O que é o Cache do Azure para Redis com o Link Privado do Azure?
Neste artigo, você aprenderá a criar uma rede virtual e uma instância do Cache do Azure para Redis com um ponto de extremidade privado usando o portal do Azure. Você também aprenderá a adicionar um ponto de extremidade privado a uma instância do Cache do Azure para Redis.
Um Ponto de Extremidade Privado do Azure é um adaptador de rede que conecta você de maneira privada e segura ao Cache do Azure para Redis com tecnologia do Link Privado do Azure.
Você pode restringir o acesso público ao ponto de extremidade privado do cache desabilitando o sinalizador PublicNetworkAccess.
Importante
Há um sinalizador publicNetworkAccess que é Disabled por padrão.
Você pode definir o valor como Disabled ou Enabled. Quando definido como habilitado, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele só permitirá o acesso de ponto de extremidade privado. Nem a camada Enterprise nem Enterprise Flash dão suporte ao sinalizador publicNetworkAccess. Para obter mais informações sobre como alterar o valor, confira as Perguntas frequentes.
Importante
Há suporte para ponto de extremidade privado nas camadas de cache Basic, Standard, Premium e Enterprise. Recomendamos o uso de pontos de extremidade privados, ao invés de VNets. Os pontos de extremidade privados são fáceis de configurar ou remover, têm suporte em todas as camadas e podem conectar o cache a várias VNets diferentes ao mesmo tempo.
Ao usar a camada Básica, você poderá sofrer perda de dados ao excluir e recriar um ponto de extremidade privado.
Escopo de disponibilidade
| Camada | Básico, Standard e Premium | Enterprise, Enterprise Flash |
|---|---|---|
| Disponível | Sim | Sim |
Pré-requisitos
- Assinatura do Azure - criar uma gratuitamente
Importante
Atualmente, não há suporte para o console do Redis baseado em portal com o link privado.
Importante
Ao usar o link privado, você não pode exportar ou importar dados para uma conta de armazenamento cujo firewall esteja habilitado, a menos que você esteja usando um cache de nível Premium com identidade gerenciada para se autenticar na conta de armazenamento. Para obter mais informações, confira O que devo fazer se o firewall estiver habilitado na minha conta de armazenamento?
Criar um ponto de extremidade privado com uma nova instância do Cache do Azure para Redis
Nesta seção, você criará uma nova instância do Cache do Azure para Redis com um ponto de extremidade privado.
Criar uma rede virtual para o novo cache
Entre no portal do Azure e selecione Criar um recurso.
Na página Novo, selecione Rede e, depois, Rede virtual.
Selecione Adicionar para criar uma rede virtual.
Em Criar rede virtual, insira ou selecione estas informações na guia Básico:
Configuração Valor sugerido Descrição Assinatura Clique na lista suspensa e selecione sua assinatura. A assinatura na qual a rede virtual será criada. Grupo de recursos Clique na lista suspensa e selecione um grupo de recursos ou selecione Criar e insira um novo nome de grupo de recursos. O nome do grupo de recursos no qual a rede virtual e outros recursos serão criados. Ao colocar todos os seus recursos de aplicativos em um só grupo de recursos, você pode gerenciá-los ou excluí-los juntos com facilidade. Nome Insira um nome para a rede virtual. O nome deve: começar com uma letra ou um número; terminar com uma letra, um número ou um sublinhado; e conter apenas letras, números, sublinhados, pontos ou hifens. Região Clique na lista suspensa e selecione uma região. Selecione uma região perto de outros serviços que usarão a rede virtual. Selecione a guia Endereços IP ou selecione o botão Avançar: Endereços IP na parte inferior da página.
Na guia Endereços IP, especifique o Espaço de endereço IPv4 como um ou mais prefixos de endereço na notação CIDR (por exemplo, 192.168.1.0/24).
Em Nome da sub-rede, selecione padrão para editar as propriedades da sub-rede.
No painel Editar sub-rede, especifique um Nome de sub-rede, bem como o Intervalo de endereços de sub-rede. O intervalo de endereços da sub-rede deve estar na notação CIDR (por exemplo, 192.168.1.0/24). Ele deve estar contido no espaço de endereço da rede virtual.
Selecione Salvar.
