Partilhar via

Opções de isolamento de rede da Cache do Azure para Redis

  • Artigo

Neste artigo, você aprenderá a determinar a melhor solução de isolamento de rede para suas necessidades. Discutimos os conceitos básicos do Azure Private Link (recomendado), da injeção da Rede Virtual do Azure (VNet) e das Regras de Firewall. Discutimos as suas vantagens e limitações.

O Azure Private Link fornece conectividade privada a partir de uma rede virtual para os serviços do Azure PaaS. O Private Link simplifica a arquitetura de rede e protege a conexão entre pontos de extremidade no Azure. O Private Link também protege a conexão, eliminando a exposição de dados à internet pública.

  • Link privado com suporte em todas as camadas - camadas Basic, Standard, Premium, Enterprise e Enterprise Flash - do Cache do Azure para instâncias Redis.

  • Usando o Azure Private Link, você pode se conectar a uma instância de Cache do Azure de sua rede virtual por meio de um ponto de extremidade privado. O ponto de extremidade recebe um endereço IP privado em uma sub-rede dentro da rede virtual. Com esse link privado, as instâncias de cache estão disponíveis na VNet e publicamente.

    Importante

    Os caches Enterprise/Enterprise Flash com link privado não podem ser acessados publicamente.

  • Depois que um ponto de extremidade privado é criado em caches de nível Basic/Standard/Premium, o acesso à rede pública pode ser restrito por meio do publicNetworkAccess sinalizador. Esse sinalizador é definido como Disabled por padrão, que só permite acesso ao link privado. Você pode definir o valor para Enabled ou Disabled com uma solicitação PATCH. Para obter mais informações, consulte Cache do Azure para Redis com o Azure Private Link.

    Importante

    A camada Enterprise/Enterprise Flash não suporta publicNetworkAccess sinalizador.

  • Quaisquer dependências de cache externo não afetam as regras NSG da VNet.

  • Há suporte para a persistência de contas de armazenamento protegidas com regras de firewall na camada Premium ao usar a identidade gerenciada para se conectar à conta de armazenamento, veja mais Importar e exportar dados no Cache Redis do Azure

  • Atualmente, o console do portal não é suportado para caches com link privado.

Nota

Ao adicionar um ponto de extremidade privado a uma instância de cache, todo o tráfego Redis é movido para o ponto de extremidade privado devido ao DNS. Verifique se as regras de firewall anteriores foram ajustadas antes.

Injeção de Rede Virtual do Azure

A Rede Virtual (VNet) é o bloco de construção fundamental para a sua rede privada no Azure. A VNet permite que muitos recursos do Azure se comuniquem com segurança entre si, com a Internet e com redes locais. A VNet é como uma rede tradicional que você operaria em seu próprio data center. No entanto, a VNet também tem os benefícios da infraestrutura, escala, disponibilidade e isolamento do Azure.

Vantagens da injeção de VNet

  • Quando uma instância do Cache do Azure para Redis é configurada com uma VNet, ela não é endereçável publicamente. Ele só pode ser acessado de máquinas virtuais e aplicativos dentro da VNet.
  • Quando a VNet é combinada com políticas NSG restritas, ajuda a reduzir o risco de exfiltração de dados.
  • A implantação de VNet fornece segurança e isolamento aprimorados para seu Cache do Azure para Redis. Sub-redes, políticas de controle de acesso e outros recursos restringem ainda mais o acesso.
  • A replicação geográfica é suportada.

Limitações da injeção de VNet

  • Criar e manter configurações de rede virtual pode ser propenso a erros. A solução de problemas é um desafio. Configurações de rede virtual incorretas podem levar a vários problemas:
    • transmissão de métricas obstruída de suas instâncias de cache,
    • falha do nó de réplica para replicar dados do nó primário,
    • potencial perda de dados,
    • falha das operações de gestão, como o dimensionamento,
    • e, nos cenários mais graves, perda de disponibilidade.
  • Os caches injetados de VNet só estão disponíveis para instâncias do Cache do Azure para Redis de camada Premium.
  • Ao usar um cache injetado de VNet, você deve alterar sua VNet para dependências de cache, como CRLs/PKI, AKV, Armazenamento do Azure, Azure Monitor e muito mais.
  • Não é possível injetar uma instância existente do Cache do Azure para Redis em uma Rede Virtual. Você só pode selecionar essa opção quando criar o cache.

Regras da firewall

O Cache do Azure para Redis permite configurar regras de Firewall para especificar o endereço IP que você deseja permitir que se conecte à sua instância do Cache do Azure para Redis.

Vantagens das regras de firewall

  • Quando as regras de firewall são configuradas, somente as conexões de cliente dos intervalos de endereços IP especificados podem se conectar ao cache. As conexões do Cache do Azure para sistemas de monitoramento Redis são sempre permitidas, mesmo que as regras de firewall estejam configuradas. As regras do NSG que você define também são permitidas.

Limitações das regras de firewall

  • As regras de firewall só podem ser aplicadas a um cache de ponto de extremidade privado se o acesso à rede pública estiver habilitado. Se o acesso à rede pública estiver habilitado no cache de ponto de extremidade privado sem regras de firewall configuradas, o cache aceitará todo o tráfego da rede pública.
  • A configuração das regras de firewall está disponível para todas as camadas Basic, Standard e Premium.
  • A configuração de regras de firewall não está disponível para as camadas Enterprise nem Enterprise Flash.

Próximos passos