Qu’est-ce qu’Azure Managed Redis (préversion) avec Azure Private Link ?
Dans cet article, vous découvrez comment créer un réseau virtuel et une instance Azure Managed Redis (préversion) avec un point de terminaison privé à l’aide du portail Azure. Vous apprendrez également à ajouter un point de terminaison privé à une instance Azure Managed Redis existante.
Azure Private Endpoint est une interface réseau qui vous connecte de manière privée et sécurisée à Azure Managed Redis optimisé par Azure Private Link.
Important
L’utilisation d’un point de terminaison privé pour se connecter à un réseau virtuel est la solution recommandée pour sécuriser votre ressource Azure Managed Redis (préversion) au niveau de la couche réseau.
Prérequis
- Abonnement Azure : créez-en un gratuitement
Créer un point de terminaison privé avec une nouvelle instance Azure Managed Redis
Dans cette section, vous créez une nouvelle instance Azure Managed Redis avec un point de terminaison privé.
Créer un réseau virtuel pour votre nouveau cache
Pour créer un cache à l’aide du portail :
Connectez-vous au portail Azure et sélectionnez Créer une ressource.
Dans la page Nouvelle, sélectionnez Mise en réseau, puis sélectionnez Réseau virtuel.
Sélectionnez Ajouter pour créer un réseau virtuel.
Dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes sous l’onglet Général :
Paramètre Valeur suggérée Description Abonnement Dans la liste déroulante, sélectionnez votre abonnement. Abonnement dans lequel vous créez ce réseau virtuel. Groupe de ressources Dans la liste déroulante, sélectionnez un groupe de ressources ou choisissez Créer nouveau, puis entrez un nouveau nom de groupe de ressources. Nom du groupe de ressources dans lequel créer votre réseau virtuel et d’autres ressources. En plaçant toutes les ressources de votre application dans un seul groupe de ressources, vous pouvez facilement les gérer ou les supprimer ensemble. Nom Entrez un nom de réseau virtuel. Le nom doit : commencer par une lettre ou un chiffre ; se terminer par une lettre, un chiffre ou un trait de soulignement ; et doit contenir seulement des lettres, des chiffres, des traits de soulignement, des points ou des traits d'union. Région Dans la liste déroulante, sélectionnez une région. Choisissez une région proche d’autres services qui utiliseront votre réseau virtuel. Sélectionnez l’onglet Adresses IP, ou sélectionnez le bouton Suivant : Adresses IP au bas de la page.
Dans l’onglet Adresses IP, spécifiez l’espace d’adressage IPv4 comme un ou plusieurs préfixes d’adresse en notation CIDR (par exemple, 192.168.1.0/24).
Sous Nom du sous-réseau, sélectionnezPar défaut pour modifier les propriétés du sous-réseau.
Dans le volet Modifier le sous-réseau, spécifiez un nom de sous-réseau et la plage d’adresses du sous-réseau. La plage d’adresses du sous-réseau doit utiliser la notation CIDR (par exemple, 192.168.1.0/24). Elle doit être contenue dans l’espace d’adressage du réseau virtuel.
Sélectionnez Enregistrer.
Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton Vérifier + créer.
Vérifiez que toutes les informations sont correctes, puis sélectionnez Créer pour créer le réseau virtuel.
Créez une instance Azure Managed Redis avec un point de terminaison privé
Pour créer une instance de cache, procédez comme suit :
Revenez à la page d’accueil du portail Azure ou ouvrez le menu latéral, puis sélectionnez Créer une ressource.
Dans la zone de recherche, tapez Azure Cache pour Redis. Affinez votre recherche sur les services Azure uniquement, puis sélectionnez Azure Cache pour Redis.
Dans la page Nouveau cache Redis, configurez les paramètres du nouveau cache.
- Sélectionnez un cache Azure Managed Redis dans Référence SKU du cache.
- Sélectionnez une option appropriée dans Taille du cache.
Sélectionnez l’onglet Réseau ou sélectionnez le bouton Réseau au bas de la page.
Sous l’onglet Réseau, sélectionnez Point de terminaison privé comme méthode de connectivité.
Sélectionnez le bouton Ajouter pour créer votre point de terminaison privé.
Dans la page Créer un point de terminaison privé, configurez les paramètres de votre point de terminaison privé avec le réseau virtuel et le sous-réseau que vous avez créés dans la dernière section, puis sélectionnez OK.
Sélectionnez le bouton Suivant : Avancé ou sélectionnez le bouton Suivant : Avancé en bas de la page.
