Che cos'è cache di Azure per Redis con collegamento privato di Azure?
Questo articolo illustra come creare una rete virtuale e un'istanza di cache di Azure per Redis con un endpoint privato usando il portale di Azure. Si apprenderà anche come aggiungere un endpoint privato a un'istanza di cache di Azure per Redis esistente.
Un endpoint privato di Azure è un'interfaccia di rete che connette privatamente e in modo sicuro a una cache di Azure per Redis basata su Collegamento privato di Azure.
È possibile limitare l'accesso pubblico all'endpoint privato della cache disabilitando il flag PublicNetworkAccess.
Importante
Esiste un flag publicNetworkAccess che è Disabled per impostazione predefinita.
È possibile impostare il valore su Disabled o Enabled. Se impostato su Enabled, questo flag consente l'accesso alla cache tramite endpoint pubblico e privato. Se impostato su Disabled, consente solo l'accesso tramite endpoint privato. Né il livello Enterprise né Enterprise Flash supporta il flag publicNetworkAccess. Per altre informazioni su come modificare il valore, vedere le domande frequenti.
Importante
L'endpoint privato è supportato nei livelli di cache Basic, Standard, Premium ed Enterprise. È consigliabile usare l'endpoint privato anziché le reti virtuali. Gli endpoint privati sono facili da configurare o rimuovere, sono supportati in tutti i livelli e possono connettere la cache a più reti virtuali diverse contemporaneamente.
Quando si usa il livello Basic, è possibile che si verifichi una perdita di dati quando si elimina e si ricrea un endpoint privato.
Ambito della disponibilità
| Livello | Basic, Standard, Premium | Enterprise, Enterprise Flash | Redis gestito di Azure (anteprima) |
|---|---|---|---|
| Disponibile | Sì | Sì | Sì |
Prerequisiti
- Sottoscrizione di Azure: creare un account gratuito
Importante
Attualmente, la console Redis basata sul portale non è supportata con il collegamento privato.
Importante
Quando si usa un collegamento privato, non è possibile esportare o importare dati in un account di archiviazione con firewall abilitato, a meno che non si usi una cache di livello Premium con identità gestita per l'autenticazione nell'account di archiviazione. Per altre informazioni, vedere Cosa succede se il firewall è abilitato nell'account di archiviazione?
Creare un endpoint privato con una nuova istanza di cache di Azure per Redis
In questa sezione viene creata una nuova istanza di cache di Azure per Redis con un endpoint privato.
Creare una rete virtuale per la nuova cache
Accedere al portale di Azure e selezionare Crea una risorsa.
Nella pagina Nuovo selezionare Rete e quindi Rete virtuale.
Selezionare Aggiungi per creare una rete virtuale.
In Crea rete virtuale immettere o selezionare queste informazioni nella scheda Generale:
Selezionare la scheda Indirizzi IP oppure il pulsante Avanti: Indirizzi IP nella parte inferiore della pagina.
Nella scheda Indirizzi IP specificare lo spazio indirizzi IPv4 come uno o più prefissi di indirizzo nella notazione CIDR, ad esempio 192.168.1.0/24.
In Nome subnet selezionare per impostazione predefinita per modificare le proprietà della subnet.
Nel riquadro Modifica subnet specificare un nome subnet e l'intervallo di indirizzi subnet. L'intervallo di indirizzi della subnet deve trovarsi nella notazione CIDR, ad esempio 192.168.1.0/24. Deve essere incluso nello spazio indirizzi della rete virtuale.
Seleziona Salva.
Selezionare la scheda Rivedi e crea oppure il pulsante Rivedi e crea.
Verificare che tutte le informazioni siano corrette e selezionare Crea per creare la rete virtuale.
Creare un'istanza di cache di Azure per Redis con un endpoint privato
Per creare un'istanza della cache, seguire questa procedura:
Tornare alla home page portale di Azure o aprire il menu della barra laterale, quindi selezionare Crea una risorsa.
Nella pagina Nuovo selezionare Database e quindi Cache di Azure per Redis.
Nella pagina Nuova cache Redis configurare le impostazioni per la nuova cache.
Impostazione Valore suggerito Descrizione Nome DNS Immettere un nome globalmente univoco. Il nome della cache deve essere una stringa contenente da 1 a 63 caratteri. La stringa deve contenere solo numeri, lettere o trattini. Il nome deve iniziare e terminare con un numero o una lettera e non può contenere trattini consecutivi. Il nome host dell'istanza della cache è <nome DNS>.redis.cache.windows.net. Abbonamento Nell'elenco a discesa selezionare la sottoscrizione. Sottoscrizione in cui creare la nuova istanza della cache di Azure per Redis. Gruppo di risorse Nell'elenco a discesa selezionare un gruppo di risorse oppure scegliere Crea nuovo e immettere il nome di un nuovo gruppo di risorse. Nome del gruppo di risorse in cui creare la cache e altre risorse. L'inserimento di tutte le risorse di un'app in un unico gruppo di risorse ne semplifica la gestione o l'eliminazione. Location Nell'elenco a discesa selezionare una località. Selezionare un'area in prossimità di altri servizi che useranno la cache. Piano tariffario Nell'elenco a discesa selezionare un piano tariffario. Il piano tariffario determina le dimensioni, le prestazioni e le funzionalità disponibili per la cache. Per altre informazioni, vedere la panoramica su Cache Redis di Azure. Selezionare la scheda Rete o selezionare il pulsante Rete nella parte inferiore della pagina.
