O que é o Cache Redis do Azure com o Azure Private Link?
Neste artigo, você aprenderá a criar uma rede virtual e uma instância do Cache do Azure para Redis com um ponto de extremidade privado usando o portal do Azure. Você também aprenderá como adicionar um ponto de extremidade privado a uma instância existente do Cache do Azure para Redis.
O Ponto Final Privado do Azure é uma interface de rede que o liga de forma privada e segura à Cache do Azure para Redis com tecnologia Azure Private Link.
Você pode restringir o acesso público ao ponto de extremidade privado do cache desativando o PublicNetworkAccess sinalizador.
Importante
Há um publicNetworkAccess sinalizador que é Disabled por padrão.
Você pode definir o valor como Disabled ou Enabled. Quando definido como habilitado, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele permite apenas acesso privado ao ponto final. Nem a camada Enterprise nem a camada Enterprise Flash suportam o publicNetworkAccess sinalizador. Para obter mais informações sobre como alterar o valor, consulte as Perguntas frequentes.
Importante
O ponto de extremidade privado é suportado nas camadas de cache Basic, Standard, Premium e Enterprise. Recomendamos o uso de ponto de extremidade privado em vez de redes virtuais. Os pontos de extremidade privados são fáceis de configurar ou remover, são suportados em todos os níveis e podem conectar seu cache a várias VNets diferentes de uma só vez.
Ao usar a camada Básica, você pode enfrentar perda de dados ao excluir e recriar um ponto de extremidade privado.
Âmbito da disponibilidade
| Escalão de serviço | Básico, Standard e Premium | Empresa, Enterprise Flash |
|---|---|---|
| Disponível | Sim | Sim |
Pré-requisitos
- Subscrição do Azure - crie uma gratuitamente
Importante
Atualmente, o console redis baseado em portal não é suportado com link privado.
Importante
Ao usar o link privado, você não pode exportar ou importar dados para uma conta de armazenamento que tenha o firewall habilitado, a menos que esteja usando um cache de camada Premium com identidade gerenciada para autenticar a conta de armazenamento. Para obter mais informações, consulte E se eu tiver o firewall ativado na minha conta de armazenamento?
Criar um ponto de extremidade privado com uma nova instância do Cache do Azure para Redis
Nesta seção, você cria uma nova instância do Cache do Azure para Redis com um ponto de extremidade privado.
Criar uma rede virtual para o novo cache
Entre no portal do Azure e selecione Criar um recurso.
Na página Novo, selecione Rede e, em seguida, selecione Rede virtual.
Selecione Adicionar para criar uma rede virtual.
Em Criar rede virtual, insira ou selecione essas informações na guia Noções básicas :
Definição Valor sugerido Description Subscrição Drop-down e selecione sua assinatura. A assinatura sob a qual criar essa rede virtual. Grupo de recursos Drop-down e selecione um grupo de recursos, ou selecione Criar novo e insira um novo nome de grupo de recursos. Nome para o grupo de recursos no qual criar sua rede virtual e outros recursos. Ao colocar todos os recursos do seu aplicativo em um grupo de recursos, você pode facilmente gerenciá-los ou excluí-los juntos. Nome Insira um nome de rede virtual. O nome deve: começar com uma letra ou número; terminar com uma letra, número ou sublinhado; e contêm apenas letras, números, sublinhados, pontos ou hífenes. Região Drop-down e selecione uma região. Selecione uma região perto de outros serviços que usam sua rede virtual. Selecione a guia Endereços IP ou selecione o botão Avançar: Endereços IP na parte inferior da página.
Na guia Endereços IP, especifique o espaço de endereço IPv4 como um ou mais prefixos de endereço na notação CIDR (por exemplo, 192.168.1.0/24).
Em Nome da sub-rede, selecione por padrão para editar as propriedades da sub-rede.
No painel Editar sub-rede, especifique um nome de sub-rede e o intervalo de endereços de sub-rede. O intervalo de endereços da sub-rede deve estar na notação CIDR (por exemplo, 192.168.1.0/24). Ele deve ser contido pelo espaço de endereço da rede virtual.
Selecione Guardar.
Selecione o separador Rever + criar ou selecione o botão Rever + criar .
