Opties voor netwerkisolatie van Azure Cache voor Redis

In dit artikel leert u hoe u de beste oplossing voor netwerkisolatie voor uw behoeften kunt bepalen. We bespreken de basisbeginselen van Azure Private Link (aanbevolen), Azure Virtual Network -injectie (VNet) en firewallregels. We bespreken hun voordelen en beperkingen.

Azure Private Link (aanbevolen)

Azure Private Link biedt privéconnectiviteit vanuit een virtueel netwerk naar Azure PaaS-services. Private Link vereenvoudigt de netwerkarchitectuur en beveiligt de verbinding tussen eindpunten in Azure. Private Link beveiligt de verbinding ook door gegevensblootstelling op het openbare internet te elimineren.

Voordelen van Private Link

• Private Link die wordt ondersteund voor alle lagen - Basic-, Standard-, Premium-, Enterprise- en Enterprise Flash-lagen - van Azure Cache voor Redis exemplaren.

• Met behulp van Azure Private Link kunt u verbinding maken met een Azure Cache-exemplaar vanuit uw virtuele netwerk via een privé-eindpunt. Aan het eindpunt wordt een privé-IP-adres toegewezen in een subnet binnen het virtuele netwerk. Met deze privékoppeling zijn cache-exemplaren beschikbaar vanuit zowel het VNet als openbaar.

  Belangrijk

  Enterprise/Enterprise Flash-caches met private link kunnen niet openbaar worden geopend.

• Zodra een privé-eindpunt is gemaakt in de caches van Basic/Standard/Premium, kan de toegang tot het openbare netwerk worden beperkt via de publicNetworkAccess vlag. Deze vlag is standaard ingesteld Disabled op, waardoor alleen private link-toegang is toegestaan. U kunt de waarde instellen op Enabled of Disabled met een PATCH-aanvraag. Zie Azure Cache voor Redis met Azure Private Link voor meer informatie.

  Belangrijk

  Enterprise/Enterprise Flash-laag biedt geen ondersteuning voor publicNetworkAccess vlag.

• Eventuele externe cacheafhankelijkheden zijn niet van invloed op de NSG-regels van het VNet.

• Het behouden van opslagaccounts die zijn beveiligd met firewallregels wordt ondersteund in de Premium-laag wanneer u beheerde identiteit gebruikt om verbinding te maken met het opslagaccount. Zie meer import- en exportgegevens in Azure Cache voor Redis

Beperkingen van Private Link

• Op dit moment wordt de portalconsole niet ondersteund voor caches met een privékoppeling.

Notitie

Wanneer u een privé-eindpunt toevoegt aan een cache-exemplaar, wordt al het Redis-verkeer naar het privé-eindpunt verplaatst vanwege de DNS. Zorg ervoor dat eerdere firewallregels eerder worden aangepast.

Azure Virtual Network-injectie

Virtual Network (VNet) is de fundamentele bouwsteen voor uw privénetwerk in Azure. Met VNet kunnen veel Azure-resources veilig communiceren met elkaar, internet en on-premises netwerken. VNet is net als een traditioneel netwerk dat u in uw eigen datacenter zou gebruiken. VNet heeft echter ook de voordelen van Azure-infrastructuur, schaal, beschikbaarheid en isolatie.

Voordelen van VNet-injectie

• Wanneer een Azure Cache voor Redis-exemplaar is geconfigureerd met een VNet, is het niet openbaar adresseerbaar. Deze kan alleen worden geopend vanuit virtuele machines en toepassingen binnen het VNet.
• Wanneer VNet wordt gecombineerd met een beperkt NSG-beleid, helpt dit het risico op gegevensexfiltratie te verminderen.
• VNet-implementatie biedt verbeterde beveiliging en isolatie voor uw Azure Cache voor Redis. Subnetten, beleidsregels voor toegangsbeheer en andere functies beperken de toegang verder.
• Geo-replicatie wordt ondersteund.

Beperkingen van VNet-injectie

• Het maken en onderhouden van configuraties voor virtuele netwerken kan foutgevoelig zijn. Het oplossen van problemen is lastig. Onjuiste configuraties van virtuele netwerken kunnen leiden tot verschillende problemen:
  • geblokkeerde overdracht van metrische gegevens van uw cache-exemplaren,
  • fout van replicaknooppunt voor het repliceren van gegevens van het primaire knooppunt,
  • mogelijk gegevensverlies,
  • mislukte beheerbewerkingen, zoals schalen,
  • en in de meest ernstige scenario's, verlies van beschikbaarheid.
• In VNet opgenomen caches zijn alleen beschikbaar voor Azure Cache voor Redis exemplaren van de Premium-laag.
• Wanneer u een in VNet geïnjecteerde cache gebruikt, moet u uw VNet wijzigen in de cache van afhankelijkheden, zoals CRL's/PKI, AKV, Azure Storage, Azure Monitor en meer.
• U kunt een bestaand Azure Cache voor Redis exemplaar niet injecteren in een virtueel netwerk. U kunt deze optie alleen selecteren wanneer u de cache maakt .

Firewallregels

Azure Cache voor Redis kunt u firewallregels configureren voor het opgeven van HET IP-adres dat u wilt toestaan om verbinding te maken met uw Azure Cache voor Redis-exemplaar.

Voordelen van firewallregels

• Wanneer firewallregels zijn geconfigureerd, kunnen alleen clientverbindingen van de opgegeven IP-adresbereiken verbinding maken met de cache. Verbinding maken van Azure Cache voor Redis bewakingssystemen zijn altijd toegestaan, zelfs als firewallregels zijn geconfigureerd. NSG-regels die u definieert, zijn ook toegestaan.

Beperkingen van firewallregels

• Firewallregels kunnen alleen worden toegepast op een privé-eindpuntcache als de openbare netwerktoegang is ingeschakeld. Als openbare netwerktoegang is ingeschakeld in de privé-eindpuntcache zonder firewallregels, accepteert de cache al het openbare netwerkverkeer.
• De configuratie van firewallregels is beschikbaar voor alle Basic-, Standard- en Premium-lagen.
• Configuratie van firewallregels is niet beschikbaar voor Enterprise- of Enterprise Flash-lagen.

Volgende stappen

• Meer informatie over het configureren van een in VNet geïnjecteerde cache voor een Premium Azure Cache voor Redis-exemplaar.
• Meer informatie over het configureren van firewallregels voor alle Azure Cache voor Redis lagen.
• Meer informatie over het configureren van privé-eindpunten voor alle Azure Cache voor Redis lagen.