Qu’est-ce qu’Azure Managed Redis avec Azure Private Link ?

Dans cet article, vous allez apprendre à créer un réseau virtuel et à l’utiliser avec une instance Redis managée Azure avec un point de terminaison privé. Azure Private Endpoint est une interface réseau qui vous connecte de manière privée et sécurisée à Azure Managed Redis optimisé par Azure Private Link.

Le processus est effectué en deux étapes :

1. Tout d’abord, créez un réseau virtuel à utiliser avec un cache.

2. Ensuite, selon que vous disposez déjà d’un cache :

   1. Ajoutez le réseau virtuel lorsque vous créez un nouveau cache.
   2. Ajoutez le réseau virtuel à votre cache existant.

Important

L’utilisation d’un point de terminaison privé pour se connecter à un réseau virtuel est la solution recommandée pour sécuriser votre ressource Redis managée Azure au niveau de la couche réseau.

Conditions préalables

• Abonnement Azure : créez-en un gratuitement

Créer un réseau virtuel avec un sous-réseau

Tout d’abord, créez un réseau virtuel à l’aide du portail. Utilisez ce réseau virtuel lorsque vous créez un cache ou avec un cache existant.

1. Connectez-vous au portail Azure et sélectionnez Créer une ressource.

2. Dans le volet Nouveau , sélectionnez Mise en réseau , puis réseau virtuel.

3. Sélectionnez Ajouter pour créer un réseau virtuel.

4. Dans Créer un réseau virtuel, entrez ou sélectionnez ces informations dans le volet Informations de base :

   Réglage	Valeur suggérée	Descriptif
   Abonnement	Dans la liste déroulante, sélectionnez votre abonnement.	Abonnement dans lequel vous créez ce réseau virtuel.
   Groupe de ressources	Dans la liste déroulante, sélectionnez un groupe de ressources ou choisissez Créer nouveau, puis entrez un nouveau nom de groupe de ressources.	Nom du groupe de ressources dans lequel créer votre réseau virtuel et d’autres ressources. En plaçant toutes les ressources de votre application dans un seul groupe de ressources, vous pouvez facilement les gérer ou les supprimer ensemble.
   Nom du réseau virtuel	Entrez un nom de réseau virtuel.	Le nom doit : commencer par une lettre ou un chiffre ; se terminer par une lettre, un chiffre ou un trait de soulignement ; et doit contenir seulement des lettres, des chiffres, des traits de soulignement, des points ou des traits d'union.
   Région	Dans la liste déroulante, sélectionnez une région.	Sélectionnez une région proche d’autres services qui utilisent votre réseau virtuel.

5. Sélectionnez le volet Adresses IP ou sélectionnez le bouton Suivant : Adresses IP en bas du volet.

6. Dans le volet Adresses IP , spécifiez l’espace d’adressage IPv4 ou l’espace d’adressage IPv6. Pour cette procédure, utilisez l’espace d’adressage IPv4.

7. Sélectionnez Ajouter un sous-réseau. Sous Le nom du sous-réseau, sélectionnez par défaut ou ajoutez un nom. Vous pouvez également modifier les propriétés de sous-réseau en fonction des besoins de votre application.

8. Sélectionnez Ajouter.

9. Sélectionnez le volet Vérifier + créer ou sélectionnez le bouton Vérifier + créer .

10. Vérifiez que toutes les informations sont correctes et sélectionnez Créer pour créer le réseau virtuel.

Créer une instance Redis managée Azure avec un point de terminaison privé connecté à un sous-réseau de réseau virtuel

Pour créer une instance de cache Redis managée Azure et ajouter un point de terminaison privé, procédez comme suit. Vous devez d’abord créer un réseau virtuel à utiliser avec votre cache.

1. Accédez à la page d’accueil du portail Azure, ou ouvrez le menu de la barre latérale, puis sélectionnez Créer une ressource.

2. Dans la zone de recherche, tapez Azure Managed Redis. Affinez votre recherche sur les services Azure uniquement, puis sélectionnez Azure Managed Redis.

3. Dans le volet Nouveau Redis managé Azure , configurez les paramètres de base de votre nouveau cache.

4. Sélectionnez l’onglet Mise en réseau , ou sélectionnez Suivant : Mise en réseau en bas du volet de travail.

5. Dans le volet Mise en réseau , sélectionnez Point de terminaison privé pour la méthode de connectivité.

6. Sélectionnez l’option Ajouter un point de terminaison privé pour ajouter votre point de terminaison privé.

7. Dans le volet Créer un point de terminaison privé , configurez les paramètres de votre point de terminaison privé avec le réseau virtuel et le sous-réseau que vous avez créés dans la dernière section, puis sélectionnez Ajouter.

