas a 84 vínculos privados.
Si intenta conservar los datos en la cuenta de almacenamiento a la que se han aplicado las reglas de firewall, podría impedir que cree la instancia de Private Link.
Si la instancia de caché usa una característica no admitida, es posible que no pueda conectarse al punto de conexión privado.
¿Qué características no son compatibles con los puntos de conexión privados?
No puede intentar conectarse desde la consola Azure Portal. Si lo hace, se mostrará un error de conexión.
Los vínculos privados no se pueden agregar a las memorias caché que ya usan la replicación geográfica pasiva en el nivel Premium. Para agregar un vínculo privado a una caché con replicación geográfica, siga estos pasos: 1. Desvincule la replicación geográfica. 2. Agregue un vínculo privado. 3. Vuelva a vincular la replicación geográfica. (Las memorias caché de nivel Enterprise que usan la replicación geográfica activa no tienen esta restricción).
¿Cómo compruebo si mi punto de conexión privado está configurado correctamente?
Vaya a Información general en el menú Recursos del portal. Verá el nombre de host de la memoria caché en el panel de trabajo. Ejecute un comando como nslookup <hostname> desde la red virtual que está vinculada al punto de conexión privado para comprobar que el comando se resuelve en la dirección IP privada de la memoria caché.
¿Cómo puedo cambiar el punto de conexión privado para que esté deshabilitado o habilitado el acceso desde la red pública?
Hay una marca publicNetworkAccess que está Disabled de manera predeterminada.
Cuando se establece en Enabled, esta marca permite el acceso del punto de conexión público y privado a la memoria caché. Cuando se establece en Disabled, solo permite el acceso a puntos de conexión privados. Puede establecer el valor en Disabled o Enabled en Azure Portal o con una solicitud PATCH de API RESTful.
Para cambiar el valor en Azure Portal, siga estos pasos:
En Azure Portal, busque Azure Cache for Redis. Después, presione Entrar o selecciónelo en las sugerencias de búsqueda.
Seleccione la instancia de caché en la que quiere cambiar el valor de acceso a la red pública.
En el lado izquierdo de la pantalla, seleccione Puntos de conexión privados.
Seleccione el botón Enable public network access (Habilitar acceso a la red pública).
También puede cambiar el valor a través de una solicitud RESTful API PATCH. Por ejemplo, use el código siguiente para una caché de nivel Básico, Estándar o Premium y edite el valor para reflejar la marca que desea para la memoria caché.
PATCH https://management.azure.com/subscriptions/{subscription}/resourceGroups/{resourcegroup}/providers/Microsoft.Cache/Redis/{cache}?api-version=2020-06-01
{ "properties": {
"publicNetworkAccess":"Disabled"
}
}
Para más información, consulte Redis - Update.
¿Cómo puedo migrar mi memoria caché insertada en la red virtual a una memoria caché de Private Link?
Consulte nuestra guía de migración para obtener diferentes enfoques sobre cómo migrar las memorias cachés insertadas en la red virtual a memorias caché de Private Link.
¿Cómo puedo tener varios puntos de conexión en diferentes redes virtuales?
Para tener varios puntos de conexión privados en distintas redes virtuales, la zona DNS privada debe configurarse manualmente en las varias redes virtuales antes de crear el punto de conexión privado. Para obtener más información, vea Configuración de DNS para puntos de conexión privados de Azure.
¿Qué ocurre si se eliminan todos los puntos de conexión privados de la caché?
Una vez que se eliminan los puntos de conexión privados de la caché, la instancia de caché puede quedar inaccesible hasta que se habilite explícitamente el acceso a la red pública o se agregue otro punto de conexión privado. Puede cambiar la marca publicNetworkAccess en Azure Portal o mediante una solicitud PATCH de API RESTful. Para más información sobre cómo cambiar el valor, consulte las preguntas más frecuentes.
¿Están habilitados los grupos de seguridad de red (NSG) para los puntos de conexión privados?
No, están deshabilitados para los puntos de conexión privados. Si bien las subredes que contienen el punto de conexión privado pueden tener un grupo de seguridad de red asociado, las reglas no son efectivas en el tráfico procesado por el punto de conexión privado. Debe tener la aplicación de directivas de red deshabilitada para implementar puntos de conexión privados en una subred. El grupo de seguridad de red se sigue aplicando en otras cargas de trabajo hospedadas en la misma subred. Las rutas de cualquier subred de cliente utilizarán un prefijo /32, lo que cambia el comportamiento de enrutamiento predeterminado requiere un UDR similar.
Controle el tráfico mediante el uso de reglas del grupo de seguridad de red para el tráfico saliente en los clientes de origen. Implementación de rutas individuales con un prefijo /32 para invalidar rutas de punto de conexión privado. Todavía se admiten los registros de flujo del NSG y la información de supervisión de las conexiones salientes y se pueden usar.
Mi instancia de punto de conexión privado no está en mi red virtual, por tanto, ¿cómo se asocia a la red virtual?
Solo está vinculada a la red virtual. Dado que no está en la red virtual, no es necesario modificar las reglas del grupo de seguridad de red para los puntos de conexión dependientes.
Contenido relacionado
- Para más información sobre Azure Private Link, consulte la documentación de Azure Private Link.
- Para comparar las distintas opciones de aislamiento de red para la memoria caché, consulte Opciones de aislamiento de red de Azure Cache for Redis.