Sous l’onglet Avancé d’une instance de cache de base ou standard, sélectionnez Activer/désactiver si vous souhaitez activer un port non-TLS.
Sous l’onglet Avancé d’une instance de cache premium, configurez les paramètres pour le port non-TLS, le clustering et la persistance des données.
Sélectionnez l’onglet Suivant : Avancé ou sélectionnez le bouton Suivant : Étiquettes au bas de la page.
Si vous le voulez, sous l’onglet Étiquettes, entrez le nom et la valeur si vous souhaitez catégoriser la ressource.
Sélectionnez Revoir + créer. Vous êtes redirigé vers l’onglet Vérifier + créer où Azure valide votre configuration.
Une fois que le message vert Validation réussie s’affiche, sélectionnez Créer.
La création du cache prend un certain temps. Vous pouvez suivre la progression sur la page Présentation d’Azure Managed Redis. Lorsque État indique En cours d’exécution, le cache est prêt pour utilisation.
Créer un point de terminaison privé avec une instance Azure Managed Redis existante
Dans cette section, vous ajoutez un point de terminaison privé à une instance Azure Managed Redis existante.
Créer un réseau virtuel pour votre cache existant
Pour créer un réseau virtuel, procédez comme suit :
Connectez-vous au portail Azure et sélectionnez Créer une ressource.
Dans la page Nouvelle, sélectionnez Mise en réseau, puis sélectionnez Réseau virtuel.
Sélectionnez Ajouter pour créer un réseau virtuel.
Dans Créer un réseau virtuel, entrez ou sélectionnez les informations suivantes sous l’onglet Général :
Paramètre Valeur suggérée Description Abonnement Dans la liste déroulante, sélectionnez votre abonnement. Abonnement dans lequel vous créez ce réseau virtuel. Groupe de ressources Dans la liste déroulante, sélectionnez un groupe de ressources ou choisissez Créer nouveau, puis entrez un nouveau nom de groupe de ressources. Nom du groupe de ressources dans lequel créer votre réseau virtuel et d’autres ressources. En plaçant toutes les ressources de votre application dans un seul groupe de ressources, vous pouvez facilement les gérer ou les supprimer ensemble. Nom Entrez un nom de réseau virtuel. Le nom doit : commencer par une lettre ou un chiffre ; se terminer par une lettre, un chiffre ou un trait de soulignement ; et doit contenir seulement des lettres, des chiffres, des traits de soulignement, des points ou des traits d'union. Région Dans la liste déroulante, sélectionnez une région. Choisissez une région proche d’autres services qui utiliseront votre réseau virtuel. Sélectionnez l’onglet Adresses IP, ou sélectionnez le bouton Suivant : Adresses IP au bas de la page.
Dans l’onglet Adresses IP, spécifiez l’espace d’adressage IPv4 comme un ou plusieurs préfixes d’adresse en notation CIDR (par exemple, 192.168.1.0/24).
Sous Nom du sous-réseau, sélectionnezPar défaut pour modifier les propriétés du sous-réseau.
Dans le volet Modifier le sous-réseau, spécifiez un nom de sous-réseau et la plage d’adresses du sous-réseau. La plage d’adresses du sous-réseau doit utiliser la notation CIDR (par exemple, 192.168.1.0/24). Elle doit être contenue dans l’espace d’adressage du réseau virtuel.
Sélectionnez Enregistrer.
Sélectionnez l’onglet Vérifier + créer, ou sélectionnez le bouton Vérifier + créer.
Vérifiez que toutes les informations sont correctes, puis sélectionnez Créer pour créer le réseau virtuel.
Créer un Private Endpoint
Pour créer un point de terminaison privé, procédez comme suit :
Dans le Portail Azure, sélectionnez Azure Cache pour Redis. Ensuite, appuyez sur Entrée ou sélectionnez-le parmi les suggestions de la recherche pour votre cache.
Sélectionnez l’instance de cache à laquelle vous souhaitez ajouter un point de terminaison privé.
Sur le côté gauche de l’écran, sélectionnez Point de terminaison privé.
Sélectionnez le bouton Point de terminaison privé pour créer votre point de terminaison privé.
Dans la page Créer un point de terminaison privé, configurez les paramètres de votre point de terminaison privé.
