Megosztás a következőn keresztül:

Az Azure Cache for Redis hálózati elkülönítési lehetőségei

  • Cikk

Ebből a cikkből megtudhatja, hogyan határozhatja meg az igényeinek leginkább megfelelő hálózati elkülönítési megoldást. Az Azure Private Link (ajánlott), az Azure Virtual Network (VNet) injektálásának és a tűzfalszabályoknak az alapjait tárgyaljuk. Megbeszéljük az előnyeiket és korlátaikat.

Az Azure privát kapcsolat privát kapcsolódási lehetőséget kínál egy virtuális hálózatból Azure platformszolgáltatásokhoz (PaaS). A Private Link leegyszerűsíti a hálózati architektúrát, és biztosítja az Azure-beli végpontok közötti kapcsolatot. A Private Link a nyilvános internetnek való adatexpozíció megszüntetésével is biztosítja a kapcsolatot.

  • Az Azure Cache for Redis-példányok minden szintjén – Alapszintű, Standard, Prémium, Nagyvállalati és Nagyvállalati Flash szinten – támogatott privát kapcsolat.

  • Az Azure Private Link használatával egy Azure Cache-példányhoz csatlakozhat a virtuális hálózatról egy privát végponton keresztül. A végponthoz egy privát IP-cím van hozzárendelve a virtuális hálózaton belüli alhálózatban. Ezzel a privát hivatkozással a gyorsítótárpéldányok a virtuális hálózaton belül és nyilvánosan is elérhetők.

    Fontos

    A privát kapcsolattal rendelkező Enterprise/Enterprise Flash-gyorsítótárak nyilvánosan nem érhetők el.

  • Miután létrehoz egy privát végpontot az alapszintű/standard/prémium szintű gyorsítótárakban, a nyilvános hálózathoz való hozzáférés a jelölőn keresztül publicNetworkAccess korlátozható. Ez a jelző alapértelmezés szerint be van állítva Disabled , ami csak a privát kapcsolat elérését teszi lehetővé. Az értéket Enabled PATCH-kéréssel vagy Disabled azzal is beállíthatja. További információ: Azure Cache for Redis és Azure Private Link.

    Fontos

    Az Enterprise/Enterprise Flash szint nem támogatja a publicNetworkAccess jelzőt.

  • A külső gyorsítótár-függőségek nincsenek hatással a virtuális hálózat NSG-szabályaira.

  • A tűzfalszabályokkal védett tárfiókok megőrzése támogatott a Prémium szinten, amikor felügyelt identitással csatlakozik a Tárfiókhoz. További információt az Adatok importálása és exportálása az Azure Cache for Redisben című témakörben talál.

  • A privát kapcsolat kevesebb jogosultságot biztosít azáltal, hogy csökkenti a gyorsítótár más hálózati erőforrásokhoz való hozzáférését. A privát kapcsolat megakadályozza, hogy egy rossz szereplő forgalmat indukálódjon a hálózat többi részére.

  • A portálkonzol jelenleg nem támogatott a privát kapcsolattal rendelkező gyorsítótárak esetében.

Feljegyzés

Amikor privát végpontot ad hozzá egy gyorsítótárpéldányhoz, a rendszer a DNS miatt az összes Redis-forgalmat a privát végpontra helyezi át. Győződjön meg arról, hogy a korábbi tűzfalszabályokat korábban módosították.

Azure Virtual Network-injektálás

Figyelemfelhívás

A virtuális hálózat injektálása nem ajánlott. További információ: A virtuális hálózatok injektálásának korlátozásai.

A virtuális hálózat (VNet) számos Azure-erőforrás számára teszi lehetővé az egymással, az internettel és a helyszíni hálózatokkal való biztonságos kommunikációt. A virtuális hálózat olyan, mint egy hagyományos hálózat, amelyet a saját adatközpontjában üzemeltetne.

A virtuális hálózat injektálásának korlátozásai

  • A virtuális hálózati konfigurációk létrehozása és karbantartása gyakran hibalehetőség. A hibaelhárítás is kihívást jelent. A helytelen virtuális hálózati konfigurációk problémákat okozhatnak:

    • a gyorsítótárpéldányokból érkező, akadályozott metrikák átvitele

    • a replikacsomópont nem replikálja az adatokat az elsődleges csomópontról

    • lehetséges adatvesztés

    • olyan felügyeleti műveletek meghiúsulása, mint a skálázás

    • időszakos vagy teljes SSL-/TLS-hibák

    • frissítések alkalmazásának elmulasztása, beleértve a fontos biztonsági és megbízhatósági fejlesztéseket

    • a legsúlyosabb forgatókönyvekben a rendelkezésre állás elvesztése

  • A virtuális hálózatba injektált gyorsítótár használatakor frissítenie kell a virtuális hálózatot, hogy hozzáférést biztosíthasson a gyorsítótár függőségeihez, például a visszavont tanúsítványok listájához, a nyilvános kulcsú infrastruktúrához, az Azure Key Vaulthoz, az Azure Storage-hoz, az Azure Monitorhoz stb.

  • A virtuális hálózatokba injektált gyorsítótárak csak prémium szintű Azure Cache for Redis-példányokhoz érhetők el, más szinteken nem.

  • Meglévő Azure Cache for Redis-példány nem ágyazható be virtuális hálózatba. A gyorsítótár létrehozásakor ezt a lehetőséget kell választania.

Tűzfalszabályok

Az Azure Cache for Redis lehetővé teszi tűzfalszabályok konfigurálását azoknak az IP-címeknek a megadásához, amelyeket engedélyezni szeretne az Azure Cache for Redis-példányhoz való csatlakozáshoz.

A tűzfalszabályok előnyei

  • Tűzfalszabályok konfigurálásakor csak a megadott IP-címtartományokból származó ügyfélkapcsolatok csatlakozhatnak a gyorsítótárhoz. Az Azure Cache for Redis monitorozási rendszereiből származó kapcsolatok mindig engedélyezettek, még akkor is, ha tűzfalszabályok vannak konfigurálva. Az Ön által definiált NSG-szabályok is engedélyezettek.

A tűzfalszabályok korlátozásai

  • A tűzfalszabályok csak akkor alkalmazhatók a privát végpontok gyorsítótárára, ha a nyilvános hálózati hozzáférés engedélyezve van. Ha a nyilvános hálózati hozzáférés engedélyezve van a privát végpont gyorsítótárában tűzfalszabályok nélkül, a gyorsítótár minden nyilvános hálózati forgalmat elfogad.
  • A tűzfalszabályok konfigurálása minden alapszintű, standard és prémium szintű szinten elérhető.
  • A tűzfalszabályok konfigurációja nem érhető el nagyvállalati és vállalati Flash-szintekhez.

Következő lépések