Selecione a guia Revisar + criar ou o botão Revisar + criar.
Verifique se todas as informações estão corretas e selecione Criar para criar a rede virtual.
Criar uma instância do Cache do Azure para Redis com um ponto de extremidade privado
Para criar uma instância de cache, siga estas etapas:
Volte para a home page do portal do Azure ou abra o menu da barra lateral e, depois, selecione Criar um recurso.
Na página Novo, selecione Bancos de dados e, em seguida, Cache do Azure para Redis.
Na página Novo Cache Redis, defina as configurações para o novo cache.
Configuração Valor sugerido DESCRIÇÃO Nome DNS Insira um nome global exclusivo. O nome do cache deve ser uma cadeia de caracteres entre 1 e 63 caracteres. A cadeia de caracteres deve conter apenas números, letras ou hifens. O nome precisa começar e terminar com um número ou uma letra e não pode conter hifens consecutivos. O nome do host da instância de cache será <nome DNS>.redis.cache.windows.net. Assinatura Clique na lista suspensa e selecione sua assinatura. A assinatura na qual essa nova instância do Cache do Azure para Redis será criada. Grupo de recursos Clique na lista suspensa e selecione um grupo de recursos ou selecione Criar e insira um novo nome de grupo de recursos. Nome do grupo de recursos no qual o cache e outros recursos serão criados. Ao colocar todos os seus recursos de aplicativos em um só grupo de recursos, você pode gerenciá-los ou excluí-los juntos com facilidade. Localidade Clique na lista suspensa e selecione uma localização. Selecione uma região perto de outros serviços que usam o seu cache. Tipo de preços Clique na lista suspensa e selecione um Tipo de preço. O tipo de preço determina o tamanho, o desempenho e os recursos disponíveis para o cache. Para obter mais informações, confira Visão geral do Cache do Azure para Redis. Selecione a guia Rede ou o botão Rede na parte inferior da página.
Na guia Rede, selecione Ponto de Extremidade Privado como o método de conectividade.
Clique no botão Adicionar para criar um ponto de extremidade privado.
Na página Criar um ponto de extremidade privado, defina as configurações para seu ponto de extremidade privado com a rede virtual e a sub-rede que você criou na última seção e selecione OK.
Selecione a guia Próximo: Avançado ou o botão Próximo: Avançado na parte inferior da página.
Na guia Avançado de uma instância de cache Básico ou Standard, selecione a alternância Habilitar se desejar habilitar uma porta não TLS.
Na guia Avançado de uma instância de cache Premium, defina as configurações da porta não TLS, do clustering e da persistência de dados.
Selecione a guia Próximo: Marcas ou o botão Próximo: Marcas na parte inferior da página.
Opcionalmente, na guia Marcas, insira o nome e o valor caso deseje categorizar o recurso.
Selecione Examinar + criar. Você será levado para a guia Examinar + criar, na qual o Azure valida sua configuração.
Depois que a mensagem em verde Validação aprovada for exibida, selecione Criar.
A criação do cache demora um pouco. Monitore o progresso na página Visão Geral do Cache do Azure para Redis. Quando o Status for mostrado como Em execução, o cache estará pronto para uso.
Importante
Há um sinalizador publicNetworkAccess que é Disabled por padrão.
Você pode definir o valor como Disabled ou Enabled. Quando definido como Enabled, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele só permitirá o acesso de ponto de extremidade privado. Para obter mais informações sobre como alterar o valor, confira as Perguntas frequentes.
Criar um ponto de extremidade privado com uma instância existente do Cache do Azure para Redis
Nesta seção, você adicionará um ponto de extremidade privado a uma instância existente do Cache do Azure para Redis.
Criar uma rede virtual para o cache existente
Para criar uma rede virtual, siga estas etapas:
Entre no portal do Azure e selecione Criar um recurso.
Na página Novo, selecione Rede e, depois, Rede virtual.
Selecione Adicionar para criar uma rede virtual.
