Az Azure Cache for Redis hálózati elkülönítési lehetőségei
Ebből a cikkből megtudhatja, hogyan határozhatja meg az igényeinek leginkább megfelelő hálózati elkülönítési megoldást. Az Azure Private Link (ajánlott), az Azure Virtual Network (VNet) injektálásának és a tűzfalszabályoknak az alapjait tárgyaljuk. Megbeszéljük az előnyeiket és korlátaikat.
Azure Private Link (ajánlott)
Az Azure privát kapcsolat privát kapcsolódási lehetőséget kínál egy virtuális hálózatból Azure platformszolgáltatásokhoz (PaaS). A Private Link leegyszerűsíti a hálózati architektúrát, és biztosítja az Azure-beli végpontok közötti kapcsolatot. A Private Link a nyilvános internetnek való adatexpozíció megszüntetésével is biztosítja a kapcsolatot.
A Private Link előnyei
Az Azure Cache for Redis-példányok minden szintjén – Alapszintű, Standard, Prémium, Nagyvállalati és Nagyvállalati Flash szinten – támogatott privát kapcsolat.
Az Azure Private Link használatával egy Azure Cache-példányhoz csatlakozhat a virtuális hálózatról egy privát végponton keresztül. A végponthoz egy privát IP-cím van hozzárendelve a virtuális hálózaton belüli alhálózatban. Ezzel a privát hivatkozással a gyorsítótárpéldányok a virtuális hálózaton belül és nyilvánosan is elérhetők.
Fontos
A privát kapcsolattal rendelkező Enterprise/Enterprise Flash-gyorsítótárak nyilvánosan nem érhetők el.
Miután létrehoz egy privát végpontot az alapszintű/standard/prémium szintű gyorsítótárakban, a nyilvános hálózathoz való hozzáférés a jelölőn keresztül
publicNetworkAccess
korlátozható. Ez a jelző alapértelmezés szerint be van állítvaDisabled
, ami csak a privát kapcsolat elérését teszi lehetővé. Az értéketEnabled
PATCH-kéréssel vagyDisabled
azzal is beállíthatja. További információ: Azure Cache for Redis és Azure Private Link.Fontos
Az Enterprise/Enterprise Flash szint nem támogatja a
publicNetworkAccess
jelzőt.A külső gyorsítótár-függőségek nincsenek hatással a virtuális hálózat NSG-szabályaira.
A tűzfalszabályokkal védett tárfiókok megőrzése támogatott a Prémium szinten, amikor felügyelt identitással csatlakozik a Tárfiókhoz. További információt az Adatok importálása és exportálása az Azure Cache for Redisben című témakörben talál.
A Private Link korlátozásai
- A portálkonzol jelenleg nem támogatott a privát kapcsolattal rendelkező gyorsítótárak esetében.
Feljegyzés
Amikor privát végpontot ad hozzá egy gyorsítótárpéldányhoz, a rendszer a DNS miatt az összes Redis-forgalmat a privát végpontra helyezi át. Győződjön meg arról, hogy a korábbi tűzfalszabályokat korábban módosították.
Azure Virtual Network-injektálás
A virtuális hálózat (VNet) az Azure-beli magánhálózat alapvető építőeleme. A virtuális hálózat lehetővé teszi, hogy számos Azure-erőforrás biztonságosan kommunikáljon egymással, az internettel és a helyszíni hálózatokkal. A virtuális hálózat olyan, mint egy hagyományos hálózat, amelyet a saját adatközpontjában üzemeltetne. A virtuális hálózatok azonban az Azure-infrastruktúra, a skálázás, a rendelkezésre állás és az elkülönítés előnyeit is élvezhetik.
A VNet-injektálás előnyei
- Ha egy Azure Cache for Redis-példány virtuális hálózattal van konfigurálva, az nem nyilvánosan címezhető. Csak a virtuális hálózaton belüli virtuális gépekről és alkalmazásokból érhető el.
- Ha a virtuális hálózat korlátozott NSG-szabályzatokkal van kombinálva, az segít csökkenteni az adatkiszivárgás kockázatát.
- A virtuális hálózatok üzembe helyezése fokozott biztonságot és elkülönítést biztosít az Azure Cache for Redis számára. Az alhálózatok, a hozzáférés-vezérlési szabályzatok és más funkciók tovább korlátozzák a hozzáférést.
- A georeplikációs szolgáltatás támogatott.
A virtuális hálózat injektálásának korlátozásai
- A virtuális hálózati konfigurációk létrehozása és karbantartása hibalehetőséget jelenthet. A hibaelhárítás kihívást jelent. A helytelen virtuális hálózati konfigurációk különböző problémákhoz vezethetnek:
- a gyorsítótárpéldányokból érkező, akadályozott metrikák átvitele,
- a replikacsomópont nem replikálja az adatokat az elsődleges csomópontról,
- lehetséges adatvesztés,
- olyan felügyeleti műveletek meghiúsulása, mint a skálázás,
- és a legsúlyosabb forgatókönyvekben a rendelkezésre állás elvesztése.
- A virtuális hálózatba injektált gyorsítótárak csak prémium szintű Azure Cache for Redis-példányokhoz érhetők el.
- A virtuális hálózatba injektált gyorsítótár használatakor módosítania kell a virtuális hálózatot gyorsítótár-függőségekre, például CRLs/PKI, AKV, Azure Storage, Azure Monitor stb.
- Meglévő Azure Cache for Redis-példány nem ágyazható be virtuális hálózatba. Ezt a beállítást csak a gyorsítótár létrehozásakor választhatja ki.
Tűzfalszabályok
Az Azure Cache for Redis lehetővé teszi tűzfalszabályok konfigurálását azoknak az IP-címeknek a megadásához, amelyeket engedélyezni szeretne az Azure Cache for Redis-példányhoz való csatlakozáshoz.
A tűzfalszabályok előnyei
- Tűzfalszabályok konfigurálásakor csak a megadott IP-címtartományokból származó ügyfélkapcsolatok csatlakozhatnak a gyorsítótárhoz. az Azure Cache for Redis monitorozási rendszereiből származó Csatlakozás mindig engedélyezettek, még akkor is, ha tűzfalszabályok vannak konfigurálva. Az Ön által definiált NSG-szabályok is engedélyezettek.
A tűzfalszabályok korlátozásai
- A tűzfalszabályok csak akkor alkalmazhatók a privát végpontok gyorsítótárára, ha a nyilvános hálózati hozzáférés engedélyezve van. Ha a nyilvános hálózati hozzáférés engedélyezve van a privát végpont gyorsítótárában tűzfalszabályok nélkül, a gyorsítótár minden nyilvános hálózati forgalmat elfogad.
- A tűzfalszabályok konfigurálása minden alapszintű, standard és prémium szintű szinten elérhető.
- A tűzfalszabályok konfigurációja nem érhető el nagyvállalati és vállalati Flash-szintekhez.
Következő lépések
- Megtudhatja, hogyan konfigurálhat virtuális hálózatba injektált gyorsítótárat egy Prémium Szintű Azure Cache for Redis-példányhoz.
- Megtudhatja, hogyan konfigurálhat tűzfalszabályokat az Összes Azure Cache for Redis-réteghez.
- Megtudhatja, hogyan konfigurálhat privát végpontokat az Összes Azure Cache for Redis-réteghez.