Condividi tramite

Opzioni di isolamento rete della cache di Azure per Redis

  • Articolo

Questo articolo illustra come determinare la soluzione di isolamento di rete migliore per le proprie esigenze. Vengono illustrate le nozioni di base di collegamento privato di Azure (scelta consigliata), l'inserimento di azure Rete virtuale (rete virtuale) e le regole del firewall. Vengono illustrati i vantaggi e le limitazioni.

Collegamento privato di Azure offre la connettività privata da una rete virtuale ai servizi PaaS di Azure. Il collegamento privato semplifica l'architettura di rete e protegge la connessione tra gli endpoint in Azure. collegamento privato protegge anche la connessione eliminando l'esposizione dei dati alla rete Internet pubblica.

  • Collegamento privato supportato in tutti i livelli , Basic, Standard, Premium, Enterprise ed Enterprise Flash, di istanze di cache di Azure per Redis.

  • Usando collegamento privato di Azure, è possibile connettersi a un'istanza di Cache di Azure dalla rete virtuale tramite un endpoint privato. All'endpoint viene assegnato un indirizzo IP privato in una subnet all'interno della rete virtuale. Con questo collegamento privato, le istanze della cache sono disponibili sia all'interno della rete virtuale che pubblicamente.

    Importante

    Non è possibile accedere pubblicamente alle cache Flash enterprise/Enterprise con collegamento privato.

  • Dopo aver creato un endpoint privato nelle cache di livello Basic/Standard/Premium, l'accesso alla rete pubblica può essere limitato tramite il publicNetworkAccess flag . Questo flag è impostato su Disabled per impostazione predefinita, che consente solo l'accesso al collegamento privato. È possibile impostare il valore su Enabled o Disabled con una richiesta PATCH. Per altre informazioni, vedere Cache di Azure per Redis con collegamento privato di Azure.

    Importante

    Il livello Enterprise/Enterprise Flash non supporta publicNetworkAccess il flag.

  • Le dipendenze della cache esterna non influiscono sulle regole del gruppo di sicurezza di rete della rete virtuale.

  • Il salvataggio permanente in tutti gli account di archiviazione protetti con regole del firewall è supportato nel livello Premium quando si usa l'identità gestita per connettersi all'account di archiviazione, vedere Altre informazioni sull'importazione ed esportazione dei dati in cache di Azure per Redis

  • Il collegamento privato offre meno privilegi riducendo la quantità di accesso alla cache ad altre risorse di rete. Il collegamento privato impedisce a un attore malintenzionato di avviare il traffico verso il resto della rete.

  • Attualmente, la console del portale non è supportata per le cache con collegamento privato.

Nota

Quando si aggiunge un endpoint privato a un'istanza della cache, tutto il traffico Redis viene spostato nell'endpoint privato a causa del DNS. Verificare che le regole del firewall precedenti vengano modificate prima.

Inserimento di azure Rete virtuale

Attenzione

Rete virtuale l'iniezione non è consigliata. Per altre informazioni, vedere Limitazioni dell'inserimento della rete virtuale.

Rete virtuale (rete virtuale) consente a molte risorse di Azure di comunicare in modo sicuro tra loro, internet e reti locali. La rete virtuale è simile a una rete tradizionale che si opera nel proprio data center.

Limitazioni dell'inserimento della rete virtuale

  • La creazione e la gestione delle configurazioni di rete virtuale sono spesso soggette a errori. Anche la risoluzione dei problemi è complessa. Le configurazioni di rete virtuale non corrette possono causare problemi:

    • trasmissione di metriche ostruita dalle istanze della cache

    • errore del nodo di replica per replicare i dati dal nodo primario

    • potenziale perdita di dati

    • errore di operazioni di gestione come il ridimensionamento

    • errori intermittenti o completi di SSL/TLS

    • mancata applicazione degli aggiornamenti, inclusi importanti miglioramenti alla sicurezza e all'affidabilità

    • negli scenari più gravi, perdita di disponibilità

  • Quando si usa una cache inserita nella rete virtuale, è necessario mantenere aggiornata la rete virtuale per consentire l'accesso alle dipendenze della cache, ad esempio elenchi di revoche di certificati, infrastruttura a chiave pubblica, Azure Key Vault, Archiviazione di Azure, Monitoraggio di Azure e altro ancora.

  • Le cache inserite nella rete virtuale sono disponibili solo per le istanze di cache di Azure per Redis di livello Premium, non per altri livelli.

  • Non è possibile inserire un'istanza di Cache Redis di Azure esistente in una rete virtuale. È necessario selezionare questa opzione quando si crea la cache.

Regole del firewall

cache di Azure per Redis consente di configurare le regole del firewall per specificare l'indirizzo IP che si vuole consentire la connessione all'istanza di cache di Azure per Redis.

Vantaggi delle regole del firewall

  • Quando le regole del firewall sono configurate, solo le connessioni client degli intervalli di indirizzi IP specificati possono connettersi alla cache. Le connessioni dai sistemi di monitoraggio di Cache Redis di Azure sono sempre consentite, anche se le regole del firewall sono configurate. Sono consentite anche le regole del gruppo di sicurezza di rete definite.

Limitazioni delle regole del firewall

  • Le regole del firewall possono essere applicate a una cache degli endpoint privati solo se l'accesso alla rete pubblica è abilitato. Se l'accesso alla rete pubblica è abilitato nella cache degli endpoint privati senza regole del firewall, la cache accetta tutto il traffico di rete pubblico.
  • La configurazione delle regole del firewall è disponibile per tutti i livelli Basic, Standard e Premium.
  • La configurazione delle regole del firewall non è disponibile per i livelli Enterprise e Enterprise Flash.

Passaggi successivi