Partager via

Options d’isolement réseau d’Azure Cache pour Redis

  • Article

Dans cet article, vous apprendrez à déterminer la meilleure solution d’isolation réseau pour vos besoins. Nous abordons les bases d’Azure Private Link (recommandé), de l’injection de réseau virtuel Azure (VNet) et des règles de pare-feu. Nous discutons de leurs avantages et de leurs limites.

Azure Private Link fournit une connectivité privée entre un réseau virtuel et les services Azure PaaS. Private Link simplifie l’architecture réseau et sécurise la connexion entre points de terminaison dans Azure. Private Link sécurise également la connexion en éliminant l’exposition des données à Internet public.

  • Lien privé pris en charge sur tous les niveaux (niveaux Basique, Standard, Premium, Entreprise et Enterprise Flash) des instances Azure Cache pour Redis.

  • En utilisant Azure Private Link, vous pouvez vous connecter à une instance de cache Azure à partir de votre réseau virtuel via un point de terminaison privé. Le point de terminaison est associé à une adresse IP privée dans un sous-réseau au sein du réseau virtuel. Avec cette liaison privée, les instances de cache sont disponibles tant à partir du réseau virtuel que publiquement.

    Important

    Les caches Enterprise/Enterprise Flash avec liaison privée ne sont pas accessibles publiquement.

  • Une fois qu’un point de terminaison privé est créé sur des caches de niveau de service De base/Standard/Premium, l’accès au réseau public peut être limité via l’indicateur publicNetworkAccess. Cet indicateur est défini Disabled par défaut, ce qui autorise uniquement l'accès au lien privé. Vous pouvez définir la valeur sur Enabled ou Disabled avec une requête PATCH. Pour plus d’informations, consultez Azure Cache pour Redis avec Azure Private Link.

    Important

    Le niveau de service Entreprise/Entreprise Flash ne prend pas en charge l’indicateur publicNetworkAccess.

  • Les dépendances de cache externe n’affectent pas les règles NSG du réseau virtuel.

  • La persistance sur tous les comptes de stockage protégés par des règles de pare-feu est prise en charge au niveau Premium lors de l'utilisation d'une identité managée pour se connecter au compte de stockage. Voir plus d'informations dans importation et exportation de données dans Azure Cache pour Redis

  • Le lien privé offre moins de privilèges en réduisant la quantité d'accès de votre cache aux autres ressources réseau. Le lien privé empêche un mauvais acteur d’initier du trafic vers le reste de votre réseau.

  • Actuellement, la console du portail n'est pas prise en charge pour les caches avec lien privé.

Remarque

Lors de l’ajout d’un point de terminaison privé à une instance de cache, tout le trafic de Redis est acheminé vers le point de terminaison privé en raison du DNS. Vérifiez que les règles de pare-feu précédentes sont ajustées avant.

Injection sur le réseau virtuel Azure

Attention

L’injection de Réseau virtuel Microsoft Azure n’est pas recommandée. Pour plus d'informations, voir Limitations de l'injection VNet.

Le réseau virtuel (VNet) permet à de nombreuses ressources Azure de communiquer en toute sécurité entre elles, avec Internet et avec les réseaux locaux. Un réseau virtuel Azure est semblable à un réseau traditionnel que vous exploiteriez dans votre propre centre de données.

Limitations de l’injection de réseau virtuel

  • La création et la maintenance de configurations de réseau virtuel sont souvent sujettes à des erreurs. La résolution des problèmes est également difficile. Des configurations de réseau virtuel incorrectes peuvent entraîner des problèmes :

    • transmission des métriques obstruées à partir de vos instances de cache

    • échec du nœud réplica pour répliquer des données à partir du nœud principal

    • perte de données potentielle

    • échec des opérations de gestion telles que la mise à l’échelle

    • Échecs intermittents ou complets de SSL/TLS

    • échecs d’application des mises à jour, notamment les améliorations de fiabilité et de sécurité importantes

    • dans les scénarios les plus graves, perte de disponibilité

  • Lorsque vous utilisez un cache injecté sur un VNet, vous devez maintenir votre VNet à jour pour autoriser l’accès aux dépendances du cache, telles que les listes de révocation de certificats, l’infrastructure à clés publiques, Azure Key Vault, Stockage Microsoft Azure, Azure Monitor, etc.

  • Les caches injectés de réseau virtuel sont disponibles uniquement pour les instances Azure Cache pour Redis de niveau Premium, et non pour les autres niveaux.

  • Vous ne pouvez pas injecter une instance Azure Cache pour Redis existante dans un réseau virtuel. Vous devez sélectionner cette option lorsque vous créer le cache.

Règles de pare-feu

Azure Cache pour Redis permet de configurer des règles de pare-feu pour spécifier l'adresse IP que vous souhaitez autoriser à se connecter à votre instance Azure Cache pour Redis.

Avantages des règles de pare-feu

  • Lorsque des règles de pare-feu sont configurées, seules les connexions client à partir des plages d’adresses IP spécifiées peuvent se connecter au cache. Les connexions depuis les systèmes de surveillance de cache Azure pour Redis sont toujours autorisées, même si des règles de pare-feu sont configurées. Les règles NSG que vous définissez sont également autorisées.

Limitations des règles de pare-feu

  • Les règles de pare-feu peuvent être appliquées à un cache de point de terminaison privé uniquement si l’accès au réseau public est activé. Si l’accès au réseau public est activé sur le cache de point de terminaison privé sans aucune règle de pare-feu, le cache accepte tout le trafic réseau public.
  • La configuration des règles de pare-feu est disponible pour tous les niveaux De base, Standard et Premium.
  • La configuration des règles de pare-feu n’est pas disponible pour les niveaux Enterprise ni Enterprise Flash.

Étapes suivantes