Alternativ för nätverksisolering för Azure Cache for Redis

I den här artikeln får du lära dig hur du fastställer den bästa lösningen för nätverksisolering för dina behov. Vi diskuterar grunderna i Azure Private Link (rekommenderas), Azure Virtual Network (VNet) inmatning och brandväggsregler. Vi diskuterar deras fördelar och begränsningar.

Azure Private Link (rekommenderas)

Azure Private Link tillhandahåller en privat anslutning från ett virtuellt nätverk till Azure PaaS-tjänster. Private Link förenklar nätverksarkitekturen och skyddar anslutningen mellan slutpunkter i Azure. Private Link skyddar också anslutningen genom att eliminera dataexponering för det offentliga Internet.

Fördelar med Private Link

• Privat länk som stöds på alla nivåer – Basic-, Standard-, Premium-, Enterprise- och Enterprise Flash-nivåer – för Azure Cache for Redis-instanser.

• Genom att använda Azure Private Link kan du ansluta till en Azure Cache-instans från ditt virtuella nätverk via en privat slutpunkt. Slutpunkten tilldelas en privat IP-adress i ett undernät i det virtuella nätverket. Med den här privata länken är cacheinstanser tillgängliga både från det virtuella nätverket och offentligt.

  Viktigt!

  Enterprise/Enterprise Flash-cacheminnen med privat länk kan inte nås offentligt.

• När en privat slutpunkt har skapats på Cacheminnen på Basic/Standard/Premium-nivå kan åtkomsten till det offentliga nätverket begränsas via publicNetworkAccess flaggan. Den här flaggan är inställd Disabled på som standard, vilket endast tillåter åtkomst till privata länkar. Du kan ange värdet till Enabled eller Disabled med en PATCH-begäran. Mer information finns i Azure Cache for Redis med Azure Private Link.

  Viktigt!

  Enterprise-/Enterprise Flash-nivån stöder publicNetworkAccess inte flagga.

• Eventuella externa cacheberoenden påverkar inte det virtuella nätverkets NSG-regler.

• Lagringskonton som skyddas med brandväggsregler stöds på Premium-nivån när du använder hanterad identitet för att ansluta till lagringskontot. Mer information finns i Importera och exportera data i Azure Cache for Redis

Begränsningar för Private Link

• För närvarande stöds inte portalkonsolen för cacheminnen med privat länk.

Kommentar

När du lägger till en privat slutpunkt i en cacheinstans flyttas all Redis-trafik till den privata slutpunkten på grund av DNS. Kontrollera att tidigare brandväggsregler har justerats tidigare.

Azure Virtual Network-inmatning

Virtuellt nätverk (VNet) är den grundläggande byggstenen för ditt privata nätverk i Azure. Med VNet kan många Azure-resurser kommunicera säkert med varandra, internet och lokala nätverk. VNet är som ett traditionellt nätverk som du skulle använda i ditt eget datacenter. Men VNet har också fördelarna med Azure-infrastruktur, skalning, tillgänglighet och isolering.

Fördelar med VNet-inmatning

• När en Azure Cache for Redis-instans konfigureras med ett virtuellt nätverk kan den inte adresseras offentligt. Den kan bara nås från virtuella datorer och program i det virtuella nätverket.
• När VNet kombineras med begränsade NSG-principer minskar risken för dataexfiltrering.
• VNet-distribution ger förbättrad säkerhet och isolering för Azure Cache for Redis. Undernät, principer för åtkomstkontroll och andra funktioner begränsar åtkomsten ytterligare.
• Geo-replikering stöds.

Begränsningar för VNet-inmatning

• Det kan vara felbenäget att skapa och underhålla konfigurationer för virtuella nätverk. Felsökning är en utmaning. Felaktiga konfigurationer av virtuella nätverk kan leda till olika problem:
  • hindrad överföring av mått från dina cacheinstanser,
  • fel på repliknoden för att replikera data från den primära noden,
  • potentiell dataförlust,
  • fel vid hanteringsåtgärder som skalning,
  • och i de allvarligaste scenarierna, förlust av tillgänglighet.
• VNet-inmatade cacheminnen är endast tillgängliga för Azure Cache for Redis-instanser på Premium-nivå.
• När du använder ett VNet-inmatat cacheminne måste du ändra ditt virtuella nätverk till cacheberoenden, till exempel CRLs/PKI, AKV, Azure Storage, Azure Monitor med mera.
• Du kan inte mata in en befintlig Azure Cache for Redis-instans i ett virtuellt nätverk. Du kan bara välja det här alternativet när du skapar cacheminnet.

Brandväggsregler

Med Azure Cache for Redis kan du konfigurera brandväggsregler för att ange IP-adress som du vill tillåta för att ansluta till din Azure Cache for Redis-instans.

Fördelar med brandväggsregler

• När brandväggsregler har konfigurerats kan endast klientanslutningar från de angivna IP-adressintervallen ansluta till cacheminnet. Anslut joner från Azure Cache for Redis-övervakningssystem tillåts alltid, även om brandväggsregler har konfigurerats. NSG-regler som du definierar är också tillåtna.

Begränsningar i brandväggsregler

• Brandväggsregler kan endast tillämpas på en privat slutpunktscache om åtkomsten till det offentliga nätverket är aktiverad. Om offentlig nätverksåtkomst är aktiverad i den privata slutpunktscacheminnet utan att några brandväggsregler har konfigurerats accepterar cachen all offentlig nätverkstrafik.
• Konfiguration av brandväggsregler är tillgänglig för alla Basic-, Standard- och Premium-nivåer.
• Konfiguration av brandväggsregler är inte tillgänglig för Enterprise- eller Enterprise Flash-nivåer.

Nästa steg

• Lär dig hur du konfigurerar ett VNet-inmatat cacheminne för en Premium Azure Cache for Redis-instans.
• Lär dig hur du konfigurerar brandväggsregler för alla Azure Cache for Redis-nivåer.
• Lär dig hur du konfigurerar privata slutpunkter för alla Azure Cache for Redis-nivåer.