Options d’isolement réseau d’Azure Cache pour Redis

  • Article

Dans cet article, vous apprendrez à déterminer la meilleure solution d’isolation réseau pour vos besoins. Nous abordons les bases d’Azure Private Link (recommandé), de l’injection de réseau virtuel Azure (VNet) et des règles de pare-feu. Nous discutons de leurs avantages et de leurs limites.

Azure Private Link fournit une connectivité privée entre un réseau virtuel et les services Azure PaaS. Private Link simplifie l’architecture réseau et sécurise la connexion entre points de terminaison dans Azure. Private Link sécurise également la connexion en éliminant l’exposition des données à Internet public.

  • Lien privé pris en charge sur tous les niveaux (niveaux Basique, Standard, Premium, Entreprise et Enterprise Flash) des instances Azure Cache pour Redis.

  • En utilisant Azure Private Link, vous pouvez vous connecter à une instance de cache Azure à partir de votre réseau virtuel via un point de terminaison privé. Le point de terminaison est associé à une adresse IP privée dans un sous-réseau au sein du réseau virtuel. Avec cette liaison privée, les instances de cache sont disponibles tant à partir du réseau virtuel que publiquement.

    Important

    Les caches Enterprise/Enterprise Flash avec liaison privée ne sont pas accessibles publiquement.

  • Une fois qu’un point de terminaison privé est créé sur des caches de niveau de service De base/Standard/Premium, l’accès au réseau public peut être limité via l’indicateur publicNetworkAccess. Cet indicateur est défini Disabled par défaut, ce qui autorise uniquement l'accès au lien privé. Vous pouvez définir la valeur sur Enabled ou Disabled avec une requête PATCH. Pour plus d’informations, consultez Azure Cache pour Redis avec Azure Private Link.

    Important

    Le niveau de service Entreprise/Entreprise Flash ne prend pas en charge l’indicateur publicNetworkAccess.

  • Les dépendances de cache externe n’affectent pas les règles NSG du réseau virtuel.

  • La persistance sur tous les comptes de stockage protégés par des règles de pare-feu est prise en charge lors de l'utilisation d'une identité managée pour se connecter au compte de stockage. Voir plus d'informations sur l'importation et l'exportation de données dans Azure Cache pour Redis

  • Actuellement, la console du portail n'est pas prise en charge pour les caches avec lien privé.

Remarque

Lors de l’ajout d’un point de terminaison privé à une instance de cache, tout le trafic de Redis est acheminé vers le point de terminaison privé en raison du DNS. Vérifiez que les règles de pare-feu précédentes sont ajustées avant.

Injection sur le réseau virtuel Azure

Le réseau virtuel (VNet) est l’élément fondamental de votre réseau privé dans Azure. Il permet à de nombreuses ressources Azure de communiquer entre elles, avec Internet et avec les réseaux locaux en toute sécurité. Un réseau virtuel Azure est semblable à un réseau traditionnel que vous exploiteriez dans votre propre centre de données. Toutefois, le réseau virtuel présente également les avantages de l’infrastructure, de la mise à l’échelle, de la disponibilité et de l’isolation d’Azure.

Avantages de l’injection de réseau virtuel

  • Quand une instance Azure Cache pour Redis est configurée avec un réseau virtuel, elle n’est pas adressable publiquement. L’instance n’est accessible qu’à partir de machines virtuelles et d’applications présentes au sein du réseau virtuel.
  • Lorsque le réseau virtuel est combiné à des stratégies NSG limitées, il contribue à réduire le risque d’exfiltration de données.
  • Un déploiement de réseau virtuel offre une sécurité améliorée et une isolation du trafic pour votre instance Azure Cache pour Redis. Les sous-réseaux, stratégies de contrôle d’accès et d’autres fonctionnalités restreignent davantage l’accès.
  • La géoréplication est prise en charge.

Limitations de l’injection de réseau virtuel

  • La création et la maintenance de configurations de réseau virtuel peuvent être sujettes aux erreurs. Le dépannage est un défi. Des configurations de réseau virtuel incorrectes peuvent entraîner différents problèmes :
    • transmission d’indicateurs de performance obstrués depuis vos instances de cache,
    • échec du nœud de réplique à répliquer les données du nœud principal,
    • perte potentielle de données,
    • échec des opérations de gestion comme la mise à l'échelle,
    • et dans les scénarios les plus graves, perte de disponibilité.
  • Les caches injectés par réseau virtuel ne sont disponibles que pour les instances Azure Cache pour Redis de niveau Premium.
  • Lorsque vous utilisez un cache injecté par réseau virtuel, vous devez modifier votre réseau virtuel pour mettre en cache les dépendances, telles que les CRL/PKI, AKV, Stockage Microsoft Azure, Azure Monitor, etc.
  • Vous ne pouvez pas injecter une instance Azure Cache pour Redis existante dans un réseau virtuel. Vous ne pouvez que sélectionner cette option lorsque vous créez le cache.

Règles de pare-feu

Azure Cache pour Redis permet de configurer des règles de pare-feu pour spécifier l'adresse IP que vous souhaitez autoriser à se connecter à votre instance Azure Cache pour Redis.

Avantages des règles de pare-feu

  • Lorsque des règles de pare-feu sont configurées, seules les connexions client à partir des plages d’adresses IP spécifiées peuvent se connecter au cache. Les connexions depuis les systèmes de surveillance de cache Azure pour Redis sont toujours autorisées, même si des règles de pare-feu sont configurées. Les règles NSG que vous définissez sont également autorisées.

Limitations des règles de pare-feu

  • Les règles de pare-feu peuvent être appliquées à un cache de point de terminaison privé uniquement si l’accès au réseau public est activé. Si l’accès au réseau public est activé sur le cache de point de terminaison privé sans aucune règle de pare-feu, le cache accepte tout le trafic réseau public.
  • La configuration des règles de pare-feu est disponible pour tous les niveaux De base, Standard et Premium.
  • La configuration des règles de pare-feu n’est pas disponible pour les niveaux Enterprise ni Enterprise Flash.

Étapes suivantes