Em Criar rede virtual, insira ou selecione estas informações na guia Básico:
Configuração Valor sugerido Descrição Assinatura Clique na lista suspensa e selecione sua assinatura. A assinatura na qual a rede virtual será criada. Grupo de recursos Clique na lista suspensa e selecione um grupo de recursos ou selecione Criar e insira um novo nome de grupo de recursos. O nome do grupo de recursos no qual a rede virtual e outros recursos serão criados. Ao colocar todos os seus recursos de aplicativos em um só grupo de recursos, você pode gerenciá-los ou excluí-los juntos com facilidade. Nome Insira um nome para a rede virtual. O nome deve: começar com uma letra ou um número; terminar com uma letra, um número ou um sublinhado; e conter apenas letras, números, sublinhados, pontos ou hifens. Região Clique na lista suspensa e selecione uma região. Selecione uma região perto de outros serviços que usarão a rede virtual. Selecione a guia Endereços IP ou selecione o botão Avançar: Endereços IP na parte inferior da página.
Na guia Endereços IP, especifique o Espaço de endereço IPv4 como um ou mais prefixos de endereço na notação CIDR (por exemplo, 192.168.1.0/24).
Em Nome da sub-rede, selecione padrão para editar as propriedades da sub-rede.
No painel Editar sub-rede, especifique um Nome de sub-rede, bem como o Intervalo de endereços de sub-rede. O intervalo de endereços da sub-rede deve estar na notação CIDR (por exemplo, 192.168.1.0/24). Ele deve estar contido no espaço de endereço da rede virtual.
Selecione Salvar.
Selecione a guia Revisar + criar ou o botão Revisar + criar.
Verifique se todas as informações estão corretas e selecione Criar para criar a rede virtual.
Criar um ponto de extremidade privado
Para criar um ponto de extremidade privado, siga estas etapas:
Na portal do Azure, pesquise por Cache do Azure para Redis. Em seguida, pressione Enter ou selecione-o nas sugestões de pesquisa.
Selecione a instância de cache à qual você deseja adicionar um ponto de extremidade privado.
No lado esquerdo da tela, selecione Ponto de Extremidade Privado.
Clique no botão Ponto de Extremidade Privado para criar seu ponto de extremidade privado.
Na página Criar um ponto de extremidade privado, defina as configurações para seu ponto de extremidade privado.
Configuração Valor sugerido Descrição Assinatura Clique na lista suspensa e selecione sua assinatura. A assinatura na qual o ponto de extremidade privado será criado. Grupo de recursos Clique na lista suspensa e selecione um grupo de recursos ou selecione Criar e insira um novo nome de grupo de recursos. O nome do grupo de recursos no qual o ponto de extremidade privado e outros recursos serão criados. Ao colocar todos os seus recursos de aplicativos em um só grupo de recursos, você pode gerenciá-los ou excluí-los juntos com facilidade. Nome Insira um nome para o ponto de extremidade privado. O nome deve: começar com uma letra ou um número; terminar com uma letra, um número ou um sublinhado; e pode conter apenas letras, números, sublinhados, pontos ou hifens. Região Clique na lista suspensa e selecione uma região. Selecione uma região perto de outros serviços que usam o ponto de extremidade privado. Clique no botão Próximo: Recurso na parte inferior da página.
Na guia Recurso, selecione sua assinatura, escolha o tipo de recurso como
Microsoft.Cache/Redise, depois, selecione o cache ao qual você deseja conectar o ponto de extremidade privado.Agora, selecione o botão Próximo: Configuração na parte inferior da página.
Selecione o botão Avançar: Rede Virtual na parte inferior da página.
Na guia Configuração, selecione a rede virtual e a sub-rede que você criou na seção anterior.
Na guia Rede Virtual, selecione a rede virtual e a sub-rede que você criou na seção anterior.
Selecione o botão Avançar: Marcas na parte inferior da página.
Opcionalmente, na guia Marcas, insira o nome e o valor caso deseje categorizar o recurso.
Selecione Examinar + criar. Você será levado para a guia Examinar + criar, na qual o Azure valida sua configuração.
Depois que a mensagem em verde Validação aprovada for exibida, selecione Criar.
Importante
Há um sinalizador publicNetworkAccess que é Disabled por padrão.
Você pode definir o valor como Disabled ou Enabled. Quando definido como habilitado, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele só permitirá o acesso de ponto de extremidade privado. Para obter mais informações sobre como alterar o valor, confira as Perguntas frequentes.
