Opzioni di isolamento rete della cache di Azure per Redis

Importante

La cache di Azure per Redis ha annunciato la sequenza temporale di ritiro per tutti gli SKU. È consigliabile spostare le istanze di Cache Redis di Azure esistenti in Azure Managed Redis non appena è possibile.

Per altre informazioni sul ritiro:

• Fine del ciclo di vita di Azure Cache per Redis: cosa c'è da sapere e come prepararsi
• Domande frequenti sulla disattivazione di Azure Cache for Redis

Questo articolo spiega come determinare la soluzione di isolamento rete migliore per le proprie esigenze. Vengono illustrate le nozioni di base di collegamento privato di Azure (scelta consigliata), l'inserimento di una rete virtuale di Azure e delle regole del firewall. Vengono illustrati i vantaggi e le limitazioni.

Collegamento privato di Azure (scelta consigliata)

Il collegamento privato di Azure offre la connettività privata da una rete virtuale ai servizi PaaS di Azure. Il collegamento privato semplifica l'architettura di rete e protegge la connessione tra gli endpoint in Azure. Il collegamento privato protegge anche la connessione eliminando l'esposizione dei dati alla rete Internet pubblica.

Vantaggi del collegamento privato

• Il collegamento privato è supportato a tutti i livelli - Basic, Standard, Premium, Enterprise ed Enterprise Flash - di istanze della cache di Azure per Redis.

• L'uso del collegamento privato di Azure permette di connettersi a un'istanza della cache di Azure dalla rete virtuale tramite un endpoint privato. All'endpoint viene assegnato un indirizzo IP privato in una subnet all'interno della rete virtuale. Con questo collegamento privato, le istanze della cache sono disponibili sia all'interno della rete virtuale che pubblicamente.

  Importante

  Non è possibile accedere pubblicamente alle cache Enterprise/Flash Enterprise con il collegamento privato.

• Dopo aver creato un endpoint privato nelle cache di livello Basic/Standard/Premium, l'accesso alla rete pubblica può essere limitato tramite il flag publicNetworkAccess. Questo flag è impostato su Disabled per impostazione predefinita, che consente solo l'accesso al collegamento privato. È possibile impostare il valore su Enabled o Disabled con una richiesta PATCH. Per altre informazioni, vedere Cache di Azure per Redis con collegamento privato di Azure.

  Importante

  Il livello Enterprise/Enterprise Flash non supporta il flag publicNetworkAccess.

• Le dipendenze della cache esterna non influiscono sulle regole del gruppo di sicurezza di rete della rete virtuale.

• Il salvataggio permanente in tutti gli account di archiviazione protetti con regole del firewall è supportato nel livello Premium quando si usa l'identità gestita per connettersi all'account di archiviazione. Per altre informazioni, vedere Importare ed esportare dati nella cache di Azure per Redis.

• Il collegamento privato offre meno privilegi riducendo la quantità di accesso alla cache ad altre risorse di rete. Il collegamento privato impedisce a un utente malintenzionato di avviare il traffico verso il resto della rete.

Limitazioni del collegamento privato

• Attualmente, la console del portale non è supportata per le cache con collegamento privato.

Note

Quando si aggiunge un endpoint privato a un'istanza della cache, tutto il traffico Redis viene spostato nell'endpoint privato a causa del DNS. Verificare che le regole del firewall precedenti vengano modificate prima.

Inserimento di una rete virtuale di Azure

Attenzione

L'inserimento della rete virtuale non è consigliata. Per altre informazioni, vedere Limitazioni dell'inserimento della rete virtuale.

La rete virtuale consente a molte risorse di Azure di comunicare in modo sicuro tra loro, Internet e le reti locali. La rete virtuale è simile a una rete tradizionale presente nel proprio data center.

Limitazioni dell'inserimento della rete virtuale

• La creazione e la gestione delle configurazioni di rete virtuale sono spesso soggette a errori. Anche la risoluzione dei problemi è complessa. Le configurazioni di rete virtuale non corrette possono causare problemi:

  • trasmissione di metriche ostruita dalle istanze della cache

  • errore del nodo di replica per replicare i dati dal nodo primario

  • potenziale perdita di dati

  • errore di operazioni di gestione come il ridimensionamento

  • errori SSL/TLS intermittenti o completi

  • mancata applicazione degli aggiornamenti, tra cui importanti miglioramenti alla sicurezza e all'affidabilità

  • negli scenari più gravi, perdita di disponibilità

• Quando si usa una cache inserita nella rete virtuale, è necessario mantenere aggiornata la rete virtuale per consentire l'accesso alle dipendenze della cache, ad esempio elenchi di revoche di certificati, infrastruttura a chiave pubblica, Azure Key Vault, Archiviazione di Azure, Monitoraggio di Azure e altro ancora.

• Le cache inserite nella rete virtuale sono disponibili solo per le istanze della cache di Azure per Redis di livello Premium, non per altri livelli.

• Non è possibile inserire un'istanza di Cache Redis di Azure esistente in una rete virtuale. È necessario selezionare questa opzione quando si crea la cache.

Regole del firewall

La cache di Azure per Redis consente di configurare le regole del firewall per specificare l'indirizzo IP che si vuole autorizzare a connettersi all'istanza della cache di Azure per Redis.

Vantaggi delle regole del firewall

• Quando le regole del firewall sono configurate, solo le connessioni client degli intervalli di indirizzi IP specificati possono connettersi alla cache. Le connessioni dai sistemi di monitoraggio di Cache Redis di Azure sono sempre consentite, anche se le regole del firewall sono configurate. Sono consentite anche le regole del gruppo di sicurezza di rete definite.

Limitazioni delle regole del firewall

• Le regole del firewall possono essere applicate a una cache degli endpoint privati solo se l'accesso alla rete pubblica è abilitato. Se l'accesso alla rete pubblica è abilitato nella cache degli endpoint privati senza regole del firewall, la cache accetta tutto il traffico della rete pubblica.
• La configurazione delle regole del firewall è disponibile per tutti i livelli Basic, Standard e Premium.
• La configurazione delle regole del firewall non è disponibile per i livelli Enterprise e Enterprise Flash.

Passaggi successivi

• Informazioni su come configurare una cache inserita nella rete virtuale per un'istanza della cache di Azure per Redis Premium.
• Informazioni su come configurare le regole del firewall per tutti i livelli della cache di Azure per Redis.
• Informazioni su come configurare gli endpoint privati per tutti i livelli della cache di Azure per Redis.