8. Passez à d’autres onglets pour remplir les paramètres de configuration en fonction des besoins.

9. Sélectionnez Vérifier + créer. Vous accédez au volet Vérifier + créer dans lequel Azure valide votre configuration.

10. Une fois que le message vert Validation réussie s’affiche, sélectionnez Créer.

La création du cache prend un certain temps. Vous pouvez surveiller la progression dans le volet Vue d’ensemble d’Azure Managed Redis. Lorsque État indique En cours d’exécution, le cache est prêt pour utilisation.

Ajouter un point de terminaison privé à une instance Redis managée Azure existante

Dans cette section, vous ajoutez un point de terminaison privé à une instance Azure Managed Redis existante.

1. Créez un réseau virtuel à utiliser avec votre cache existant.

2. Ouvrez votre cache dans le portail et ajoutez le sous-réseau que vous avez créé à la première étape.

   Après avoir créé un point de terminaison privé, procédez comme suit :

3. Dans le portail Azure, sélectionnez l’instance de cache à laquelle vous souhaitez ajouter un point de terminaison privé.

4. Sélectionnez Point de terminaison privé dans le menu de ressources sous Administration pour créer votre point de terminaison privé pour votre cache.

5. Dans le volet Point de terminaison privé, sélectionnez + Point de terminaison privé pour ajouter les paramètres de votre point de terminaison privé.

   Réglage	Valeur suggérée	Descriptif
   Abonnement	Dans la liste déroulante, sélectionnez votre abonnement.	Abonnement dans lequel vous avez créé votre réseau virtuel.
   Groupe de ressources	Dans la liste déroulante, sélectionnez un groupe de ressources ou choisissez Créer nouveau, puis entrez un nouveau nom de groupe de ressources.	Nom du groupe de ressources dans lequel créer votre point de terminaison privé et d’autres ressources. En plaçant toutes les ressources de votre application dans un seul groupe de ressources, vous pouvez facilement les gérer ou les supprimer ensemble.
   Nom	Entrez un nom de point de terminaison privé.	Le nom doit commencer par une lettre ou un chiffre et se terminer par une lettre, un chiffre ou un trait de soulignement, et il ne peut contenir que des lettres, des chiffres, des traits de soulignement, des points ou des traits d’union.
   Nom de l’interface réseau	Généré automatiquement en fonction du nom.	Le nom doit commencer par une lettre ou un chiffre et se terminer par une lettre, un chiffre ou un trait de soulignement, et il ne peut contenir que des lettres, des chiffres, des traits de soulignement, des points ou des traits d’union.
   Région	Dans la liste déroulante, sélectionnez une région.	Sélectionnez une région proche d’autres services qui utilisent votre point de terminaison privé.

6. Sélectionnez Suivant : Ressource en bas du volet.

7. Dans le volet Ressources , sélectionnez votre abonnement.

   1. Choisissez le type de ressource en tant que Microsoft.Cache/redisEnterprise.
   2. Sélectionnez le cache auquel vous souhaitez connecter le point de terminaison privé pour la propriété Resource .

8. Sélectionnez le bouton Suivant : Réseau virtuel en bas du volet.

9. Dans le volet Réseau virtuel , sélectionnez le réseau virtuel et le sous-réseau que vous avez créés dans la section précédente.

10. Sélectionnez le bouton Suivant : Balises en bas du volet.

11. Si vous le souhaitez, dans le volet Balises , entrez le nom et la valeur si vous souhaitez catégoriser la ressource.

12. Sélectionnez Vérifier + créer. Vous accédez au volet Vérifier + créer dans lequel Azure valide votre configuration.

13. Une fois que le message vert Validation réussie s’affiche, sélectionnez Créer.

Activation de l’accès au réseau public

Avec la publicNetworkAccess propriété, vous pouvez restreindre le trafic IP public indépendamment des liens privés vers des réseaux virtuels (réseaux virtuels).

Précédemment, Azure Managed Redis a été conçu avec deux configurations de réseau exclusives : l’activation du trafic public nécessite la désactivation des points de terminaison privés ; et l’activation de points de terminaison privés restreint automatiquement tout accès public. Ce paramètre a garanti des limites réseau claires, mais elle a limité la flexibilité pour les scénarios tels que les migrations où l’accès public et privé est nécessaire simultanément.

Avec publicNetworkAccess, les configurations réseau suivantes sont désormais prises en charge :

• Trafic public sans liaisons privées
• Trafic public avec liaisons privées
• Trafic privé sans liaisons privées
• Trafic privé avec liaisons privées

Désactiver publicNetworkAccess et protéger votre cache à l’aide d’un réseau virtuel avec un point de terminaison privé et des liaisons privées constitue l’option la plus sécurisée. Un réseau virtuel active les contrôles réseau et ajoute une couche de sécurité supplémentaire. Les liaisons privées limitent le trafic à une communication unidirectionnelle à partir du réseau virtuel, offrant une isolation réseau améliorée. Cela signifie que même si la ressource Redis managée Azure est compromise, d’autres ressources au sein du réseau virtuel restent sécurisées.