Verifique se todas as informações estão corretas e selecione Criar para criar a rede virtual.
Criar uma instância do Cache do Azure para Redis com um ponto de extremidade privado
Para criar uma instância de cache, siga estas etapas:
Volte para a página inicial do portal do Azure ou abra o menu da barra lateral e selecione Criar um recurso.
Na página Novo, selecione Bancos de Dados e, em seguida, selecione Cache do Azure para Redis.
Na página Novo Cache Redis, defina as configurações para o novo cache.
Definição Valor sugerido Description Nome DNS Introduza um nome globalmente exclusivo. O nome do cache deve ser uma cadeia de caracteres entre 1 e 63 caracteres. A cadeia de caracteres deve conter apenas números, letras ou hífenes. O nome deve começar e terminar com um número ou letra e não pode conter hífenes consecutivos. O nome de host da instância de cache é <DNS name.redis.cache.windows.net>. Subscrição Drop-down e selecione sua assinatura. A assinatura sob a qual criar essa nova instância do Cache do Azure para Redis. Grupo de recursos Drop-down e selecione um grupo de recursos, ou selecione Criar novo e insira um novo nome de grupo de recursos. Nome do grupo de recursos no qual criar o cache e outros recursos. Ao colocar todos os recursos do seu aplicativo em um grupo de recursos, você pode facilmente gerenciá-los ou excluí-los juntos. Location Drop-down e selecione um local. Selecione uma região perto de outros serviços que usam seu cache. Escalão de preço Menu suspenso e selecione um Nível de preço. O escalão de preço determina o tamanho, o desempenho e as funcionalidades que estão disponíveis para a cache. Para obter mais informações, consulte Visão geral do Cache do Azure para Redis. Selecione a guia Rede ou selecione o botão Rede na parte inferior da página.
Na guia Rede, selecione Ponto de extremidade privado para o método de conectividade.
Selecione o botão Adicionar para criar seu ponto de extremidade privado.
Na página Criar um ponto de extremidade privado, defina as configurações para seu ponto de extremidade privado com a rede virtual e a sub-rede que você criou na última seção e selecione OK.
Selecione a guia Avançar: Avançado ou selecione o botão Avançar: Avançado na parte inferior da página.
Na guia Avançado para uma instância de cache básica ou padrão, selecione a opção habilitar se quiser habilitar uma porta não-TLS.
Na guia Avançado para instância de cache premium, defina as configurações para porta não-TLS, clustering e persistência de dados.
Selecione a guia Next: Tags ou selecione o botão Next: Tags na parte inferior da página.
Opcionalmente, na guia Marcas , insira o nome e o valor se desejar categorizar o recurso.
Selecione Rever + criar. Você é levado para a guia Revisão + criação, onde o Azure valida sua configuração.
Depois que a mensagem verde Validação passada for exibida, selecione Criar.
Demora um pouco para o cache ser criado. Você pode monitorar o progresso na página Visão geral do Cache do Azure para Redis. Quando Status é exibido como Em execução, o cache está pronto para uso.
Importante
Há um publicNetworkAccess sinalizador que é Disabled por padrão.
Você pode definir o valor como Disabled ou Enabled. Quando definido como Enabled, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele permite apenas acesso privado ao ponto final. Para obter mais informações sobre como alterar o valor, consulte as Perguntas frequentes.
Criar um ponto de extremidade privado com uma instância existente do Cache do Azure para Redis
Nesta seção, você adiciona um ponto de extremidade privado a uma instância existente do Cache do Azure para Redis.
Criar uma rede virtual para o cache existente
Para criar uma rede virtual, siga estes passos:
Entre no portal do Azure e selecione Criar um recurso.
Na página Novo, selecione Rede e, em seguida, selecione Rede virtual.
Selecione Adicionar para criar uma rede virtual.
