Opcje izolacji sieci usługi Azure Cache for Redis

  • Artykuł

Z tego artykułu dowiesz się, jak określić najlepsze rozwiązanie izolacji sieci dla Twoich potrzeb. Omówimy podstawy usługi Azure Private Link (zalecane), iniekcję usługi Azure Virtual Network (sieć wirtualna) i reguły zapory. Omawiamy ich zalety i ograniczenia.

Usługa Azure Private Link zapewnia prywatną łączność z sieci wirtualnej z usługami PaaS platformy Azure. Usługa Private Link upraszcza architekturę sieci i zabezpiecza połączenie między punktami końcowymi na platformie Azure. Usługa Private Link zabezpiecza również połączenie, eliminując narażenie danych na publiczny Internet.

  • Usługa Private Link obsługiwana we wszystkich warstwach — podstawowa, Standardowa, Premium, Enterprise i Enterprise Flash — wystąpienia usługi Azure Cache for Redis.

  • Za pomocą usługi Azure Private Link możesz nawiązać połączenie z wystąpieniem usługi Azure Cache z sieci wirtualnej za pośrednictwem prywatnego punktu końcowego. Punkt końcowy ma przypisany prywatny adres IP w podsieci w sieci wirtualnej. Dzięki temu linkowi prywatne wystąpienia pamięci podręcznej są dostępne zarówno w sieci wirtualnej, jak i publicznie.

    Ważne

    Nie można publicznie uzyskać dostępu do pamięci podręcznych Flash przedsiębiorstwa/przedsiębiorstwa z linkiem prywatnym.

  • Po utworzeniu prywatnego punktu końcowego w pamięciach podręcznych w warstwie Podstawowa/Standardowa/Premium dostęp do sieci publicznej można ograniczyć za pomocą flagi publicNetworkAccess . Ta flaga jest domyślnie ustawiona na Disabled wartość , która zezwala tylko na dostęp za pomocą łącza prywatnego. Możesz ustawić wartość na Enabled lub Disabled za pomocą żądania PATCH. Aby uzyskać więcej informacji, zobacz Azure Cache for Redis with Azure Private Link (Usługa Azure Cache for Redis z usługą Azure Private Link).

    Ważne

    Warstwa Flash przedsiębiorstwa/przedsiębiorstwa nie obsługuje publicNetworkAccess flagi.

  • Żadne zależności zewnętrznej pamięci podręcznej nie mają wpływu na reguły sieciowej grupy zabezpieczeń sieci wirtualnej.

  • Utrwalanie wszystkich kont magazynu chronionych za pomocą reguł zapory jest obsługiwane w warstwie Premium w przypadku używania tożsamości zarządzanej do nawiązywania połączenia z kontem magazynu, zobacz więcej importowania i eksportowania danych w usłudze Azure Cache for Redis

  • Obecnie konsola portalu nie jest obsługiwana w przypadku pamięci podręcznych z linkiem prywatnym.

Uwaga

Podczas dodawania prywatnego punktu końcowego do wystąpienia pamięci podręcznej cały ruch usługi Redis jest przenoszony do prywatnego punktu końcowego z powodu systemu DNS. Upewnij się, że poprzednie reguły zapory zostały wcześniej dostosowane.

Wstrzykiwanie sieci wirtualnej platformy Azure

Sieć wirtualna to podstawowy blok konstrukcyjny dla sieci prywatnej na platformie Azure. Sieć wirtualna umożliwia wielu zasobom platformy Azure bezpieczne komunikowanie się ze sobą, Internetem i sieciami lokalnymi. Sieć wirtualna jest jak tradycyjna sieć, która będzie działać we własnym centrum danych. Jednak sieć wirtualna ma również zalety infrastruktury platformy Azure, skalowania, dostępności i izolacji.

Zalety iniekcji sieci wirtualnej

  • Gdy wystąpienie usługi Azure Cache for Redis jest skonfigurowane z siecią wirtualną, nie jest ono publicznie adresowane. Dostęp do niego można uzyskać tylko z maszyn wirtualnych i aplikacji w sieci wirtualnej.
  • Gdy sieć wirtualna jest połączona z ograniczonymi zasadami sieciowej grupy zabezpieczeń, pomaga zmniejszyć ryzyko eksfiltracji danych.
  • Wdrożenie sieci wirtualnej zapewnia zwiększone zabezpieczenia i izolację dla usługi Azure Cache for Redis. Podsieci, zasady kontroli dostępu i inne funkcje jeszcze bardziej ograniczają dostęp.
  • Replikacja geograficzna jest obsługiwana.

Ograniczenia iniekcji sieci wirtualnej

  • Tworzenie i utrzymywanie konfiguracji sieci wirtualnej może być podatne na błędy. Rozwiązywanie problemów jest trudne. Nieprawidłowe konfiguracje sieci wirtualnej mogą prowadzić do różnych problemów:
    • utrudnianie transmisji metryk z wystąpień pamięci podręcznej,
    • błąd węzła repliki w celu replikowania danych z węzła podstawowego,
    • potencjalna utrata danych,
    • niepowodzenie operacji zarządzania, takich jak skalowanie,
    • i w najbardziej poważnych scenariuszach utrata dostępności.
  • Wprowadzone w sieci wirtualnej pamięci podręczne są dostępne tylko dla wystąpień usługi Azure Cache for Redis w warstwie Premium.
  • W przypadku korzystania z wprowadzonej pamięci podręcznej sieci wirtualnej należy zmienić sieć wirtualną na zależności pamięci podręcznej, takie jak listy CRL/PKI, AKV, Azure Storage, Azure Monitor i inne.
  • Nie można wstrzyknąć istniejącego wystąpienia usługi Azure Cache for Redis do sieci wirtualnej. Tę opcję można wybrać tylko podczas tworzenia pamięci podręcznej.

Reguły zapory

Usługa Azure Cache for Redis umożliwia konfigurowanie reguł zapory na potrzeby określania adresu IP, który chcesz zezwolić na łączenie się z wystąpieniem usługi Azure Cache for Redis.

Zalety reguł zapory

  • Po skonfigurowaniu reguł zapory tylko połączenia klientów z określonych zakresów adresów IP mogą łączyć się z pamięcią podręczną. Połączenie z systemów monitorowania usługi Azure Cache for Redis są zawsze dozwolone, nawet jeśli są skonfigurowane reguły zapory. Zdefiniowane reguły sieciowej grupy zabezpieczeń są również dozwolone.

Ograniczenia reguł zapory

  • Reguły zapory można stosować do prywatnej pamięci podręcznej punktu końcowego tylko wtedy, gdy jest włączony dostęp do sieci publicznej. Jeśli dostęp do sieci publicznej jest włączony w prywatnej pamięci podręcznej punktu końcowego bez skonfigurowanych reguł zapory, pamięć podręczna akceptuje cały ruch sieciowy publiczny.
  • Konfiguracja reguł zapory jest dostępna dla wszystkich warstw Podstawowa, Standardowa i Premium.
  • Konfiguracja reguł zapory nie jest dostępna dla warstw Enterprise ani Flash w przedsiębiorstwie.

Następne kroki