Azure Cache for Redis のネットワークの分離オプション

  • [アーティクル]

この記事では、ニーズに合わせて最適なネットワークの分離ソリューションを決定する方法について説明します。 Azure Private Link、Azure Virtual Network (VNet) インジェクション、Azure Firewall 規則の基本を説明します。 それらの利点と制限事項について説明します。

Azure Private Link を使用すると、仮想ネットワークから Azure PaaS サービスへのプライベート接続が可能になります。 Private Link により、ネットワーク アーキテクチャが簡素化され、Azure 内のエンドポイント間の接続がセキュリティで保護されます。 また、Private Link では、パブリック インターネットにデータが公開されないようにして接続を保護します。

  • Azure Cache for Redis インスタンスの Basic、Standard、Premium、Enterprise、Enterprise Flash の各レベルでサポートされます。
  • Azure Private Link を使用すると、プライベート エンドポイント経由で仮想ネットワークから Azure Cache インスタンス アカウントに接続できます。 エンドポイントには、仮想ネットワーク内のサブネットのプライベート IP アドレスが割り当てられます。 このプライベート リンクにより、キャッシュ インスタンスは VNet 内とパブリックの両方から使用できるようになります。
  • プライベート エンドポイントが作成されたら、publicNetworkAccess フラグを使用してパブリック ネットワークへのアクセスを制限できます。 このフラグは既定で、プライベート リンク アクセスのみを許可する Disabled に設定されています。 この値は、PATCH 要求を使用して Enabled または Disabled に設定できます。 詳細については、「Azure Private Link を使用した Azure Cache for Redis」を参照してください。
  • 外部キャッシュの依存関係はすべて、VNet の NSG ルールには影響しません。
  • ネットワーク セキュリティ グループ (NSG) はプライベート エンドポイントに対しては無効になっています。 ただし、サブネットに他のリソースがある場合は、NSG の強制がこれらのリソースに適用されます。
  • 現時点では、ポータル コンソールのサポートとファイアウォール ストレージ アカウントへの永続化はサポートされていません。
  • クラスター化されたキャッシュに接続するには、publicNetworkAccessDisabled に設定する必要があり、プライベート エンドポイント接続は 1 つしか保持できません。

Note

キャッシュ インスタンスにプライベート エンドポイントを追加すると、DNS が原因で、すべての Redis トラフィックがプライベート エンドポイントに移動されます。 以前のファイアウォール規則が事前に調整されているようにします。

Azure Virtual Network インジェクション

VNet は、Azure 内のプライベート ネットワークの基本的な構成要素です。 VNet によって、多くの Azure リソースがお互い同士や、インターネット、オンプレミス ネットワークと安全に通信できるようになります。 VNet は、独自のデータ センターで運用する従来のネットワークに似ています。 ただし、VNet には、Azure インフラストラクチャ、スケール、可用性、分離という利点もあります。

VNet インジェクションの利点

  • Azure Cache for Redis インスタンスが VNet で構成された場合、パブリックにアドレスを指定することはできません。 VNet 内の仮想マシンとアプリケーションからのみ、それにアクセスできます。
  • VNet を制限付き NSG ポリシーと結合することで、データ流出のリスクを軽減することができます。
  • VNet デプロイにより、Azure Cache for Redis でセキュリティと分離が強化されます。 サブネット、アクセス制御ポリシー、その他の機能により、アクセスがさらに制限されます。
  • geo レプリケーションがサポートされています。

VNet インジェクションの制限事項

  • VNet インジェクションされたキャッシュは、Premium の Azure Cache for Redis でのみ使用できます。
  • VNet インジェクションされたキャッシュを使用する場合は、VNet を変更して、CRL や PKI、AKV、Azure Storage、Azure Monitor などの依存関係をキャッシュする必要があります。
  • Azure Cache for Redis インスタンスを Virtual Network にインジェクションすることはできません。 このオプションを選択できるのは、キャッシュの "作成時" のみです。

Azure Firewall 規則

Azure Firewall は、Azure VNet リソースを保護するクラウドベースのマネージド ネットワーク セキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 サブスクリプションと仮想ネットワークをまたいでアプリケーションとネットワークの接続ポリシーを一元的に作成、適用、記録できます。

ファイアウォール規則の利点

  • ファイアウォール ルールを構成すると、指定した IP アドレス範囲からのクライアント接続のみがキャッシュに接続できます。 ファイアウォール ルールが構成されている場合でも、Azure Cache for Redis 監視システムからの接続は常に許可されます。 自分が定義した NSG ルールも許可されます。

ファイアウォール規則の制限事項

  • ファイアウォール規則は、VNet インジェクションされたキャッシュと共に使用できますが、プライベート エンドポイントでは使用できません。
  • ファイアウォール規則の構成は、Basic、Standard、Premium のすべてのレベルで使用できます。
  • ファイアウォール規則の構成は、Enterprise レベルまたは Enterprise Flash レベルでは使用できません。

次の手順