Criar um ponto de extremidade privado usando o Azure PowerShell
Para criar um ponto de extremidade privado chamado de MyPrivateEndpoint para uma instância do Cache do Azure para Redis existente, execute o script do PowerShell a seguir. Substitua os valores de variável pelos detalhes do seu ambiente:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Cache for Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Cache for Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Recuperar um ponto de extremidade privado usando o Azure PowerShell
Para obter os detalhes de um ponto de extremidade privado, use este comando do PowerShell:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Remover um ponto de extremidade privado usando o Azure PowerShell
Para remover um ponto de extremidade privado, use o seguinte comando do PowerShell:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Criar um ponto de extremidade privado usando a CLI do Azure
Para criar um ponto de extremidade privado chamado de myPrivateEndpoint para uma instância do Cache do Azure para Redis existente, execute o script da CLI do Azure a seguir. Substitua os valores de variável pelos detalhes do seu ambiente:
# Resource group where the Azure Cache for Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Cache for Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Cache for Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/Redis/$redisCacheName" \
--group-ids "redisCache" \
--connection-name $PrivateConnectionName
Recuperar um ponto de extremidade privado usando a CLI do Azure
Para obter os detalhes de um ponto de extremidade privado, use o seguinte comando da CLI:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Remover um ponto de extremidade privado usando a CLI do Azure
Para remover um ponto de extremidade privado, use o seguinte comando da CLI:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Perguntas frequentes
- Como fazer para me conectar ao meu cache com o ponto de extremidade privado?
- Por que não consigo me conectar a um ponto de extremidade privado?
- Quais recursos não têm suporte com pontos de extremidade privados?
- Como fazer para verificar se meu ponto de extremidade privado está configurado corretamente?
- Como posso alterar meu ponto de extremidade privado para ser desabilitado ou habilitado usando acesso à rede pública?
- Como posso migrar o cache inserido por VNet para um cache de Link Privado?
- Como posso ter vários pontos de extremidade em redes virtuais diferentes?
- O que acontecerá se eu excluir todos os pontos de extremidade privados em meu cache?
- Os NSG (grupos de segurança de rede) estão habilitados para pontos de extremidade privados?
- Minha instância do ponto de extremidade privado não está em minha VNet, então como ela está associada à minha VNet?
Como fazer para me conectar ao meu cache com o ponto de extremidade privado?
Para caches nas camadas Básico, Standard e Premium, seu aplicativo deve se conectar a <cachename>.redis.cache.windows.net na porta 6380. Uma zona DNS privada, chamada *.privatelink.redis.cache.windows.net, é criada automaticamente na sua assinatura. A zona DNS privada é essencial para estabelecer a conexão TLS com o ponto de extremidade privado. Recomendamos evitar o uso de <cachename>.privatelink.redis.cache.windows.net na configuração ou na cadeia de conexão.
Para caches da camada Enterprise e Enterprise Flash, o seu aplicativo deve se conectar a <cachename>.<region>.redisenterprise.cache.azure.net na porta 10000.
Para obter mais informações, confira Configuração de zona DNS dos serviços do Azure.
Por que não consigo me conectar a um ponto de extremidade privado?
Os pontos de extremidade privados não poderão ser usados com sua instância de cache se o cache já for um cache injetado por VNet.
Para caches de camadas Básico, Standard e Premium, o limite é de 100 links privados.
Em caches de camada Premium usando clustering, o limite é de um link privado.
Os caches da camada Enterprise e Enterprise Flash têm um limite de 84 links privados.
Você tenta persistir os dados na conta de armazenamento, na qual as regras de firewall que estão aplicadas podem impedir você de criar o Link Privado.
Talvez você não se conecte ao ponto de extremidade privado se a instância de cache estiver usando um recurso sem suporte.
Quais recursos não têm suporte com pontos de extremidade privados?
Tentar se conectar do console do portal do Azure é um cenário sem suporte no qual você verá uma falha de conexão.
Links privados não podem ser adicionados a caches que já estejam usando replicação geográfica passiva na camada Premium. Para adicionar um link privado a um cache replicado geograficamente: 1. Desvincule a replicação geográfica. 2. Adicione um Link Privado. 3. Por fim, vincule novamente a replicação geográfica. (Os caches de camada empresarial usando a replicação geográfica ativa não têm essa restrição).
