Azure Cache for Redis 網路隔離選項

  • 發行項

在本文中,您將瞭解如何判斷最適合您需求的網路隔離解決方案。 我們討論 Azure Private Link 的基本概念(建議)、Azure 虛擬網絡 (VNet) 插入和防火牆規則。 我們討論其優點和限制。

Azure Private Link 能提供從虛擬網路到 Azure PaaS 服務的私人連線。 私人連結可簡化網路架構,並確保 Azure 中端點之間的連線。 Private Link 也會藉由排除公開至公用因特網的數據,來保護連線。

  • Azure Cache for Redis 實例的所有層都支援私人連結 - 基本、標準、進階版、企業和企業快閃層。

  • 藉由使用 Azure Private Link,您可以透過私人端點從虛擬網路連線到 Azure 快取實例。 端點會在虛擬網路內的子網中指派私人IP位址。 透過此私人連結,快取實例可從 VNet 內公開取得。

    重要

    無法公開存取具有私人連結的企業/企業快取。

  • 在基本/標準/進階版 層快取上建立私人端點之後,就可以透過旗標限制對publicNetworkAccess公用網路的存取。 此旗標預設會設定為 Disabled ,只允許私人連結存取。 您可以使用 PATCH 要求,將值設定為 EnabledDisabled 。 如需詳細資訊,請參閱 Azure Cache for Redis with Azure Private Link

    重要

    企業/企業 Flash 層不支援 publicNetworkAccess 旗標。

  • 任何外部快取相依性都不會影響 VNet 的 NSG 規則。

  • 使用受控識別連線到 儲存體 帳戶時,進階版 層支援保存至任何受防火牆規則保護的記憶體帳戶,請參閱 Azure Cache for Redis 中的更多匯入和導出數據

  • 目前,使用私人連結的快取不支援入口網站控制台。

注意

將私人端點新增至快取實例時,所有 Redis 流量都會因為 DNS 而移至私人端點。 確定之前已調整先前的防火牆規則。

Azure 虛擬網絡 插入

虛擬網絡 (VNet) 是 Azure 中專用網的基本建置組塊。 VNet 可讓許多 Azure 資源安全地彼此通訊、因特網和內部部署網路。 VNet 就像是在自己的數據中心運作的傳統網路。 不過,VNet 也有 Azure 基礎結構、規模、可用性和隔離的優點。

VNet 插入的優點

  • 使用 VNet 設定 Azure Cache for Redis 實例時,無法公開尋址。 它只能從 VNet 內的虛擬機和應用程式存取。
  • 當 VNet 與受限制的 NSG 原則結合時,有助於降低數據外流的風險。
  • VNet 部署可為 Azure Cache for Redis 提供增強的安全性和隔離。 子網、訪問控制原則和其他功能會進一步限制存取。
  • 支援異地復寫。

VNet 插入的限制

  • 建立和維護虛擬網路組態可能會容易出錯。 疑難解答是一項挑戰。 不正確的虛擬網路設定可能會導致各種問題:
    • 來自快取實例的阻礙計量傳輸,
    • 復本節點無法從主要節點復寫數據,
    • 潛在的數據遺失,
    • 管理作業失敗,例如調整、
    • 在最嚴重的情況下,遺失可用性。
  • VNet 插入快取僅適用於 進階版 層 Azure Cache for Redis 實例。
  • 使用 VNet 插入快取時,您必須將 VNet 變更為快取相依性,例如 CRL/PKI、AKV、Azure 儲存體、Azure 監視器等等。
  • 您無法將現有的 Azure Cache for Redis 實例插入 虛擬網絡。 您只能在建立快取時選取此選項。

防火牆規則

Azure Cache for Redis 允許設定防火牆規則,以指定您想要允許連線到 Azure Cache for Redis 實例的 IP 位址。

防火牆規則的優點

  • 設定防火牆規則時,只有來自指定IP位址範圍的用戶端連線才能連線到快取。 即使已設定防火牆規則,也一律允許來自 Azure Cache for Redis 監視系統的 連線。 您也可以使用您定義的 NSG 規則。

防火牆規則的限制

  • 只有在啟用公用網路存取時,防火牆規則才能套用至私人端點快取。 如果在未設定防火牆規則的私人端點快取上啟用公用網路存取,快取會接受所有公用網路流量。
  • 防火牆規則設定適用於所有基本、標準和 進階版 層。
  • 防火牆規則設定不適用於企業或企業 Flash 層。

下一步