Azure Cache for Redis: Netzwerkisolationsoptionen
In diesem Artikel erfahren Sie, wie Sie die beste Lösung für die Netzwerkisolation gemäß Ihren Anforderungen ermitteln. Sie lernen die Grundlagen von Azure Private Link (empfohlen), Azure Virtual Network-Einfügungen (VNet) und Azure Firewall-Regeln kennen. Dabei werden auch deren Vorteile und Einschränkungen erläutert.
Azure Private Link (empfohlen)
Azure Private Link stellt eine private Verbindung zwischen einem virtuellen Netzwerk und Azure-PaaS-Diensten (Platform-as-a-Service) her. Durch Private Link wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure geschützt. Private Link schützt außerdem die Verbindung, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird.
Vorteile von Private Link
Private Links werden auf allen Ebenen – Basic, Standard, Premium, Enterprise und Enterprise Flash – von Azure Cache für Redis-Instanzen unterstützt.
Mit Azure Private Link können Sie aus Ihrem virtuellen Netzwerk über einen privaten Endpunkt eine Verbindung mit einer Azure Cache-Instanz herstellen. Dem Endpunkt ist eine private IP-Adresse in einem Subnetz innerhalb des virtuellen Netzwerks zugewiesen. Über diese private Verbindung sind Cache-Instanzen sowohl innerhalb des VNet als auch öffentlich verfügbar.
Wichtig
Auf Enterprise/Enterprise Flash-Caches mit privater Verbindung kann nicht öffentlich zugegriffen werden.
Nachdem ein privater Endpunkt für Caches auf den Dienstebenen Basic/Standard/Premium erstellt wurde, kann der Zugriff auf das öffentliche Netzwerk durch das
publicNetworkAccess
-Flag eingeschränkt werden. Dieses Flag wird standardmäßig aufDisabled
festgelegt, wodurch nur Zugriff über private Verbindungen zulässig ist. Sie können den Wert mit einer PATCH-Anforderung aufEnabled
oderDisabled
festlegen. Weitere Informationen finden Sie unter Azure Cache for Redis mit Azure Private Link.Wichtig
Die Dienstebene Enterprise/Enterprise Flash unterstützt nicht das
publicNetworkAccess
-Flag.Externe Cacheabhängigkeiten haben keine Auswirkungen auf die Netzwerksicherheitsgruppen-Regeln des VNet.
Die Speicherung von Daten in einem beliebigen Speicherkonto, das durch Firewallregeln geschützt ist, wird im Premium-Tarif unterstützt, wenn eine verwaltete Identität wird, um die Verbindung mit dem Speicherkonto herzustellen. Weitere Informationen finden Sie im Artikel Importieren und Exportieren von Daten in Azure Cache for Redis.
Private Link stellt weniger Berechtigungen bereit, indem der Zugriff Ihres Caches auf andere Netzwerkressourcen reduziert wird. Private Link verhindert, dass böswillige Akteure Datenverkehr zu anderen Teilen Ihres Netzwerks initiieren.
Einschränkungen von Private Link
- Derzeit wird die Portalkonsole für Caches mit Privat Link nicht unterstützt.
Hinweis
Beim Hinzufügen eines privaten Endpunkts zu einer Cache-Instanz wird der gesamte Redis-Datenverkehr wegen des DNS auf den privaten Endpunkt verschoben. Stellen Sie sicher, dass vorherige Firewallregeln vorher angepasst werden.
Einfügen in Azure Virtual Network
Achtung
Eine VNet-Einfügung wird nicht empfohlen. Weitere Informationen finden Sie unter Einschränkungen der VNet-Einfügung.
Ein VNet (virtuelles Netzwerk) ermöglicht vielen Azure-Ressourcen die sichere Kommunikation untereinander sowie mit dem Internet und mit lokalen Netzwerken. Ein VNet ist vergleichbar mit einem herkömmlichen Netzwerk, das in einem Rechenzentrum betrieben wird.
Einschränkungen der VNet-Injektion
Das Erstellen und Verwalten von Konfigurationen virtueller Netzwerke ist häufig fehleranfällig. Auch die Problembehandlung ist eine Herausforderung. Falsche Konfigurationen virtueller Netzwerke können zu Problemen führen:
blockierte Metrikübertragung von Ihren Cache-Instanzen
Fehler des Replikatknotens beim Replizieren von Daten vom primären Knoten
potenzieller Datenverlust
Fehler bei Verwaltungsvorgängen wie Skalierung
zeitweilige oder vollständige SSL-/TLS-Fehler
Fehler beim Anwenden von Updates, einschließlich wichtiger Sicherheits- und Zuverlässigkeitsverbesserungen
in den schwerwiegendsten Szenarien: Verlust der Verfügbarkeit
Wenn Sie einen eingefügten VNet-Cache verwenden, müssen Sie Ihr VNet auf dem neuesten Stand halten, um den Zugriff auf Cacheabhängigkeiten zu ermöglichen, z. B. Zertifikatssperrlisten, Public Key-Infrastruktur, Azure Key Vault, Azure Storage, Azure Monitor u. v. m.
In VNet eingefügte Caches sind nur für Azure Cache for Redis Instanzen Premium verfügbar, nicht in anderen Dienstebenen.
Sie können keine vorhandene Azure Cache for Redis-Instanz in eine Virtual Network-Instanz einfügen. Sie müssen diese Option auswählen, wenn Sie den Cache erstellen.
Firewallregeln
Azure Cache for Redis ermöglicht das Konfigurieren von Firewallregeln zum Angeben der IP-Adresse, die Sie für die Verbindung mit Ihrer Azure Cache for Redis-Instanz zulassen möchten.
Vorteile von Firewallregeln
- Wenn Firewallregeln konfiguriert werden, können nur Clientverbindungen aus dem angegebenen IP-Adressbereich eine Verbindung mit dem Cache herstellen. Verbindungen von Azure Cache for Redis-Überwachungssystemen werden immer zugelassen, auch wenn Firewallregeln konfiguriert sind. Netzwerksicherheitsgruppen-Regeln, die Sie definieren, sind ebenfalls zulässig.
Einschränkungen von Firewallregeln
- Firewallregeln können nur dann auf einen privaten Endpunktcache angewendet werden, wenn der öffentliche Netzwerkzugriff aktiviert ist. Wenn der Zugriff auf öffentliche Netzwerke im privaten Endpunktcache ohne Firewallregeln aktiviert ist, akzeptiert der Cache den gesamten öffentlichen Netzwerkdatenverkehr.
- Die Konfiguration von Firewallregeln ist für alle Basic-, Standard- und Premium-Tarife verfügbar.
- Die Konfiguration von Firewallregeln ist für Enterprise- und Enterprise Flash-Tarife nicht verfügbar.
Nächste Schritte
- Erfahren Sie, wie Sie einen In VNet eingefügten Cache für eine Premium-Instanz von Azure Cache for Redis konfigurieren.
- Erfahren Sie, wie Sie Firewallregeln für alle Azure Cache for Redis-Tarife konfigurieren.
- Erfahren Sie, wie Sie private Endpunkte für alle Azure Cache for Redis-Tarife konfigurieren.