Freigeben über


Azure Cache for Redis: Netzwerkisolationsoptionen

In diesem Artikel erfahren Sie, wie Sie die beste Lösung für die Netzwerkisolation gemäß Ihren Anforderungen ermitteln. Sie lernen die Grundlagen von Azure Private Link (empfohlen), Azure Virtual Network-Einfügungen (VNet) und Azure Firewall-Regeln kennen. Dabei werden auch deren Vorteile und Einschränkungen erläutert.

Azure Private Link stellt eine private Verbindung zwischen einem virtuellen Netzwerk und Azure-PaaS-Diensten (Platform-as-a-Service) her. Durch Private Link wird die Netzwerkarchitektur vereinfacht und die Verbindung zwischen Endpunkten in Azure geschützt. Private Link schützt außerdem die Verbindung, indem die Offenlegung von Daten im öffentlichen Internet verhindert wird.

  • Private Links werden auf allen Ebenen – Basic, Standard, Premium, Enterprise und Enterprise Flash – von Azure Cache für Redis-Instanzen unterstützt.

  • Mit Azure Private Link können Sie aus Ihrem virtuellen Netzwerk über einen privaten Endpunkt eine Verbindung mit einer Azure Cache-Instanz herstellen. Dem Endpunkt ist eine private IP-Adresse in einem Subnetz innerhalb des virtuellen Netzwerks zugewiesen. Über diese private Verbindung sind Cache-Instanzen sowohl innerhalb des VNet als auch öffentlich verfügbar.

    Wichtig

    Auf Enterprise/Enterprise Flash-Caches mit privater Verbindung kann nicht öffentlich zugegriffen werden.

  • Nachdem ein privater Endpunkt für Caches auf den Dienstebenen Basic/Standard/Premium erstellt wurde, kann der Zugriff auf das öffentliche Netzwerk durch das publicNetworkAccess-Flag eingeschränkt werden. Dieses Flag wird standardmäßig auf Disabled festgelegt, wodurch nur Zugriff über private Verbindungen zulässig ist. Sie können den Wert mit einer PATCH-Anforderung auf Enabled oder Disabled festlegen. Weitere Informationen finden Sie unter Azure Cache for Redis mit Azure Private Link.

    Wichtig

    Die Dienstebene Enterprise/Enterprise Flash unterstützt nicht das publicNetworkAccess-Flag.

  • Externe Cacheabhängigkeiten haben keine Auswirkungen auf die Netzwerksicherheitsgruppen-Regeln des VNet.

  • Die Speicherung von Daten in einem beliebigen Speicherkonto, das durch Firewallregeln geschützt ist, wird im Premium-Tarif unterstützt, wenn eine verwaltete Identität wird, um die Verbindung mit dem Speicherkonto herzustellen. Weitere Informationen finden Sie im Artikel Importieren und Exportieren von Daten in Azure Cache for Redis.

  • Private Link stellt weniger Berechtigungen bereit, indem der Zugriff Ihres Caches auf andere Netzwerkressourcen reduziert wird. Private Link verhindert, dass böswillige Akteure Datenverkehr zu anderen Teilen Ihres Netzwerks initiieren.

  • Derzeit wird die Portalkonsole für Caches mit Privat Link nicht unterstützt.

Hinweis

Beim Hinzufügen eines privaten Endpunkts zu einer Cache-Instanz wird der gesamte Redis-Datenverkehr wegen des DNS auf den privaten Endpunkt verschoben. Stellen Sie sicher, dass vorherige Firewallregeln vorher angepasst werden.

Einfügen in Azure Virtual Network

Achtung

Eine VNet-Einfügung wird nicht empfohlen. Weitere Informationen finden Sie unter Einschränkungen der VNet-Einfügung.

Ein VNet (virtuelles Netzwerk) ermöglicht vielen Azure-Ressourcen die sichere Kommunikation untereinander sowie mit dem Internet und mit lokalen Netzwerken. Ein VNet ist vergleichbar mit einem herkömmlichen Netzwerk, das in einem Rechenzentrum betrieben wird.

Einschränkungen der VNet-Injektion

  • Das Erstellen und Verwalten von Konfigurationen virtueller Netzwerke ist häufig fehleranfällig. Auch die Problembehandlung ist eine Herausforderung. Falsche Konfigurationen virtueller Netzwerke können zu Problemen führen:

    • blockierte Metrikübertragung von Ihren Cache-Instanzen

    • Fehler des Replikatknotens beim Replizieren von Daten vom primären Knoten

    • potenzieller Datenverlust

    • Fehler bei Verwaltungsvorgängen wie Skalierung

    • zeitweilige oder vollständige SSL-/TLS-Fehler

    • Fehler beim Anwenden von Updates, einschließlich wichtiger Sicherheits- und Zuverlässigkeitsverbesserungen

    • in den schwerwiegendsten Szenarien: Verlust der Verfügbarkeit

  • Wenn Sie einen eingefügten VNet-Cache verwenden, müssen Sie Ihr VNet auf dem neuesten Stand halten, um den Zugriff auf Cacheabhängigkeiten zu ermöglichen, z. B. Zertifikatssperrlisten, Public Key-Infrastruktur, Azure Key Vault, Azure Storage, Azure Monitor u. v. m.

  • In VNet eingefügte Caches sind nur für Azure Cache for Redis Instanzen Premium verfügbar, nicht in anderen Dienstebenen.

  • Sie können keine vorhandene Azure Cache for Redis-Instanz in eine Virtual Network-Instanz einfügen. Sie müssen diese Option auswählen, wenn Sie den Cache erstellen.

Firewallregeln

Azure Cache for Redis ermöglicht das Konfigurieren von Firewallregeln zum Angeben der IP-Adresse, die Sie für die Verbindung mit Ihrer Azure Cache for Redis-Instanz zulassen möchten.

Vorteile von Firewallregeln

  • Wenn Firewallregeln konfiguriert werden, können nur Clientverbindungen aus dem angegebenen IP-Adressbereich eine Verbindung mit dem Cache herstellen. Verbindungen von Azure Cache for Redis-Überwachungssystemen werden immer zugelassen, auch wenn Firewallregeln konfiguriert sind. Netzwerksicherheitsgruppen-Regeln, die Sie definieren, sind ebenfalls zulässig.

Einschränkungen von Firewallregeln

  • Firewallregeln können nur dann auf einen privaten Endpunktcache angewendet werden, wenn der öffentliche Netzwerkzugriff aktiviert ist. Wenn der Zugriff auf öffentliche Netzwerke im privaten Endpunktcache ohne Firewallregeln aktiviert ist, akzeptiert der Cache den gesamten öffentlichen Netzwerkdatenverkehr.
  • Die Konfiguration von Firewallregeln ist für alle Basic-, Standard- und Premium-Tarife verfügbar.
  • Die Konfiguration von Firewallregeln ist für Enterprise- und Enterprise Flash-Tarife nicht verfügbar.

Nächste Schritte