Mise à jour d’un cache pour utiliser publicNetworkAccess à l’aide du portail

Utilisez le portail Azure pour suivre les instructions à ajouter publicNetworkAccess à votre cache existant.

1. Accédez au portail Azure.

2. Accédez à votre ressource Azure Managed Redis | Administration | Mise en réseau dans le menu des ressources.

3. Sélectionnez Activer l’accès public à partir de tous les réseaux pour activer l’accès public. Pour désactiver l’accès public, sélectionnez Désactiver l’accès public et utiliser l’accès privé.

   

Modifications d'API

La publicNetworkAccess propriété est introduite dans Microsoft.Cache redisEnterprise 2025-07-01. Étant donné que ce changement est un changement majeur lié à la sécurité, les versions d’API datant d'avant le 01-07-2025 seront dépréciées en octobre 2026.

La valeur de la propriété publicNetworkAccess est effectivement NULL dans les caches créés avant le 01/07/2025. Une fois que vous avez défini la valeur à Enabled ou Disabled, vous ne pouvez pas la réattribuer à NULL.

Après octobre 2026 :

• Vous ne pouvez définir publicNetworkAccess la propriété qu’à l’aide des versions d’API 2025-07-01 ou ultérieures.
• Vous ne pouvez plus envoyer d’appels d’API avec des versions antérieures à 2025-07-01.
• Vos anciens caches provisionnés avec les versions antérieures des API continuent de fonctionner, mais d’autres opérations sur celles-ci nécessitent que les appels soient effectués avec les versions d’API 2025-07-01 ou ultérieures.

Créer un cache Redis managé Azure connecté à un point de terminaison privé à l’aide d’Azure PowerShell

Pour créer un point de terminaison privé nommé MyPrivateEndpoint pour une instance Azure Managed Redis existante, exécutez le script PowerShell suivant. Remplacez les valeurs des variables par les informations de votre environnement :

$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"

# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"

$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/redisEnterprise/$($redisCacheName)"

$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisEnterprise"
 
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName  $ResourceGroupName -Name $VNetName  
 
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object  {$_.Name -eq $SubnetName}  
 
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet  $subnet -PrivateLinkServiceConnection $privateEndpointConnection

Récupérer un point de terminaison privé en utilisant Azure PowerShell

Pour obtenir les détails d’un point de terminaison privé, utilisez cette commande PowerShell :

Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Supprimer un point de terminaison privé en utilisant Azure PowerShell

Pour supprimer un point de terminaison privé, utilisez la commande PowerShell suivante :

Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName

Créer un cache Redis managé Azure connecté à un point de terminaison privé à l’aide d’Azure CLI

Pour créer un point de terminaison privé nommé myPrivateEndpoint pour une instance Azure Managed Redis existante, exécutez le script Azure CLI suivant. Remplacez les valeurs des variables par les informations de votre environnement :

# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"

# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"

# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"

# Name of the virtual network to create
VNetName="myVnet"

# Name of the subnet to create
SubnetName="mySubnet"

# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"

# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"

az network vnet create \
    --name $VNetName \
    --resource-group $ResourceGroupName \
    --subnet-name $SubnetName

az network vnet subnet update \
    --name $SubnetName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName \
    --disable-private-endpoint-network-policies true

az network private-endpoint create \
    --name $PrivateEndpointName \
    --resource-group $ResourceGroupName \
    --vnet-name $VNetName  \
    --subnet $SubnetName \
    --private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
    --group-ids "redisEnterprise" \
    --connection-name $PrivateConnectionName

Récupérer un point de terminaison privé en utilisant Azure CLI

Pour obtenir les détails d’un point de terminaison privé, utilisez la commande CLI suivante :

az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup

Supprimer un point de terminaison privé en utilisant Azure CLI

Pour supprimer un point de terminaison privé, utilisez la commande CLI suivante :

az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup

Valeur de la zone DNS privée du point de terminaison privé Redis managé Azure

Votre application doit se connecter à <cachename>.<region>.redis.azure.net sur le port 10000. Une zone DNS privée, appelée *.privatelink.redis.azure.net, est automatiquement créée dans votre abonnement. La zone DNS privée est essentielle pour établir la connexion TLS avec le point de terminaison privé. Évitez d’utiliser <cachename>.privatelink.redis.azure.net dans la configuration pour la connexion cliente.

Pour plus d’informations, consultez Configuration des zones DNS des services Azure.

