Singgahan/cache Azure untuk mengulangi opsi isolasi jaringan
Dalam artikel ini, Anda mempelajari cara menentukan solusi isolasi jaringan terbaik untuk kebutuhan Anda. Kami membahas dasar-dasar Azure Private Link (disarankan), injeksi Azure Virtual Network (VNet), dan Aturan Firewall. Kami mendiskusikan kelebihan dan batasan mereka.
Azure Private Link (disarankan)
Azure Private Link menyediakan konektivitas pribadi dari jaringan virtual ke layanan Azure PaaS. Azure Private Link menyederhanakan arsitektur jaringan dan mengamankan koneksi antar titik akhir di Azure. Private Link juga mengamankan koneksi dengan menghilangkan paparan data ke internet publik.
Keuntungan dari Private Link
Tautan privat yang didukung di semua tingkatan - Tingkat Dasar, Standar, Premium, Enterprise, dan Enterprise Flash - instans Azure Cache for Redis.
Dengan menggunakan Azure Private Link, Anda dapat terhubung ke instans Azure Cache dari jaringan virtual Anda melalui titik akhir privat. Titik akhir diberi alamat IP privat di subnet dalam jaringan virtual. Dengan tautan privat ini, instans cache tersedia baik dari dalam VNet maupun publik.
Penting
Cache Enterprise/Enterprise Flash dengan tautan privat tidak dapat diakses secara publik.
Setelah titik akhir privat dibuat pada cache tingkat Dasar/Standar/Premium, akses ke jaringan publik dapat dibatasi melalui
publicNetworkAccessbendera. Bendera ini diatur keDisabledsecara default, yang hanya memungkinkan akses tautan privat. Anda dapat mengatur nilai keEnabledatauDisableddengan permintaan PATCH. Untuk informasi selengkapnya, lihat Cache Azure untuk Redis dengan Azure Private Link.Penting
Tingkat Enterprise/Enterprise Flash tidak mendukung
publicNetworkAccessbendera.Dependensi cache eksternal apa pun tidak memengaruhi aturan NSG VNet.
Bertahan ke akun penyimpanan apa pun yang dilindungi dengan aturan firewall didukung pada tingkat Premium saat menggunakan identitas terkelola untuk menyambungkan ke akun Penyimpanan, lihat lebih banyak data Impor dan Ekspor di Azure Cache for Redis
Tautan privat menawarkan lebih sedikit hak istimewa dengan mengurangi jumlah akses yang dimiliki cache Anda ke sumber daya jaringan lain. Tautan privat mencegah aktor jahat memulai lalu lintas ke seluruh jaringan Anda.
Batasan Private Link
- Saat ini, konsol portal tidak didukung untuk cache dengan tautan privat.
Catatan
Saat menambahkan titik akhir privat ke instans cache, semua lalu lintas Redis dipindahkan ke titik akhir privat karena DNS. Pastikan aturan firewall sebelumnya disesuaikan sebelumnya.
Injeksi Azure Virtual Network
Perhatian
Injeksi Virtual Network tidak disarankan. Untuk informasi selengkapnya, lihat Batasan injeksi VNet.
Virtual Network (VNet) memungkinkan banyak sumber daya Azure untuk berkomunikasi satu sama lain dengan aman, internet, dan jaringan lokal. VNet adalah jaringan tradisional yang akan Anda operasikan di pusat data Anda sendiri.
Keterbatasan injeksi VNet
Membuat dan memelihara konfigurasi jaringan virtual seringkali rawan kesalahan. Pemecahan masalah juga menantang. Konfigurasi jaringan virtual yang salah dapat menyebabkan masalah:
transmisi metrik terhalang dari instans cache Anda
kegagalan simpul replika untuk mereplikasi data dari simpul utama
potensi kehilangan data
kegagalan operasi manajemen seperti penskalaan
kegagalan SSL/TLS terputus-terputus atau lengkap
kegagalan untuk menerapkan pembaruan, termasuk peningkatan keamanan dan keandalan penting
dalam skenario yang paling parah, hilangnya ketersediaan
Saat menggunakan cache yang disuntikkan VNet, Anda harus terus memperbarui VNet untuk mengizinkan akses ke dependensi cache, seperti Daftar Pencabutan Sertifikat, Infrastruktur Kunci Umum, Azure Key Vault, Azure Storage, Azure Monitor, dan banyak lagi.
Cache yang disuntikkan VNet hanya tersedia untuk instans Azure Cache for Redis tingkat Premium, bukan tingkatan lain.
Anda tidak dapat menyuntikkan instans Azure Cache for Redis yang ada ke dalam Virtual Network. Anda harus memilih opsi ini saat membuat cache.
Aturan firewall
Azure Cache for Redis memungkinkan konfigurasi aturan Firewall untuk menentukan alamat IP yang ingin Anda izinkan untuk tersambung ke instans Azure Cache for Redis Anda.
Keuntungan aturan firewall
- Ketika aturan firewall dikonfigurasi, hanya koneksi klien dari rentang alamat IP yang ditentukan yang dapat berhubungan dengan cache. Koneksi dari Azure Cache untuk sistem pemantauan Redis selalu diizinkan, bahkan jika aturan firewall dikonfigurasi. Aturan NSG yang Anda tentukan juga diizinkan.
Batasan aturan firewall
- Aturan firewall dapat diterapkan ke cache titik akhir privat hanya jika akses jaringan publik diaktifkan. Jika akses jaringan publik diaktifkan pada cache titik akhir privat tanpa aturan firewall yang dikonfigurasi, cache menerima semua lalu lintas jaringan publik.
- Konfigurasi aturan firewall tersedia untuk semua tingkat Dasar, Standar, dan Premium.
- Konfigurasi aturan firewall tidak tersedia untuk tingkat Enterprise atau Enterprise Flash.
Langkah berikutnya
- Pelajari cara mengonfigurasi cache yang disuntikkan VNet untuk Cache Azure Premium untuk instans Redis.
- Pelajari cara mengonfigurasi aturan firewall untuk semua tingkatan Azure Cache for Redis.
- Pelajari cara mengonfigurasi titik akhir privat untuk semua tingkatan Azure Cache untuk Redis.