Paramètre Valeur suggérée Description Abonnement Dans la liste déroulante, sélectionnez votre abonnement. Abonnement dans lequel vous créez ce point de terminaison privé. Groupe de ressources Dans la liste déroulante, sélectionnez un groupe de ressources ou choisissez Créer nouveau, puis entrez un nouveau nom de groupe de ressources. Nom du groupe de ressources dans lequel créer votre point de terminaison privé et d’autres ressources. En plaçant toutes les ressources de votre application dans un seul groupe de ressources, vous pouvez facilement les gérer ou les supprimer ensemble. Nom Entrez un nom de point de terminaison privé. Le nom doit commencer par une lettre ou un chiffre et se terminer par une lettre, un chiffre ou un trait de soulignement, et il ne peut contenir que des lettres, des chiffres, des traits de soulignement, des points ou des traits d’union. Région Dans la liste déroulante, sélectionnez une région. Sélectionnez une région proche d’autres services qui utilisent votre point de terminaison privé. Sélectionnez le bouton Suivant : Ressource en bas de la page.
Sous l’onglet Ressources, sélectionnez votre abonnement, choisissez le type de ressource
Microsoft.Cache/redisEnterprise, puis sélectionnez le cache auquel vous souhaitez connecter le point de terminaison privé.Sélectionnez le bouton Suivant : Configuration en bas de la page.
Sélectionnez le bouton Suivant : Réseau virtuel au bas de la page.
Sous l’onglet Configuration, sélectionnez le réseau virtuel et le sous-réseau que vous avez créés dans la section précédente.
Sous l’onglet Réseau virtuel, sélectionnez le réseau virtuel et le sous-réseau que vous avez créés dans la section précédente.
Sélectionnez le bouton Suivant : Étiquettes au bas de la page.
Si vous le voulez, sous l’onglet Étiquettes, entrez le nom et la valeur si vous souhaitez catégoriser la ressource.
Sélectionnez Revoir + créer. Vous êtes redirigé vers l’onglet Vérifier + créer où Azure valide votre configuration.
Une fois que le message vert Validation réussie s’affiche, sélectionnez Créer.
Important
Il existe un indicateur publicNetworkAccess qui est Disabled par défaut.
Vous pouvez définir la valeur sur Disabled ou Enabled. Lorsqu’il est activé, cet indicateur autorise l’accès public et privé au cache au point de terminaison. Lorsqu'il est réglé sur Disabled, il n'autorise que l'accès aux points de terminaison privés. Pour plus d’informations sur la modification de la valeur, consultez la FAQ.
Créer une instance Private Endpoint à l’aide d’Azure PowerShell
Pour créer un point de terminaison privé nommé MyPrivateEndpoint pour une instance Azure Managed Redis existante, exécutez le script PowerShell suivant. Remplacez les valeurs des variables par les informations de votre environnement :
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Managed Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Managed Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Récupérer un point de terminaison privé en utilisant Azure PowerShell
Pour obtenir les détails d’un point de terminaison privé, utilisez cette commande PowerShell :
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Supprimer un point de terminaison privé en utilisant Azure PowerShell
Pour supprimer un point de terminaison privé, utilisez la commande PowerShell suivante :
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Créer une instance Private Endpoint à l’aide d’Azure CLI
Pour créer un point de terminaison privé nommé myPrivateEndpoint pour une instance Azure Managed Redis existante, exécutez le script Azure CLI suivant. Remplacez les valeurs des variables par les informations de votre environnement :
# Resource group where the Azure Managed Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Managed Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Managed Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/redisEnterprise/$redisCacheName" \
--group-ids "redisEnterprise" \
--connection-name $PrivateConnectionName
Récupérer un point de terminaison privé en utilisant Azure CLI
Pour obtenir les détails d’un point de terminaison privé, utilisez la commande CLI suivante :
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Supprimer un point de terminaison privé en utilisant Azure CLI
Pour supprimer un point de terminaison privé, utilisez la commande CLI suivante :
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Questions fréquentes (FAQ)
- Comment me connecter à mon cache avec un point de terminaison privé ?
- Pourquoi ne puis-je pas me connecter à un point de terminaison privé ?
- Quelles sont les fonctionnalités non prises en charge avec les points de terminaison privés ?
- Comment vérifier si mon point de terminaison privé est correctement configuré ?
- Comment puis-je modifier mon point de terminaison privé pour qu’il soit désactivé ou activé à partir de l’accès au réseau public ?
- Comment puis-je avoir plusieurs points de terminaison dans différents réseaux virtuels ?
- Que se passe-t-il si je supprime tous les points de terminaison privés sur mon cache ?
- Les groupes de sécurité réseau (NSG) sont-ils activés pour les points de terminaison privés ?
- Mon instance de point de terminaison privé ne figure pas dans mon réseau virtuel. alors comment est-elle associée à mon réseau virtuel ?
Comment me connecter à mon cache avec un point de terminaison privé ?