Em Criar rede virtual, insira ou selecione essas informações na guia Noções básicas :
Definição Valor sugerido Description Subscrição Drop-down e selecione sua assinatura. A assinatura sob a qual criar essa rede virtual. Grupo de recursos Drop-down e selecione um grupo de recursos, ou selecione Criar novo e insira um novo nome de grupo de recursos. Nome para o grupo de recursos no qual criar sua rede virtual e outros recursos. Ao colocar todos os recursos do seu aplicativo em um grupo de recursos, você pode facilmente gerenciá-los ou excluí-los juntos. Nome Insira um nome de rede virtual. O nome deve: começar com uma letra ou número; terminar com uma letra, número ou sublinhado; e contêm apenas letras, números, sublinhados, pontos ou hífenes. Região Drop-down e selecione uma região. Selecione uma região perto de outros serviços que usam sua rede virtual. Selecione a guia Endereços IP ou selecione o botão Avançar: Endereços IP na parte inferior da página.
Na guia Endereços IP, especifique o espaço de endereço IPv4 como um ou mais prefixos de endereço na notação CIDR (por exemplo, 192.168.1.0/24).
Em Nome da sub-rede, selecione por padrão para editar as propriedades da sub-rede.
No painel Editar sub-rede, especifique um nome de sub-rede e o intervalo de endereços de sub-rede. O intervalo de endereços da sub-rede deve estar na notação CIDR (por exemplo, 192.168.1.0/24). Ele deve ser contido pelo espaço de endereço da rede virtual.
Selecione Guardar.
Selecione o separador Rever + criar ou selecione o botão Rever + criar .
Verifique se todas as informações estão corretas e selecione Criar para criar a rede virtual.
Criar um ponto final privado
Para criar um ponto de extremidade privado, siga estas etapas:
No portal do Azure, procure Cache do Azure para Redis. Em seguida, pressione enter ou selecione-o nas sugestões de pesquisa.
Selecione a instância de cache à qual deseja adicionar um ponto de extremidade privado.
No lado esquerdo da tela, selecione Ponto de extremidade privado.
Selecione o botão Ponto de extremidade privado para criar seu ponto de extremidade privado.
Na página Criar um ponto de extremidade privado, defina as configurações para seu ponto de extremidade privado.
Definição Valor sugerido Description Subscrição Drop-down e selecione sua assinatura. A assinatura sob a qual criar esse ponto de extremidade privado. Grupo de recursos Drop-down e selecione um grupo de recursos, ou selecione Criar novo e insira um novo nome de grupo de recursos. Nome para o grupo de recursos no qual criar seu ponto de extremidade privado e outros recursos. Ao colocar todos os recursos do seu aplicativo em um grupo de recursos, você pode facilmente gerenciá-los ou excluí-los juntos. Nome Insira um nome de ponto de extremidade privado. O nome deve: começar com uma letra ou número; terminar com uma letra, número ou sublinhado; e pode conter apenas letras, números, sublinhados, pontos ou hífenes. Região Drop-down e selecione uma região. Selecione uma região perto de outros serviços que usam seu ponto de extremidade privado. Selecione o botão Next: Resource na parte inferior da página.
No separador Recurso, selecione a sua subscrição, escolha o tipo de recurso como
Microsoft.Cache/Redise, em seguida, selecione a cache à qual pretende ligar o ponto de extremidade privado.Selecione o botão Next: Configuration na parte inferior da página.
Selecione o botão Next: Virtual Network na parte inferior da página.
Na guia Configuração, selecione a rede virtual e a sub-rede que você criou na seção anterior.
Na guia Rede Virtual, selecione a rede virtual e a sub-rede que você criou na seção anterior.
Selecione o botão Next: Tags na parte inferior da página.
Opcionalmente, na guia Marcas , insira o nome e o valor se desejar categorizar o recurso.
Selecione Rever + criar. Você é levado para a guia Revisão + criação, onde o Azure valida sua configuração.
Depois que a mensagem verde Validação passada for exibida, selecione Criar.
Importante
Há um publicNetworkAccess sinalizador que é Disabled por padrão.
Você pode definir o valor como Disabled ou Enabled. Quando definido como habilitado, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele permite apenas acesso privado ao ponto final. Para obter mais informações sobre como alterar o valor, consulte as Perguntas frequentes.