Questions fréquentes (FAQ)

• Pourquoi ne puis-je pas me connecter à un point de terminaison privé ?
• Quelles sont les fonctionnalités non prises en charge avec les points de terminaison privés ?
• Comment vérifier si mon point de terminaison privé est correctement configuré ?
• Comment puis-je modifier mon point de terminaison privé pour qu’il soit désactivé ou activé à partir de l’accès au réseau public ?
• Comment puis-je avoir plusieurs points de terminaison dans différents réseaux virtuels ?
• Que se passe-t-il si je supprime tous les points de terminaison privés sur mon cache ?
• Les groupes de sécurité réseau (NSG) sont-ils activés pour les points de terminaison privés ?
• Mon instance de point de terminaison privé ne figure pas dans mon réseau virtuel. Comment est-elle associée à mon réseau virtuel ?

Pourquoi ne puis-je pas me connecter à un point de terminaison privé ?

• Vous ne pouvez pas utiliser de points de terminaison privés avec votre instance de cache si votre cache est déjà un cache de réseau virtuel (VNet) injecté.

• Les caches Azure Managed Redis sont limités à 84 liaisons privées.

• Vous tentez de rendre les données persistantes dans le compte de stockage où il est possible que les règles de pare-feu appliquées vous empêchent de créer la liaison privée.

• Vous pouvez être dans l’impossibilité de vous connecter à votre point de terminaison privé si votre instance de cache utilise une fonctionnalité non prise en charge.

Quelles sont les fonctionnalités non prises en charge avec les points de terminaison privés ?

• Il n’existe aucune restriction pour l’utilisation d’un point de terminaison privé avec Azure Managed Redis.

Comment vérifier si mon point de terminaison privé est correctement configuré ?

Accédez à Vue d’ensemble dans le menu Ressource du portail. Vous voyez le Nom d’hôte pour votre cache dans le volet de travail. Pour vérifier que la commande est résolue en adresse IP privée pour le cache, exécutez une commande telle que nslookup <hostname> à partir du réseau virtuel lié au point de terminaison privé.

Comment puis-je modifier mon point de terminaison privé pour qu’il soit désactivé ou activé à partir de l’accès au réseau public ?

Pour modifier la valeur dans le Portail Microsoft Azure, procédez comme suit :

1. Dans le portail Azure, recherchez Azure Managed Redis. Puis, appuyez sur Entrée ou sélectionnez-le depuis les suggestions de la recherche.

2. Sélectionnez l’instance de cache dont vous souhaitez modifier la valeur d’accès au réseau public.

3. Sur le côté gauche de l’écran, sélectionnez Point de terminaison privé.

4. Supprimez le point de terminaison privé.

Comment puis-je avoir plusieurs points de terminaison dans différents réseaux virtuels ?

Pour avoir plusieurs points de terminaison privés dans différents réseaux virtuels, vous devez configurer manuellement la zone DNS privée sur plusieurs réseaux virtuels avant de créer le point de terminaison privé. Pour plus d’informations, consultez Configuration DNS des points de terminaison privés Azure.

Que se passe-t-il si je supprime tous les points de terminaison privés sur mon cache ?

Si vous supprimez tous les points de terminaison privés sur votre cache Redis managé Azure, la mise en réseau par défaut dispose d’un accès réseau public.

Les groupes de sécurité réseau (NSG) sont-ils activés pour les points de terminaison privés ?

Les stratégies réseau sont désactivées pour les points de terminaison privés. Pour appliquer des règles de groupe de sécurité réseau (NSG) et User-Defined route (UDR) sur le trafic de point de terminaison privé, vous devez activer les stratégies réseau sur le sous-réseau. Lorsque les stratégies réseau sont désactivées (requises pour déployer des points de terminaison privés), les règles de groupe de sécurité réseau et DDR ne s’appliquent pas au trafic traité par le point de terminaison privé. Pour en savoir plus, consultez Gestion des stratégies réseau pour les points de terminaison privés. Les règles NSG et UDR continuent de s’appliquer normalement à d’autres charges de travail dans le même sous-réseau.

Le trafic entre les sous-réseaux clients et les points de terminaison privés utilise un préfixe /32. Pour remplacer ce comportement de routage par défaut, créez un UDR correspondant avec un itinéraire /32.

Mon instance de point de terminaison privé ne figure pas dans mon réseau virtuel. alors comment est-elle associée à mon réseau virtuel ?

Votre point de terminaison privé est lié uniquement à votre réseau virtuel. Comme ce n’est pas dans votre réseau virtuel, vous n’avez pas besoin de modifier les règles de groupe de sécurité réseau pour les points de terminaison dépendants.

Contenu connexe

• Pour plus d’informations sur Azure Private Link, consultez la documentation Azure Private Link.
• Pour obtenir une comparaison des différentes options d’isolation réseau pour votre cache, consultez la documentation sur les options d’isolation réseau du Cache Azure pour Redis.