Votre application doit se connecter à <cachename>.<region>.redis.azure.net sur le port 10000. Une zone DNS privée, appelée *.privatelink.redis.azure.net, est automatiquement créée dans votre abonnement. La zone DNS privée est essentielle pour établir la connexion TLS avec le point de terminaison privé. Nous vous recommandons d’éviter d’utiliser <cachename>.privatelink.redis.azure.net dans la configuration de la connexion cliente.
Pour plus d’informations, consultez Configuration des zones DNS des services Azure.
Pourquoi ne puis-je pas me connecter à un point de terminaison privé ?
Les points de terminaison privés ne peuvent pas être utilisés avec votre instance de cache si votre cache est déjà injecté sur un réseau virtuel.
Les caches Azure Managed Redis sont limités à 84 liaisons privées.
Vous tentez de rendre les données persistantes dans le compte de stockage où les règles de pare-feu appliquées peuvent vous empêcher de créer la liaison privée.
Vous pouvez être dans l’impossibilité de vous connecter à votre point de terminaison privé si votre instance de cache utilise une fonctionnalité non prise en charge.
Quelles sont les fonctionnalités non prises en charge avec les points de terminaison privés ?
- Il n’existe aucune restriction quant à l’utilisation d’un point de terminaison privé avec Azure Managed Redis (préversion).
Comment vérifier si mon point de terminaison privé est correctement configuré ?
Accédez à Vue d’ensemble dans le menu Ressource du portail. Vous voyez le Nom d’hôte pour votre cache dans le volet de travail. Pour vérifier que la commande est résolue en adresse IP privée pour le cache, exécutez une commande telle que nslookup <hostname> à partir du réseau virtuel lié au point de terminaison privé.
Comment puis-je modifier mon point de terminaison privé pour qu’il soit désactivé ou activé à partir de l’accès au réseau public ?
Pour modifier la valeur dans le portail Microsoft Azure, procédez comme suit :
Dans le portail Azure, recherchez Azure Managed Redis. Puis, appuyez sur Entrée ou sélectionnez-le depuis les suggestions de la recherche.
Sélectionnez l’instance de cache dont vous souhaitez modifier la valeur d’accès au réseau public.
Sur le côté gauche de l’écran, sélectionnez Point de terminaison privé.
Supprimez le point de terminaison privé.
Comment puis-je avoir plusieurs points de terminaison dans différents réseaux virtuels ?
Pour avoir plusieurs points de terminaison privés dans différents réseaux virtuels, la zone DNS privée doit être configurée manuellement sur les différents réseaux virtuels avant de créer le point de terminaison privé. Pour plus d’informations, consultez Configuration DNS des points de terminaison privés Azure.
Que se passe-t-il si je supprime tous les points de terminaison privés sur mon cache ?
Si vous supprimez tous les points de terminaison privés sur votre cache Azure Managed Redis (préversion), les paramètres réseau par défaut activent l’accès au réseau public.
Les groupes de sécurité réseau (NSG) sont-ils activés pour les points de terminaison privés ?
Non, ils sont désactivés pour les points de terminaison privés. Si les sous-réseaux contenant Private Endpoint peuvent être associés à un groupe de sécurité réseau, les règles ne sont pas effectives sur le trafic traité par Private Endpoint. Vous devez désactiver l’application des stratégies réseau pour déployer Private Endpoint dans un sous-réseau. Le groupe de sécurité réseau est toujours appliqué sur les autres charges de travail hébergées sur le même sous-réseau. Les routes sur un sous-réseau client utilisent un préfixe /32 ; la modification du comportement de routage par défaut nécessite une route définie par l’utilisateur similaire.
Contrôlez le trafic à l’aide de règles de groupe de sécurité réseau pour le trafic sortant sur les clients source. Déployez des routes individuelles avec le préfixe /32 pour remplacer les routes de points de terminaison privés. Les journaux de trafic NSG et les informations de supervision pour les connexions sortantes sont toujours pris en charge et peuvent être utilisés.
Mon instance de point de terminaison privé ne figure pas dans mon réseau virtuel. alors comment est-elle associée à mon réseau virtuel ?
Votre point de terminaison privé est lié uniquement à votre réseau virtuel. Comme elle ne se trouve pas dans votre réseau virtuel, il n’est pas nécessaire de modifier les règles NSG pour les points de terminaison dépendants.
Contenu connexe
- Pour en savoir plus sur Azure Private Link, consultez la documentation d’Azure Private Link.
- Pour comparer les différentes options d’isolement réseau de votre cache, consultez la documentation sur les options d’isolement réseau d’Azure Cache pour Redis.