Criar um ponto de extremidade privado usando o Azure PowerShell
Para criar um ponto de extremidade privado chamado MyPrivateEndpoint para uma instância existente do Cache do Azure para Redis, execute o seguinte script do PowerShell. Substitua os valores das variáveis pelos detalhes do seu ambiente:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Cache for Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Cache for Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Recuperar um ponto de extremidade privado usando o Azure PowerShell
Para obter os detalhes de um ponto de extremidade privado, use este comando do PowerShell:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Remover um ponto de extremidade privado usando o Azure PowerShell
Para remover um ponto de extremidade privado, use o seguinte comando do PowerShell:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Criar um ponto final privado utilizando a CLI do Azure
Para criar um ponto de extremidade privado chamado myPrivateEndpoint para uma instância existente do Cache do Azure para Redis, execute o seguinte script da CLI do Azure. Substitua os valores das variáveis pelos detalhes do seu ambiente:
# Resource group where the Azure Cache for Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Cache for Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Cache for Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/Redis/$redisCacheName" \
--group-ids "redisCache" \
--connection-name $PrivateConnectionName
Recuperar um ponto de extremidade privado usando a CLI do Azure
Para obter os detalhes de um ponto de extremidade privado, use o seguinte comando da CLI:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Remover um ponto de extremidade privado usando a CLI do Azure
Para remover um ponto de extremidade privado, use o seguinte comando da CLI:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
FAQ
- Como faço para me conectar ao meu cache com o ponto de extremidade privado?
- Por que não consigo me conectar a um ponto de extremidade privado?
- Quais recursos não são suportados com pontos de extremidade privados?
- Como posso verificar se o meu ponto de extremidade privado está configurado corretamente?
- Como posso alterar o meu ponto de extremidade privado para ser desativado ou ativado a partir do acesso à rede pública?
- Como posso migrar meu cache injetado de VNet para um cache de Link Privado?
- Como posso ter vários endpoints em diferentes redes virtuais?
- O que acontece se eu excluir todos os pontos de extremidade privados no meu cache?
- Os grupos de segurança de rede (NSG) estão habilitados para pontos de extremidade privados?
- Minha instância de ponto de extremidade privada não está na minha VNet, então como ela está associada à minha VNet?
Como faço para me conectar ao meu cache com o ponto de extremidade privado?
Para caches de nível Basic, Standard e Premium, seu aplicativo deve se conectar à <cachename>.redis.cache.windows.net porta 6380. Uma zona DNS privada, denominada *.privatelink.redis.cache.windows.net, é criada automaticamente na sua subscrição. A zona DNS privada é vital para estabelecer a conexão TLS com o ponto de extremidade privado. Recomendamos evitar o uso de na configuração ou cadeia de <cachename>.privatelink.redis.cache.windows.net conexão.
Para caches de camadas Enterprise e Enterprise Flash , seu aplicativo deve se conectar à <cachename>.<region>.redisenterprise.cache.azure.net porta 10000.
Para obter mais informações, veja Configuração da zona DNS dos serviços do Azure.
Por que não consigo me conectar a um ponto de extremidade privado?
Os pontos de extremidade privados não podem ser usados com sua instância de cache se o cache já for um cache injetado de VNet.
Para caches de nível Basic, Standard e Premium, você está limitado a 100 links privados.
Em caches de nível Premium usando clustering, você está limitado a um link privado.
Os caches das camadas Enterprise e Enterprise Flash estão limitados a 84 links privados.
Você tenta manter os dados na conta de armazenamento onde as regras de firewall são aplicadas pode impedir que você crie o Link Privado.
Você pode não se conectar ao seu ponto de extremidade privado se sua instância de cache estiver usando um recurso sem suporte.
Quais recursos não são suportados com pontos de extremidade privados?
Tentar conectar-se a partir do console do portal do Azure é um cenário sem suporte em que você vê uma falha de conexão.
Não é possível adicionar links privados a caches que já estejam usando replicação geográfica passiva na camada Premium. Para adicionar um link privado a um cache replicado geograficamente: 1. Desvincule a replicação geográfica. 2. Adicione um link privado. 3. Por último, revincule a replicação geográfica. (Os caches de camada corporativa que usam replicação geográfica ativa não têm essa restrição.)
Como posso verificar se o meu ponto de extremidade privado está configurado corretamente?
