Opzioni di isolamento rete della cache di Azure per Redis

  • Articolo

Questo articolo illustra come determinare la soluzione di isolamento di rete migliore per le proprie esigenze. Vengono illustrate le nozioni di base di collegamento privato di Azure (scelta consigliata), l'inserimento di azure Rete virtuale (rete virtuale) e le regole del firewall. Vengono illustrati i vantaggi e le limitazioni.

Collegamento privato di Azure offre la connettività privata da una rete virtuale ai servizi PaaS di Azure. Il collegamento privato semplifica l'architettura di rete e protegge la connessione tra gli endpoint in Azure. collegamento privato protegge anche la connessione eliminando l'esposizione dei dati alla rete Internet pubblica.

  • Collegamento privato supportato in tutti i livelli , Basic, Standard, Premium, Enterprise ed Enterprise Flash, di istanze di cache di Azure per Redis.

  • Usando collegamento privato di Azure, è possibile connettersi a un'istanza di Cache di Azure dalla rete virtuale tramite un endpoint privato. All'endpoint viene assegnato un indirizzo IP privato in una subnet all'interno della rete virtuale. Con questo collegamento privato, le istanze della cache sono disponibili sia all'interno della rete virtuale che pubblicamente.

    Importante

    Non è possibile accedere pubblicamente alle cache Flash enterprise/Enterprise con collegamento privato.

  • Dopo aver creato un endpoint privato nelle cache di livello Basic/Standard/Premium, l'accesso alla rete pubblica può essere limitato tramite il publicNetworkAccess flag . Questo flag è impostato su Disabled per impostazione predefinita, che consente solo l'accesso al collegamento privato. È possibile impostare il valore su Enabled o Disabled con una richiesta PATCH. Per altre informazioni, vedere cache di Azure per Redis con collegamento privato di Azure.

    Importante

    Il livello Enterprise/Enterprise Flash non supporta publicNetworkAccess il flag.

  • Le dipendenze della cache esterna non influiscono sulle regole del gruppo di sicurezza di rete della rete virtuale.

  • La persistenza in tutti gli account di archiviazione protetti con le regole del firewall è supportata nel livello Premium quando si usa l'identità gestita per connettersi all'account Archiviazione, vedere altre informazioni su Importare ed esportare i dati in cache di Azure per Redis

  • Attualmente, la console del portale non è supportata per le cache con collegamento privato.

Nota

Quando si aggiunge un endpoint privato a un'istanza della cache, tutto il traffico Redis viene spostato nell'endpoint privato a causa del DNS. Verificare che le regole del firewall precedenti vengano modificate prima.

Inserimento di azure Rete virtuale

Rete virtuale (rete virtuale) è il blocco predefinito fondamentale per la rete privata in Azure. La rete virtuale consente a molte risorse di Azure di comunicare in modo sicuro tra loro, Internet e reti locali. La rete virtuale è simile a una rete tradizionale che si opera nel proprio data center. Tuttavia, la rete virtuale offre anche i vantaggi dell'infrastruttura, della scalabilità, della disponibilità e dell'isolamento di Azure.

Vantaggi dell'inserimento della rete virtuale

  • Quando un'istanza di cache di Azure per Redis è configurata con una rete virtuale, non è indirizzabile pubblicamente. È possibile accedervi solo da macchine virtuali e applicazioni all'interno della rete virtuale.
  • Quando la rete virtuale viene combinata con criteri NSG limitati, consente di ridurre il rischio di esfiltrazione dei dati.
  • La distribuzione della rete virtuale offre sicurezza e isolamento avanzati per l'cache di Azure per Redis. Subnet, criteri di controllo di accesso e altre funzionalità limitano ulteriormente l'accesso.
  • La replica geografica è supportata.

Limitazioni dell'inserimento della rete virtuale

  • La creazione e la gestione delle configurazioni di rete virtuale possono essere soggette a errori. La risoluzione dei problemi è complessa. Le configurazioni di rete virtuale non corrette possono causare diversi problemi:
    • ostruisce la trasmissione delle metriche dalle istanze della cache,
    • errore del nodo di replica per replicare i dati dal nodo primario,
    • potenziale perdita di dati,
    • errore di operazioni di gestione come il ridimensionamento,
    • e negli scenari più gravi, perdita di disponibilità.
  • Le cache inserite nella rete virtuale sono disponibili solo per le istanze di cache di Azure per Redis di livello Premium.
  • Quando si usa una cache inserita nella rete virtuale, è necessario modificare la rete virtuale in modo da memorizzare nella cache le dipendenze, ad esempio CRL/PKI, AKV, Archiviazione di Azure, Monitoraggio di Azure e altro ancora.
  • Non è possibile inserire un'istanza di Cache Redis di Azure esistente in una rete virtuale. È possibile selezionare questa opzione solo quando si crea la cache.

Regole del firewall

cache di Azure per Redis consente di configurare le regole del firewall per specificare l'indirizzo IP che si vuole consentire la connessione all'istanza di cache di Azure per Redis.

Vantaggi delle regole del firewall

  • Quando le regole del firewall sono configurate, solo le connessioni client degli intervalli di indirizzi IP specificati possono connettersi alla cache. Le connessioni dai sistemi di monitoraggio di Cache Redis di Azure sono sempre consentite, anche se le regole del firewall sono configurate. Sono consentite anche le regole del gruppo di sicurezza di rete definite.

Limitazioni delle regole del firewall

  • Le regole del firewall possono essere applicate a una cache degli endpoint privati solo se l'accesso alla rete pubblica è abilitato. Se l'accesso alla rete pubblica è abilitato nella cache degli endpoint privati senza regole del firewall, la cache accetta tutto il traffico di rete pubblico.
  • La configurazione delle regole del firewall è disponibile per tutti i livelli Basic, Standard e Premium.
  • La configurazione delle regole del firewall non è disponibile per i livelli Enterprise e Enterprise Flash.

Passaggi successivi