مشاركة عبر

خيارات عزل شبكة Azure Cache for Redis

  • مقالة

في هذه المقالة، ستتعلم كيفية تحديد أفضل حل لعزل الشبكة لاحتياجاتك. نناقش أساسيات Azure Private Link (مستحسن) وحقن شبكة Azure الظاهرية (VNet) وقواعد جدار الحماية. نناقش مزاياها وقيودها.

يوفر Azure Private Link اتصالاً خاصاً من شبكة ظاهرية إلى خدمات Azure PaaS. يبسط Private Link بنية الشبكة ويؤمِّن الاتصال بين نقاط النهاية في Azure. يؤمِّن الرابط الخاص أيضاً الاتصال عن طريق القضاء على تعرض البيانات للإنترنت العام.

  • ارتباط خاص مدعوم على جميع المستويات - مستويات Basic وStandard وPremium وEnterprise وEnterprise Flash - من Azure Cache لمثيلات Redis.

  • باستخدام Azure Private Link، يمكنك الاتصال بمثيل Azure Cache من شبكتك الظاهرية من خلال نقطة نهاية خاصة. يتم تعيين عنوان IP خاص لنقطة النهاية في شبكة فرعية داخل الشبكة الظاهرية. باستخدام Private Link هذا ، تتوفر مثيلات ذاكرة التخزين المؤقت من داخل VNet وعامةً.

    هام

    لا يمكن الوصول إلى ذاكرة التخزين المؤقت ل Enterprise/Enterprise Flash ذات الارتباط الخاص بشكل عام.

  • بمجرد إنشاء نقطة نهاية خاصة على ذاكرة التخزين المؤقت للطبقة الأساسية/القياسية/المتميزة، يمكن تقييد الوصول إلى الشبكة العامة من خلال العلامة publicNetworkAccess . يتم تعيين هذه العلامة إلى Disabled بشكل افتراضي، والتي تسمح فقط بالوصول إلى الارتباط الخاص. يمكنك تعيين القيمة على Enabled أو Disabled باستخدام طلب PATCH. لمزيد من المعلومات، راجع Azure Cache for Redis مع Azure Private Link.

    هام

    لا يدعم publicNetworkAccess مستوى Enterprise/Enterprise Flash العلامة.

  • لا تؤثر أي تبعيات ذاكرة تخزين مؤقت خارجية على قواعد NSG الخاصة ب VNet.

  • يتم دعم الاستمرار في أي حسابات تخزين محمية بقواعد جدار الحماية على المستوى Premium عند استخدام الهوية المدارة للاتصال بحساب التخزين، راجع المزيد من بيانات الاستيراد والتصدير في ذاكرة التخزين المؤقت Azure ل Redis

  • يوفر الارتباط الخاص امتيازا أقل عن طريق تقليل مقدار الوصول إلى ذاكرة التخزين المؤقت الخاصة بك إلى موارد الشبكة الأخرى. يمنع الارتباط الخاص جهة فاعلة سيئة من بدء حركة المرور إلى بقية شبكتك.

  • حاليا، وحدة تحكم المدخل غير مدعومة لذاكرة التخزين المؤقت ذات الارتباط الخاص.

إشعار

عند إضافة نقطة نهاية خاصة إلى مثيل ذاكرة التخزين المؤقت، يتم نقل كافة حركة مرور Redis إلى نقطة النهاية الخاصة بسبب DNS. تأكد من تعديل قواعد جدار الحماية السابقة من قبل.

إدخال Azure Virtual Network

تنبيه

لا يوصى بحقن الشبكة الظاهرية. لمزيد من المعلومات، راجع قيود حقن الشبكة الظاهرية.

تتيح الشبكة الظاهرية (VNet) للعديد من موارد Azure الاتصال بأمان مع بعضها البعض والإنترنت والشبكات المحلية. يشبه VNet شبكة تقليدية تعمل في مركز البيانات الخاص بك.

حدود إدخال VNet

  • غالبا ما يكون إنشاء تكوينات الشبكة الظاهرية وصيانتها عرضة للخطأ. يعد استكشاف الأخطاء وإصلاحها أمرا صعبا أيضا. يمكن أن تؤدي تكوينات الشبكة الظاهرية غير الصحيحة إلى مشكلات:

    • نقل المقاييس المعرقلة من مثيلات ذاكرة التخزين المؤقت

    • فشل عقدة النسخة المتماثلة في نسخ البيانات من العقدة الأساسية

    • فقدان محتمل للبيانات

    • فشل عمليات الإدارة مثل التحجيم

    • حالات فشل SSL/TLS متقطعة أو كاملة

    • فشل تطبيق التحديثات، بما في ذلك تحسينات الأمان والموثوقية المهمة

    • في السيناريوهات الأكثر خطورة، فقدان التوفر

  • عند استخدام ذاكرة التخزين المؤقت التي تم إدخالها بواسطة VNet، يجب الاحتفاظ بتحديث VNet للسماح بالوصول إلى تبعيات ذاكرة التخزين المؤقت، مثل قوائم إبطال الشهادات والبنية الأساسية للمفتاح العام وAzure Key Vault وAzure Storage وAzure Monitor والمزيد.

  • تتوفر ذاكرة التخزين المؤقت التي تم إدخالها من VNet فقط لذاكرة التخزين المؤقت Azure من المستوى المتميز لمثيلات Redis، وليس المستويات الأخرى.

  • لا يمكنك إدخال Azure Cache لمثيل Redis موجود في شبكة ظاهرية. يجب تحديد هذا الخيار عند إنشاء ذاكرة التخزين المؤقت.

قواعد جدار الحماية

يسمح Azure Cache for Redis بتكوين قواعد جدار الحماية لتحديد عنوان IP الذي تريد السماح له بالاتصال ب Azure Cache لمثيل Redis.

مزايا قواعد جدار الحماية

  • عندما يتم تكوين قواعد جدار الحماية، يمكن فقط توصيل اتصالات العميل من نطاقات عناوين IP المحددة بذاكرة التخزين المؤقت. يُسمح دائمًا بالاتصالات من أنظمة مراقبة Azure Cache for Redis، حتى إذا تم تكوين قواعد جدار الحماية. يُسمح أيضاً بقواعد NSG التي تحددها أنت.

قيود قواعد جدار الحماية

  • يمكن تطبيق قواعد جدار الحماية على ذاكرة التخزين المؤقت لنقطة نهاية خاصة فقط إذا تم تمكين الوصول إلى الشبكة العامة. إذا تم تمكين الوصول إلى الشبكة العامة على ذاكرة التخزين المؤقت لنقطة النهاية الخاصة مع عدم تكوين قواعد جدار الحماية، فإن ذاكرة التخزين المؤقت تقبل كل حركة مرور الشبكة العامة.
  • يتوفر تكوين قواعد جدار الحماية لجميع المستويات الأساسية والقياسية والمتميزة.
  • لا يتوفر تكوين قواعد جدار الحماية لمستويات Enterprise أو Enterprise Flash.

الخطوات التالية