Az Azure Cache for Redis hálózati elkülönítési lehetőségei

  • Cikk

Ebből a cikkből megtudhatja, hogyan határozhatja meg az igényeinek leginkább megfelelő hálózati elkülönítési megoldást. Az Azure Private Link (ajánlott), az Azure Virtual Network (VNet) injektálásának és a tűzfalszabályoknak az alapjait tárgyaljuk. Megbeszéljük az előnyeiket és korlátaikat.

Az Azure privát kapcsolat privát kapcsolódási lehetőséget kínál egy virtuális hálózatból Azure platformszolgáltatásokhoz (PaaS). A Private Link leegyszerűsíti a hálózati architektúrát, és biztosítja az Azure-beli végpontok közötti kapcsolatot. A Private Link a nyilvános internetnek való adatexpozíció megszüntetésével is biztosítja a kapcsolatot.

  • Az Azure Cache for Redis-példányok minden szintjén – Alapszintű, Standard, Prémium, Nagyvállalati és Nagyvállalati Flash szinten – támogatott privát kapcsolat.

  • Az Azure Private Link használatával egy Azure Cache-példányhoz csatlakozhat a virtuális hálózatról egy privát végponton keresztül. A végponthoz egy privát IP-cím van hozzárendelve a virtuális hálózaton belüli alhálózatban. Ezzel a privát hivatkozással a gyorsítótárpéldányok a virtuális hálózaton belül és nyilvánosan is elérhetők.

    Fontos

    A privát kapcsolattal rendelkező Enterprise/Enterprise Flash-gyorsítótárak nyilvánosan nem érhetők el.

  • Miután létrehoz egy privát végpontot az alapszintű/standard/prémium szintű gyorsítótárakban, a nyilvános hálózathoz való hozzáférés a jelölőn keresztül publicNetworkAccess korlátozható. Ez a jelző alapértelmezés szerint be van állítva Disabled , ami csak a privát kapcsolat elérését teszi lehetővé. Az értéket Enabled PATCH-kéréssel vagy Disabled azzal is beállíthatja. További információ: Azure Cache for Redis és Azure Private Link.

    Fontos

    Az Enterprise/Enterprise Flash szint nem támogatja a publicNetworkAccess jelzőt.

  • A külső gyorsítótár-függőségek nincsenek hatással a virtuális hálózat NSG-szabályaira.

  • A tűzfalszabályokkal védett tárfiókok megőrzése támogatott a Prémium szinten, amikor felügyelt identitással csatlakozik a Tárfiókhoz. További információt az Adatok importálása és exportálása az Azure Cache for Redisben című témakörben talál.

  • A portálkonzol jelenleg nem támogatott a privát kapcsolattal rendelkező gyorsítótárak esetében.

Feljegyzés

Amikor privát végpontot ad hozzá egy gyorsítótárpéldányhoz, a rendszer a DNS miatt az összes Redis-forgalmat a privát végpontra helyezi át. Győződjön meg arról, hogy a korábbi tűzfalszabályokat korábban módosították.

Azure Virtual Network-injektálás

A virtuális hálózat (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat lehetővé teszi, hogy számos Azure-erőforrás biztonságosan kommunikáljon egymással, az internettel és a helyszíni hálózatokkal. A virtuális hálózat olyan, mint egy hagyományos hálózat, amelyet a saját adatközpontjában üzemeltetne. A virtuális hálózatok azonban az Azure-infrastruktúra, a skálázás, a rendelkezésre állás és az elkülönítés előnyeit is élvezhetik.

A VNet-injektálás előnyei

  • Ha egy Azure Cache for Redis-példány virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető. Csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el.
  • Ha a virtuális hálózat korlátozott NSG-szabályzatokkal van kombinálva, az segít csökkenteni az adatkiszivárgás kockázatát.
  • A virtuális hálózatok üzembe helyezése fokozott biztonságot és elkülönítést biztosít az Azure Cache for Redis számára. Az alhálózatok, a hozzáférés-vezérlési szabályzatok és más funkciók tovább korlátozzák a hozzáférést.
  • A georeplikációs szolgáltatás támogatott.

A virtuális hálózat injektálásának korlátozásai

  • A virtuális hálózati konfigurációk létrehozása és karbantartása hibalehetőséget jelenthet. A hibaelhárítás kihívást jelent. A helytelen virtuális hálózati konfigurációk különböző problémákhoz vezethetnek:
    • a gyorsítótárpéldányokból érkező, akadályozott metrikák átvitele,
    • a replikacsomópont nem replikálja az adatokat az elsődleges csomópontról,
    • lehetséges adatvesztés,
    • olyan felügyeleti műveletek meghiúsulása, mint a skálázás,
    • és a legsúlyosabb forgatókönyvekben a rendelkezésre állás elvesztése.
  • A virtuális hálózatba injektált gyorsítótárak csak prémium szintű Azure Cache for Redis-példányokhoz érhetők el.
  • A virtuális hálózatba injektált gyorsítótár használatakor módosítania kell a virtuális hálózatot gyorsítótár-függőségekre, például CRLs/PKI, AKV, Azure Storage, Azure Monitor stb.
  • Meglévő Azure Cache for Redis-példány nem ágyazható be virtuális hálózatba. Ezt a beállítást csak a gyorsítótár létrehozásakor választhatja ki.

Tűzfalszabályok

Az Azure Cache for Redis lehetővé teszi tűzfalszabályok konfigurálását azoknak az IP-címeknek a megadásához, amelyeket engedélyezni szeretne az Azure Cache for Redis-példányhoz való csatlakozáshoz.

A tűzfalszabályok előnyei

  • Tűzfalszabályok konfigurálásakor csak a megadott IP-címtartományokból származó ügyfélkapcsolatok csatlakozhatnak a gyorsítótárhoz. az Azure Cache for Redis monitorozási rendszereiből származó Csatlakozás mindig engedélyezettek, még akkor is, ha tűzfalszabályok vannak konfigurálva. Az Ön által definiált NSG-szabályok is engedélyezettek.

A tűzfalszabályok korlátozásai

  • A tűzfalszabályok csak akkor alkalmazhatók a privát végpontok gyorsítótárára, ha a nyilvános hálózati hozzáférés engedélyezve van. Ha a nyilvános hálózati hozzáférés engedélyezve van a privát végpont gyorsítótárában tűzfalszabályok nélkül, a gyorsítótár minden nyilvános hálózati forgalmat elfogad.
  • A tűzfalszabályok konfigurálása minden alapszintű, standard és prémium szintű szinten elérhető.
  • A tűzfalszabályok konfigurációja nem érhető el nagyvállalati és vállalati Flash-szintekhez.

Következő lépések