Azure Cache for Redis のネットワークの分離オプション
この記事では、ニーズに合わせて最適なネットワークの分離ソリューションを決定する方法について説明します。 Azure Private Link (推奨)、Azure Virtual Network (VNet) インジェクション、Azure Firewall 規則の基本を説明します。 それらの利点と制限事項について説明します。
Azure Private Link (推奨)
Azure Private Link を使用すると、仮想ネットワークから Azure PaaS サービスへのプライベート接続が可能になります。 Private Link により、ネットワーク アーキテクチャが簡素化され、Azure 内のエンドポイント間の接続がセキュリティで保護されます。 また、Private Link では、パブリック インターネットにデータが公開されないようにして接続を保護します。
Private Link の利点
Azure Cache for Redis インスタンスのすべてのレベル (Basic、Standard、Premium、Enterprise、Enterprise Flash レベル) でサポートされるプライベートリンク。
Azure Private Link を使用すると、プライベート エンドポイント経由で仮想ネットワークから Azure Cache インスタンスに接続できます。 エンドポイントには、仮想ネットワーク内のサブネットのプライベート IP アドレスが割り当てられます。 このプライベート リンクにより、キャッシュ インスタンスは VNet 内とパブリックの両方から使用できるようになります。
重要
プライベート リンクを含む Enterprise/Enterprise Flash キャッシュにパブリックにアクセスすることはできません。
Basic/Standard/Premium レベルのキャッシュでプライベート エンドポイントが作成されたら、
publicNetworkAccess
フラグを使用して公衆ネットワークへのアクセスを制限できます。 このフラグは既定で、プライベート リンク アクセスのみを許可するDisabled
に設定されています。 この値は、PATCH 要求を使用してEnabled
またはDisabled
に設定できます。 詳細については、「Azure Private Link を使用した Azure Cache for Redis」を参照してください。重要
Enterprise/Enterprise Flash レベルでは
publicNetworkAccess
フラグはサポートされていません。外部キャッシュの依存関係はすべて、VNet の NSG ルールには影響しません。
ファイアウォール規則で保護されているストレージ アカウントへの永続化が、マネージド ID を使用してストレージ アカウントに接続する場合に、Premium レベルでサポートされます。詳細については、「Azure Cache for Redis のデータのインポートとエクスポート」を参照してください
Private Link の制限事項
- 現在、ポータル コンソールは、プライベート リンクを使用するキャッシュではサポートされていません。
Note
キャッシュ インスタンスにプライベート エンドポイントを追加すると、DNS が原因で、すべての Redis トラフィックがプライベート エンドポイントに移動されます。 以前のファイアウォール規則が事前に調整されているようにします。
Azure Virtual Network インジェクション
Virtual Network (VNet) は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet によって、多くの Azure リソースがお互い同士や、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 VNet は、独自のデータ センターで運用する従来のネットワークに似ています。 ただし、VNet には、Azure インフラストラクチャ、スケール、可用性、分離という利点もあります。
VNet インジェクションの利点
- Azure Cache for Redis インスタンスが VNet で構成された場合、パブリックにアドレスを指定することはできません。 VNet 内の仮想マシンとアプリケーションからのみ、それにアクセスできます。
- VNet を制限付き NSG ポリシーと結合することで、データ流出のリスクを軽減することができます。
- VNet デプロイにより、Azure Cache for Redis でセキュリティと分離が強化されます。 サブネット、アクセス制御ポリシー、その他の機能により、アクセスがさらに制限されます。
- geo レプリケーションがサポートされています。
VNet インジェクションの制限事項
- 仮想ネットワーク構成の作成と保守は、エラーが発生しやすい場合があります。 トラブルシューティングは困難です。 仮想ネットワークの構成が正しくないと、さまざまな問題が発生する可能性があります:
- キャッシュ インスタンスからのメトリックの送信が妨げられ、
- プライマリ ノードからデータをレプリケートするためのレプリカ ノードの障害、
- データ損失の可能性、
- スケーリングなどの管理操作の失敗、
- そして最も深刻なシナリオでは、可用性の損失。
- VNet インジェクションされたキャッシュは、Premium レベルの Azure Cache for Redis インスタンスでのみ使用できます。
- VNet インジェクションされたキャッシュを使用する場合は、VNet を変更して、CRL や PKI、AKV、Azure Storage、Azure Monitor などの依存関係をキャッシュする必要があります。
- 既存の Azure Cache for Redis インスタンスを Virtual Network に挿入することはできません。 このオプションを選択できるのは、キャッシュの "作成時" のみです。
ファイアウォール規則
Azure Cache for Redis では、Azure Cache for Redis インスタンスへの接続を許可する IP アドレスを指定するためのファイアウォール規則を構成できます。
ファイアウォール規則の利点
- ファイアウォール ルールを構成すると、指定した IP アドレス範囲からのクライアント接続のみがキャッシュに接続できます。 ファイアウォール ルールが構成されている場合でも、Azure Cache for Redis 監視システムからの接続は常に許可されます。 自分が定義した NSG ルールも許可されます。
ファイアウォール規則の制限事項
- ファイアウォール規則は、パブリック ネットワーク アクセスが有効になっている場合にのみ、プライベート エンドポイント キャッシュに適用できます。 ファイアウォール規則が構成されていないプライベート エンドポイント キャッシュでパブリック ネットワーク アクセスが有効になっている場合、キャッシュはすべてのパブリック ネットワーク トラフィックを受け入れます。
- ファイアウォール規則の構成は、Basic、Standard、Premium のすべてのレベルで使用できます。
- ファイアウォール規則の構成は、Enterprise レベルまたは Enterprise Flash レベルでは使用できません。
次の手順
- Premium の Azure Cache for Redis インスタンス用の VNet インジェクションされたキャッシュを構成する方法について学習します。
- すべてのレベルの Azure Cache for Redis に対するファイアウォール規則を構成する方法について学習します。
- すべてのレベルの Azure Cache for Redis に対するプライベート エンドポイントを構成する方法について学習します。