Singgahan/cache Azure untuk mengulangi opsi isolasi jaringan

Dalam artikel ini, Anda mempelajari cara menentukan solusi isolasi jaringan terbaik untuk kebutuhan Anda. Kami membahas dasar-dasar Azure Private Link (disarankan), injeksi Azure Virtual Network (VNet), dan Aturan Firewall. Kami mendiskusikan kelebihan dan batasan mereka.

Azure Private Link (disarankan)

Azure Private Link menyediakan konektivitas pribadi dari jaringan virtual ke layanan Azure PaaS. Azure Private Link menyederhanakan arsitektur jaringan dan mengamankan koneksi antar titik akhir di Azure. Private Link juga mengamankan koneksi dengan menghilangkan paparan data ke internet publik.

Keuntungan dari Private Link

• Tautan privat yang didukung di semua tingkatan - Tingkat Dasar, Standar, Premium, Enterprise, dan Enterprise Flash - instans Azure Cache for Redis.

• Dengan menggunakan Azure Private Link, Anda dapat terhubung ke instans Azure Cache dari jaringan virtual Anda melalui titik akhir privat. Titik akhir diberi alamat IP privat di subnet dalam jaringan virtual. Dengan tautan privat ini, instans cache tersedia baik dari dalam VNet maupun publik.

  Penting

  Cache Enterprise/Enterprise Flash dengan tautan privat tidak dapat diakses secara publik.

• Setelah titik akhir privat dibuat pada cache tingkat Dasar/Standar/Premium, akses ke jaringan publik dapat dibatasi melalui publicNetworkAccess bendera. Bendera ini diatur ke Disabled secara default, yang hanya memungkinkan akses tautan privat. Anda dapat mengatur nilai ke Enabled atau Disabled dengan permintaan PATCH. Untuk informasi selengkapnya, lihat Cache Azure untuk Redis dengan Azure Private Link.

  Penting

  Tingkat Enterprise/Enterprise Flash tidak mendukung publicNetworkAccess bendera.

• Dependensi cache eksternal apa pun tidak memengaruhi aturan NSG VNet.

• Bertahan ke akun penyimpanan apa pun yang dilindungi dengan aturan firewall didukung pada tingkat Premium saat menggunakan identitas terkelola untuk menyambungkan ke akun Penyimpanan, lihat lebih banyak data Impor dan Ekspor di Azure Cache for Redis

Batasan Private Link

• Saat ini, konsol portal tidak didukung untuk cache dengan tautan privat.

Catatan

Saat menambahkan titik akhir privat ke instans cache, semua lalu lintas Redis dipindahkan ke titik akhir privat karena DNS. Pastikan aturan firewall sebelumnya disesuaikan sebelumnya.

Injeksi Azure Virtual Network

Virtual Network (VNet) adalah blok penyusun dasar untuk jaringan privat Anda di Azure. VNet memungkinkan sumber daya Azure untuk saling berkomunikasi secara aman, internet, dan jaringan lokal. VNet adalah jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri. Namun, VNet juga memiliki keuntungan infrastruktur, skala, ketersediaan, dan isolasi Azure.

Keuntungan injeksi VNet

• Saat instans Azure Cache for Redis dikonfigurasi dengan VNet, instans Azure Cache for Redis tidak dapat dialamatkan secara publik. Instans Azure Cache for Redis hanya dapat diakses dari mesin virtual dan aplikasi di dalam VNet.
• Ketika Private Link digabungkan dengan kebijakan NSG terbatas, itu membantu mengurangi risiko eksfiltrasi data.
• Penyebaran VNet memberikan keamanan dan isolasi yang ditingkatkan untuk Azure Cache for Redis Anda. Subnet, kebijakan kontrol akses, dan fitur lainnya semakin membatasi akses.
• Replikasi geo didukung.

Keterbatasan injeksi VNet

• Membuat dan memelihara konfigurasi jaringan virtual dapat rentan kesalahan. Pemecahan masalah sangat menantang. Konfigurasi jaringan virtual yang salah dapat menyebabkan berbagai masalah:
  • transmisi metrik terhalang dari instans cache Anda,
  • kegagalan simpul replika untuk mereplikasi data dari simpul utama,
  • potensi kehilangan data,
  • kegagalan operasi manajemen seperti penskalaan,
  • dan dalam skenario yang paling parah, hilangnya ketersediaan.
• Cache yang disuntikkan VNet hanya tersedia untuk instans Azure Cache for Redis tingkat Premium.
• Saat menggunakan cache yang disuntikkan VNet, Anda harus mengubah VNet menjadi dependensi cache, seperti CRL/PKI, AKV, Azure Storage, Azure Monitor, dan banyak lagi.
• Anda tidak dapat menyuntikkan instans Azure Cache for Redis yang ada ke dalam Virtual Network. Anda hanya dapat memilih opsi ini saat membuat cache.

Aturan firewall

Azure Cache for Redis memungkinkan konfigurasi aturan Firewall untuk menentukan alamat IP yang ingin Anda izinkan untuk tersambung ke instans Azure Cache for Redis Anda.

Keuntungan aturan firewall

• Ketika aturan firewall dikonfigurasi, hanya koneksi klien dari rentang alamat IP yang ditentukan yang dapat berhubungan dengan cache. Koneksi dari Azure Cache untuk sistem pemantauan Redis selalu diizinkan, bahkan jika aturan firewall dikonfigurasi. Aturan NSG yang Anda tentukan juga diizinkan.

Batasan aturan firewall

• Aturan firewall dapat diterapkan ke cache titik akhir privat hanya jika akses jaringan publik diaktifkan. Jika akses jaringan publik diaktifkan pada cache titik akhir privat tanpa aturan firewall yang dikonfigurasi, cache menerima semua lalu lintas jaringan publik.
• Konfigurasi aturan firewall tersedia untuk semua tingkat Dasar, Standar, dan Premium.
• Konfigurasi aturan firewall tidak tersedia untuk tingkat Enterprise atau Enterprise Flash.

Langkah berikutnya

• Pelajari cara mengonfigurasi cache yang disuntikkan VNet untuk Cache Azure Premium untuk instans Redis.
• Pelajari cara mengonfigurasi aturan firewall untuk semua tingkatan Azure Cache for Redis.
• Pelajari cara mengonfigurasi titik akhir privat untuk semua tingkatan Azure Cache untuk Redis.