Azure Cache for Redis 네트워크 격리 옵션

  • 아티클

이 문서에서는 사용자의 요구에 맞는 최고의 네트워크 격리 솔루션을 찾는 방법을 알아봅니다. Azure Private Link(권장), Azure VNet(Virtual Network) 삽입 및 방화벽 규칙의 기본 사항에 대해 설명합니다. 각각의 장점과 제한 사항을 설명합니다.

Azure Private Link는 가상 네트워크에서 Azure PaaS 서비스로 프라이빗 연결을 제공합니다. Private Link는 네트워크 아키텍처를 단순화하고 Azure에서 엔드포인트 간의 연결을 보호합니다. Private Link는 또한 공용 인터넷에 대한 데이터 노출을 제거하여 연결을 보호합니다.

  • Azure Cache for Redis 인스턴스의 모든 계층(기본, 표준, 프리미엄, Enterprise 및 Enterprise Flash 계층)에서 지원되는 프라이빗 링크입니다.

  • Azure Private Link를 사용하면 프라이빗 엔드포인트를 통해 가상 네트워크에서 Azure Cache 인스턴스에 연결할 수 있습니다. 엔드포인트는 가상 네트워크 내에 있는 서브넷에 개인 IP 주소를 할당합니다. 이 개인 링크를 통해 캐시 인스턴스를 VNet 내에서 공개적으로 사용할 수 있습니다.

    Important

    프라이빗 링크가 있는 Enterprise/Enterprise Flash 캐시는 공개적으로 액세스할 수 없습니다.

  • 기본/표준/프리미엄 계층 캐시에 프라이빗 엔드포인트가 만들어지면 publicNetworkAccess 플래그를 통해 공용 네트워크에 대한 액세스를 제한할 수 있습니다. 이 플래그는 기본적으로 Disabled로 설정되며, 이 경우 프라이빗 링크 액세스만 허용됩니다. 패치 요청을 사용하여 Enabled 또는 Disabled로 값을 설정할 수 있습니다. 자세한 정보는 Azure Cache for Redis와 Azure Private Link를 참조하세요.

    Important

    Enterprise/Enterprise Flash 계층은 publicNetworkAccess 플래그를 지원하지 않습니다.

  • 모든 외부 캐시 종속성은 VNet의 NSG 규칙에 영향을 주지 않습니다.

  • 관리 ID를 사용하여 스토리지 계정에 연결할 때 방화벽 규칙으로 보호되는 모든 스토리지 계정을 유지할 수 있도록 프리미엄 계층에서 지원됩니다. 자세한 내용은 Azure Cache for Redis에서 데이터 가져오기 및 내보내기를 참조하세요.

  • 현재, 프라이빗 링크가 있는 캐시에 대해서는 포털 콘솔이 지원되지 않습니다.

참고 항목

캐시 인스턴스에 프라이빗 엔드포인트를 추가하는 경우 DNS로 인해 모든 Redis 트래픽이 프라이빗 엔드포인트로 이동합니다. 이전 방화벽 규칙이 이전에 조정되었는지 확인합니다.

Azure Virtual Network 추가

VNet(가상 네트워크)은 Azure 개인 네트워크의 기본 구성 요소입니다. VNet을 사용하면 다수의 Azure 리소스가 상호 간, 인터넷 및 온-프레미스 네트워크와 안전하게 통신할 수 있습니다. VNet은 사용자 고유의 데이터 센터에서 작동하는 기존 네트워크와 같습니다. 그러나 VNet에는 Azure 인프라, 확장, 가용성 및 격리의 이점도 있습니다.

VNet 주입의 장점

  • Azure Cache for Redis 인스턴스가 VNet으로 구성된 경우 공개적으로 주소를 지정할 수 없습니다. VNet 내의 가상 머신과 애플리케이션에서만 액세스할 수 있습니다.
  • VNet을 제한된 NSG 정책과 결합하면 데이터 반출의 위험을 줄일 수 있습니다.
  • VNet 배포는 Azure Cache for Redis에 대해 향상된 보안/격리 기능을 제공합니다. 서브넷, 액세스 제어 정책 및 기타 기능으로 액세스를 추가 제한합니다.
  • 지역 복제가 지원됩니다.

VNet 주입의 제한 사항

  • 가상 네트워크 구성을 만들고 유지 관리할 때 쉽게 오류가 발생할 수 있습니다. 문제 해결이 어려울 수 있습니다. 잘못된 가상 네트워크 구성으로 인해 다음과 같은 다양한 문제가 발생할 수 있습니다.
    • 캐시 인스턴스에서 메트릭 전송이 방해됨
    • 복제 노드가 기본 노드에서 데이터를 복제하지 못함
    • 잠재적 데이터 손실
    • 크기 조정과 같은 관리 작업 실패
    • 가장 심각한 시나리오에서 가용성 손실
  • VNet 삽입 캐시는 프리미엄 계층 Azure Cache for Redis 인스턴스에만 사용할 수 있습니다.
  • VNet 삽입 캐시를 사용하는 경우 CRL/PKI, AKV, Azure Storage, Azure Monitor 등의 종속성을 캐시하도록 VNet을 변경해야 합니다.
  • 기존 Azure Cache for Redis 인스턴스를 Virtual Network에 삽입할 수 없습니다. 캐시를 만들 때만 이 옵션을 선택할 수 있습니다.

방화벽 규칙

Azure Cache for Redis를 사용하면 Azure Cache for Redis 인스턴스에 연결할 수 있도록 하려면 IP 주소를 지정하기 위한 방화벽 규칙을 구성할 수 있습니다.

방화벽 규칙의 장점

  • 방화벽 규칙이 구성되면 지정된 IP 주소 범위의 클라이언트 연결만 캐시에 연결할 수 있습니다. 방화벽 규칙이 구성된 경우에도 Azure Cache for Redis 모니터링 시스템의 연결은 항상 허용됩니다. 사용자가 정의한 NSG 규칙 또한 허용됩니다.

방화벽 규칙의 제한 사항

  • 공용 네트워크 액세스를 사용하는 경우에만 프라이빗 엔드포인트 캐시에 방화벽 규칙을 적용할 수 있습니다. 방화벽 규칙이 구성되지 않은 프라이빗 엔드포인트 캐시에서 공용 네트워크 액세스를 사용하도록 설정하면 캐시가 모든 공용 네트워크 트래픽을 허용합니다.
  • 방화벽 규칙 구성은 모든 기본, 표준 및 프리미엄 계층에 사용할 수 있습니다.
  • 엔터프라이즈 또는 엔터프라이즈 플래시 계층에는 방화벽 규칙 구성을 사용할 수 없습니다.

다음 단계