Como fazer para verificar se meu ponto de extremidade privado está configurado corretamente?
Acesse Visão geral no menu Recursos do portal. Você verá o Nome do host do cache no painel de trabalho. Execute um comando como nslookup <hostname> na VNet que está vinculada ao ponto de extremidade privado para verificar se o comando é resolvido para o endereço IP privado do cache.
Como posso alterar meu ponto de extremidade privado para ser desabilitado ou habilitado usando acesso à rede pública?
Há um sinalizador publicNetworkAccess que é Disabled por padrão.
Quando definido como Enabled, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele só permitirá o acesso de ponto de extremidade privado. Você pode definir o valor como Disabled ou Enabled no portal do Azure ou com uma solicitação PATCH da API RESTful.
Para alterar o valor com o portal do Azure, siga estas etapas:
Na portal do Azure, pesquise por Cache do Azure para Redis. Em seguida, pressione Enter ou selecione-o nas sugestões de pesquisa.
Selecione a instância de cache na qual você deseja alterar o valor de acesso à rede pública.
No lado esquerdo da tela, selecione Ponto de Extremidade Privado.
Selecione o botão Habilitar acesso à rede pública.
Você também pode alterar o valor por meio de uma solicitação PATCH da API RESTful. Por exemplo, use o código a seguir para um cache de camada Básico, Standard ou Premium e edite o valor para refletir o sinalizador desejado para o cache.
PATCH https://management.azure.com/subscriptions/{subscription}/resourceGroups/{resourcegroup}/providers/Microsoft.Cache/Redis/{cache}?api-version=2020-06-01
{ "properties": {
"publicNetworkAccess":"Disabled"
}
}
Para obter mais informações, confira Redis – Update.
Como posso migrar o cache inserido por VNet para um cache de Link Privado?
Consulte nosso guia de migração para ver diferentes abordagens sobre como migrar os caches injetados da VNet para os caches do Link Privado.
Como posso ter vários pontos de extremidade em redes virtuais diferentes?
Para ter vários pontos de extremidade privados em redes virtuais diferentes, a zona DNS privada deve ser configurada manualmente para várias redes virtuais antes de criar o ponto de extremidade privado. Para obter mais informações, confira Configuração de DNS do ponto de extremidade privado do Azure.
O que acontecerá se eu excluir todos os pontos de extremidade privados em meu cache?
Depois de excluir os pontos de extremidade privados em seu cache, a instância de cache poderá ficar inacessível até que você: habilite explicitamente o acesso à rede pública ou adicione outro ponto de extremidade privado. Você pode alterar o sinalizador publicNetworkAccess no portal do Azure ou por meio de uma solicitação PATCH da API RESTful. Para obter mais informações sobre como alterar o valor, confira as Perguntas frequentes
Os NSG (grupos de segurança de rede) estão habilitados para pontos de extremidade privados?
Não, eles estão desabilitados para pontos de extremidade privados. Embora as sub-redes que contenham o ponto de extremidade privado possam ter o NSG associado a elas, as regras não entrarão em vigor no tráfego processado pelo ponto de extremidade privado. Você deve desabilitar a imposição de políticas de rede para implantar pontos de extremidade privados em uma sub-rede. O NSG ainda é aplicado em outras cargas de trabalho hospedadas na mesma sub-rede. As rotas em qualquer sub-rede do cliente usarão um prefixo /32. Alterar o comportamento de roteamento padrão requer um UDR semelhante.
Controle o tráfego usando as regras de NSG para o tráfego de saída nos clientes de origem. Implante rotas individuais com o prefixo /32 para substituir as rotas de ponto de extremidade privado. Os logs de fluxo e as informações de monitoramento do NSG para conexões de saída ainda são compatíveis e podem ser usados.
Minha instância do ponto de extremidade privado não está em minha VNet, então como ela está associada à minha VNet?
Ela só está vinculada à sua VNet. Como não está em sua VNet, as regras de NSG não precisam ser modificadas para pontos de extremidade dependentes.
Conteúdo relacionado
- Para saber mais sobre o Link Privado do Azure, confira a Documentação do Link Privado do Azure.
- Para comparar várias opções de isolamento de rede para o cache, confira a documentação de opções de isolamento de rede do Cache do Azure para Redis.