Параметры сетевой изоляции Кэша Azure для Redis

  • Статья

В этой статье вы узнаете, как определить оптимальное решение сетевой изоляции для ваших потребностей. Мы обсудим основы внедрения Приватный канал Azure (рекомендуется), внедрения виртуальная сеть (виртуальная сеть) Azure и правил брандмауэра. Мы обсудим свои преимущества и ограничения.

Приватный канал Azure обеспечивает частное подключение между виртуальной сетью и службами Azure PaaS. Приватный канал упрощает сетевую архитектуру и защищает подключение между конечными точками в Azure. Приватный канал также устраняет проблему незащищенности данных в общедоступном Интернете.

  • Приватный канал, поддерживаемый на всех уровнях : "Базовый", "Стандартный", "Премиум", "Корпоративный" и "Корпоративный флэш-памяти" для Кэш Azure для Redis экземпляров.

  • С помощью Приватный канал Azure можно подключиться к экземпляру кэша Azure из виртуальной сети через частную конечную точку. Конечной точке назначается частный IP-адрес в подсети в виртуальной сети. При использовании этого приватного канала экземпляры кэша доступны как в виртуальной сети, так и в общедоступной.

    Внимание

    Кэши Enterprise/Enterprise Flash с приватным каналом недоступны для общедоступного доступа.

  • После создания частной конечной точки в кэшах уровня "Базовый" или "Стандартный" или "Премиум" доступ к общедоступной сети можно ограничить с помощью флага publicNetworkAccess . Этот флаг имеет значение Disabled по умолчанию, что разрешает доступ только к приватным каналу. Можно задать значение Enabled или Disabled с помощью запроса PATCH. Дополнительные сведения см. в статье Кэш Azure для Redis с Приватным каналом Azure.

    Внимание

    Уровень Enterprise/Enterprise Flash не поддерживает publicNetworkAccess флаг.

  • Все зависимости внешнего кэша не влияют на правила NSG виртуальной сети.

  • Сохранение в любых учетных записях хранения, защищенных правилами брандмауэра, поддерживается на уровне "Премиум" при использовании управляемого удостоверения для подключения к учетной записи служба хранилища, см. дополнительные сведения о импорте и экспорте данных в Кэш Azure для Redis

  • В настоящее время консоль портала не поддерживается для кэшей с приватным каналом.

Примечание.

При добавлении частной конечной точки в экземпляр кэша весь трафик Redis перемещается в частную конечную точку из-за DNS. Убедитесь, что предыдущие правила брандмауэра были настроены ранее.

Внедрение в виртуальную сеть Azure

виртуальная сеть (виртуальная сеть) — это базовый стандартный блок для частной сети в Azure. Виртуальная сеть позволяет многим ресурсам Azure безопасно обмениваться данными друг с другом, с Интернетом и локальными сетями. Виртуальная сеть напоминает традиционную сеть, которую вы бы использовали в собственном центре обработки данных. Однако в виртуальной сети также доступны преимущества инфраструктуры, масштабирования, доступности и изоляции Azure.

Преимущества внедрения виртуальной сети

  • Если экземпляр Кэша Azure для Redis настроен с помощью виртуальной сети, он не является общедоступным. Доступ к нему может быть только с виртуальных машин и приложений в рамках виртуальной сети.
  • Если виртуальная сеть используется совместно с ограниченными политиками NSG, это снижает риск утечки данных.
  • Развертывание виртуальной сети обеспечивает повышенную безопасность и изоляцию Кэша Azure для Redis. Ограничить доступ также помогут подсети, политики контроля доступа и другие функции.
  • Георепликация поддерживается.

Ограничения внедрения виртуальной сети

  • Создание и обслуживание конфигураций виртуальной сети может быть подвержено ошибкам. Устранение неполадок сложно. Неправильные конфигурации виртуальной сети могут привести к различным проблемам:
    • заблокированная передача метрик из экземпляров кэша
    • сбой реплика узла для реплика te данных из основного узла;
    • потенциальная потеря данных,
    • сбой операций управления, таких как масштабирование,
    • и в наиболее сложных сценариях потеря доступности.
  • Внедренные кэши виртуальной сети доступны только для экземпляров уровня Premium Кэш Azure для Redis.
  • При использовании внедренного кэша виртуальной сети необходимо изменить виртуальную сеть для кэширования зависимостей, таких как CRLs/PKI, AKV, служба хранилища Azure, Azure Monitor и многое другое.
  • Невозможно внедрить существующий экземпляр Кэш Azure для Redis в виртуальная сеть. Этот параметр можно выбрать только при создании кэша.

Правила брандмауэра

Кэш Azure для Redis позволяет настраивать правила брандмауэра для указания IP-адреса, который требуется разрешить подключению к Кэш Azure для Redis экземпляру.

Преимущества правил брандмауэра

  • Когда правила брандмауэра будут настроены, подключения к кэшу будут доступны только для клиентов из указанного диапазона IP-адресов. Подключения из систем мониторинга кэша Azure для Redis всегда разрешены, даже если настроены правила брандмауэра. Также разрешены правила NSG, определенные вами.

Ограничения правил брандмауэра

  • Правила брандмауэра можно применять к кэшу частной конечной точки только в том случае, если доступ к общедоступной сети включен. Если доступ к общедоступной сети включен в кэше частной конечной точки без правил брандмауэра, кэш принимает весь общедоступный сетевой трафик.
  • Конфигурация правил брандмауэра доступна для всех уровней "Базовый", "Стандартный" и "Премиум".
  • Конфигурация правил брандмауэра недоступна для уровней Enterprise или Enterprise Flash.

Следующие шаги