Vá para Visão geral no menu Recursos do portal. Você vê o nome do host para seu cache no painel de trabalho. Execute um comando como nslookup <hostname> na VNet vinculada ao ponto de extremidade privado para verificar se o comando é resolvido para o endereço IP privado do cache.
Como posso alterar o meu ponto de extremidade privado para ser desativado ou ativado a partir do acesso à rede pública?
Há um publicNetworkAccess sinalizador que é Disabled por padrão.
Quando definido como Enabled, esse sinalizador permite o acesso de ponto de extremidade público e privado ao cache. Quando definido como Disabled, ele permite apenas acesso privado ao ponto final. Você pode definir o valor para Disabled ou Enabled no portal do Azure ou com uma solicitação PATCH de API RESTful.
Para alterar o valor no portal do Azure, siga estas etapas:
No portal do Azure, procure Cache do Azure para Redis. Em seguida, pressione enter ou selecione-o nas sugestões de pesquisa.
Selecione a instância de cache que você deseja alterar o valor de acesso à rede pública.
No lado esquerdo da tela, selecione Ponto de extremidade privado.
Selecione o botão Ativar acesso à rede pública.
Você também pode alterar o valor por meio de uma solicitação PATCH de API RESTful. Por exemplo, use o código a seguir para um cache de camada Basic, Standard ou Premium e edite o valor para refletir o sinalizador desejado para seu cache.
PATCH https://management.azure.com/subscriptions/{subscription}/resourceGroups/{resourcegroup}/providers/Microsoft.Cache/Redis/{cache}?api-version=2020-06-01
{ "properties": {
"publicNetworkAccess":"Disabled"
}
}
Para obter mais informações, consulte Redis - Update.
Como posso migrar meu cache injetado de VNet para um cache de Link Privado?
Consulte nosso guia de migração para obter diferentes abordagens sobre como migrar seus caches injetados de VNet para caches de Link Privado.
Como posso ter vários endpoints em diferentes redes virtuais?
Para ter vários pontos de extremidade privados em redes virtuais diferentes, a zona DNS privada deve ser configurada manualmente para as várias redes virtuais antes de criar o ponto de extremidade privado. Para obter mais informações, veja Configuração do DNS do Ponto Final Privado do Azure.
O que acontece se eu excluir todos os pontos de extremidade privados no meu cache?
Depois de excluir os pontos de extremidade privados no cache, sua instância de cache pode se tornar inacessível até: você habilitar explicitamente o acesso à rede pública ou adicionar outro ponto de extremidade privado. Você pode alterar o publicNetworkAccess sinalizador no portal do Azure ou por meio de uma solicitação PATCH de API RESTful. Para obter mais informações sobre como alterar o valor, consulte as Perguntas frequentes
Os grupos de segurança de rede (NSG) estão habilitados para pontos de extremidade privados?
Não, eles estão desativados para pontos de extremidade privados. Embora as sub-redes que contêm o ponto de extremidade privado possam ter o NSG associado a ele, as regras não são eficazes no tráfego processado pelo ponto de extremidade privado. Você deve ter a imposição de políticas de rede desabilitada para implantar pontos de extremidade privados em uma sub-rede. O NSG ainda é aplicado a outras cargas de trabalho hospedadas na mesma sub-rede. As rotas em qualquer sub-rede do cliente usarão um prefixo /32, alterar o comportamento de roteamento padrão requer um UDR semelhante.
Controle o tráfego usando regras NSG para tráfego de saída em clientes de origem. Implante rotas individuais com o prefixo /32 para substituir rotas de ponto de extremidade privadas. Os logs de fluxo NSG e as informações de monitoramento para conexões de saída ainda são suportados e podem ser usados.
Minha instância de ponto de extremidade privada não está na minha VNet, então como ela está associada à minha VNet?
Ele só está vinculado à sua rede virtual. Como não está em sua rede virtual, as regras NSG não precisam ser modificadas para pontos de extremidade dependentes.
Conteúdos relacionados
- Para saber mais sobre o Azure Private Link, consulte a documentação do Azure Private Link.
- Para comparar várias opções de isolamento de rede para seu cache, consulte a documentação de opções de isolamento de rede do Cache do Azure para Redis.