Параметры сетевой изоляции Кэша Azure для Redis
В этой статье вы узнаете, как определить оптимальное решение сетевой изоляции для ваших потребностей. Мы обсудим основы внедрения Приватный канал Azure (рекомендуется), внедрения виртуальная сеть (виртуальная сеть) Azure и правил брандмауэра. Мы обсудим свои преимущества и ограничения.
Приватный канал Azure (рекомендуется)
Приватный канал Azure обеспечивает частное подключение между виртуальной сетью и службами Azure PaaS. Приватный канал упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure. Приватный канал также устраняет проблему незащищенности данных в общедоступном Интернете.
Преимущества Приватного канала
Приватный канал, поддерживаемый на всех уровнях : "Базовый", "Стандартный", "Премиум", "Корпоративный" и "Корпоративный флэш-памяти" для Кэш Azure для Redis экземпляров.
С помощью Приватный канал Azure можно подключиться к экземпляру кэша Azure из виртуальной сети через частную конечную точку. Конечной точке назначается частный IP-адрес в подсети в виртуальной сети. При использовании этого приватного канала экземпляры кэша доступны как в виртуальной сети, так и в общедоступной.
Внимание
Кэши Enterprise/Enterprise Flash с приватным каналом недоступны для общедоступного доступа.
После создания частной конечной точки в кэшах уровня "Базовый" или "Стандартный" или "Премиум" доступ к общедоступной сети можно ограничить с помощью флага
publicNetworkAccess
. Этот флаг имеет значениеDisabled
по умолчанию, что разрешает доступ только к приватным каналу. Можно задать значениеEnabled
илиDisabled
с помощью запроса PATCH. Дополнительные сведения см. в статье Кэш Azure для Redis с Приватным каналом Azure.Внимание
Уровень Enterprise/Enterprise Flash не поддерживает
publicNetworkAccess
флаг.Все зависимости внешнего кэша не влияют на правила NSG виртуальной сети.
Сохранение в любых учетных записях хранения, защищенных правилами брандмауэра, поддерживается на уровне "Премиум" при использовании управляемого удостоверения для подключения к учетной записи служба хранилища, см. дополнительные сведения о импорте и экспорте данных в Кэш Azure для Redis
Ограничения Приватного канала
- В настоящее время консоль портала не поддерживается для кэшей с приватным каналом.
Примечание.
При добавлении частной конечной точки в экземпляр кэша весь трафик Redis перемещается в частную конечную точку из-за DNS. Убедитесь, что предыдущие правила брандмауэра были настроены ранее.
Внедрение в виртуальную сеть Azure
виртуальная сеть (виртуальная сеть) — это базовый стандартный блок для частной сети в Azure. Виртуальная сеть позволяет многим ресурсам Azure безопасно обмениваться данными друг с другом, с Интернетом и локальными сетями. Виртуальная сеть напоминает традиционную сеть, которую вы бы использовали в собственном центре обработки данных. Однако в виртуальной сети также доступны преимущества инфраструктуры, масштабирования, доступности и изоляции Azure.
Преимущества внедрения виртуальной сети
- Если экземпляр Кэша Azure для Redis настроен с помощью виртуальной сети, он не является общедоступным. Доступ к нему может быть только с виртуальных машин и приложений в рамках виртуальной сети.
- Если виртуальная сеть используется совместно с ограниченными политиками NSG, это снижает риск утечки данных.
- Развертывание виртуальной сети обеспечивает повышенную безопасность и изоляцию Кэша Azure для Redis. Ограничить доступ также помогут подсети, политики контроля доступа и другие функции.
- Георепликация поддерживается.
Ограничения внедрения виртуальной сети
- Создание и обслуживание конфигураций виртуальной сети может быть подвержено ошибкам. Устранение неполадок сложно. Неправильные конфигурации виртуальной сети могут привести к различным проблемам:
- заблокированная передача метрик из экземпляров кэша
- сбой реплика узла для реплика te данных из основного узла;
- потенциальная потеря данных,
- сбой операций управления, таких как масштабирование,
- и в наиболее сложных сценариях потеря доступности.
- Внедренные кэши виртуальной сети доступны только для экземпляров уровня Premium Кэш Azure для Redis.
- При использовании внедренного кэша виртуальной сети необходимо изменить виртуальную сеть для кэширования зависимостей, таких как CRLs/PKI, AKV, служба хранилища Azure, Azure Monitor и многое другое.
- Невозможно внедрить существующий экземпляр Кэш Azure для Redis в виртуальная сеть. Этот параметр можно выбрать только при создании кэша.
Правила брандмауэра
Кэш Azure для Redis позволяет настраивать правила брандмауэра для указания IP-адреса, который требуется разрешить подключению к Кэш Azure для Redis экземпляру.
Преимущества правил брандмауэра
- Когда правила брандмауэра будут настроены, подключения к кэшу будут доступны только для клиентов из указанного диапазона IP-адресов. Подключения из систем мониторинга кэша Azure для Redis всегда разрешены, даже если настроены правила брандмауэра. Также разрешены правила NSG, определенные вами.
Ограничения правил брандмауэра
- Правила брандмауэра можно применять к кэшу частной конечной точки только в том случае, если доступ к общедоступной сети включен. Если доступ к общедоступной сети включен в кэше частной конечной точки без правил брандмауэра, кэш принимает весь общедоступный сетевой трафик.
- Конфигурация правил брандмауэра доступна для всех уровней "Базовый", "Стандартный" и "Премиум".
- Конфигурация правил брандмауэра недоступна для уровней Enterprise или Enterprise Flash.
Следующие шаги
- Узнайте, как настроить кэш, внедренный в виртуальную сеть для Кэша Azure уровня "Премиум" для экземпляра Redis.
- Узнайте, как настроить правила брандмауэра для всех уровней Кэша Azure для Redis.
- Узнайте, как настроить частные конечные точки для всех уровней Кэша Azure для Redis.