Nella scheda Rete selezionare Endpoint privato per il metodo di connettività.
Selezionare il pulsante Aggiungi per creare l'endpoint privato.
Nella pagina Crea un endpoint privato configurare le impostazioni per l'endpoint privato con la rete virtuale e la subnet create nell'ultima sezione e selezionare OK.
Selezionare la scheda Avanti: Avanzate oppure selezionare il pulsante Avanti: Avanzate nella parte inferiore della pagina.
Nella scheda Avanzate per un'istanza della cache Basic o Standard selezionare l'interruttore Abilita se si vuole abilitare una porta non TLS.
Nella scheda Avanzate per l'istanza della cache Premium configurare le impostazioni per la porta non TLS, il clustering e la persistenza dei dati.
Selezionare la scheda Avanti: Tag oppure selezionare il pulsante Avanti: Tag nella parte inferiore della pagina.
Facoltativamente, nella scheda Tag immettere il nome e il valore se si vuole categorizzare la risorsa.
Selezionare Rivedi e crea. Viene visualizzata la scheda Rivedi e crea in cui Azure convalida la configurazione.
Quando viene visualizzato il messaggio di convalida verde, selezionare Crea.
La creazione della cache richiede un po' di tempo. È possibile monitorare lo stato di avanzamento nella pagina Panoramica della cache di Azure per Redis. Quando l'elemento Stato indica In esecuzione, la cache è pronta per l'uso.
Importante
Esiste un flag publicNetworkAccess che è Disabled per impostazione predefinita.
È possibile impostare il valore su Disabled o Enabled. Se impostato su Enabled, questo flag consente l'accesso all'endpoint pubblico e privato alla cache. Se impostato su Disabled, consente solo l'accesso tramite endpoint privato. Per altre informazioni su come modificare il valore, vedere le domande frequenti.
Creare un endpoint privato con un'istanza di cache di Azure per Redis esistente
In questa sezione si aggiunge un endpoint privato a un'istanza di cache di Azure per Redis esistente.
Creare una rete virtuale per la cache esistente
Per creare una rete virtuale, seguire questa procedura:
Accedere al portale di Azure e selezionare Crea una risorsa.
Nella pagina Nuovo selezionare Rete e quindi Rete virtuale.
Selezionare Aggiungi per creare una rete virtuale.
In Crea rete virtuale immettere o selezionare queste informazioni nella scheda Generale:
Selezionare la scheda Indirizzi IP oppure il pulsante Avanti: Indirizzi IP nella parte inferiore della pagina.
Nella scheda Indirizzi IP specificare lo spazio indirizzi IPv4 come uno o più prefissi di indirizzo nella notazione CIDR, ad esempio 192.168.1.0/24.
In Nome subnet selezionare per impostazione predefinita per modificare le proprietà della subnet.
Nel riquadro Modifica subnet specificare un nome subnet e l'intervallo di indirizzi subnet. L'intervallo di indirizzi della subnet deve trovarsi nella notazione CIDR, ad esempio 192.168.1.0/24. Deve essere incluso nello spazio indirizzi della rete virtuale.
Seleziona Salva.
Selezionare la scheda Rivedi e crea oppure il pulsante Rivedi e crea.
Verificare che tutte le informazioni siano corrette e selezionare Crea per creare la rete virtuale.
Creare un endpoint privato
Per creare un endpoint privato, seguire questa procedura:
Nella portale di Azure cercare cache di Azure per Redis. Premere INVIO o selezionarlo nei suggerimenti di ricerca.
Selezionare l'istanza della cache a cui si vuole aggiungere un endpoint privato.
Sul lato sinistro della schermata, selezionare Endpoint privato.
Selezionare il pulsante Endpoint privato per creare l'endpoint privato.
Nella pagina Crea un endpoint privato configurare le impostazioni per l'endpoint privato.
Selezionare il pulsante Avanti: Risorsa nella parte inferiore della pagina.
Nella scheda Risorsa selezionare la sottoscrizione, scegliere il tipo di risorsa come
Microsoft.Cache/Redise quindi selezionare la cache a cui connettere l'endpoint privato.Selezionare il pulsante Avanti: Configurazione nella parte inferiore della pagina.
Selezionare il pulsante Avanti: Rete virtuale nella parte inferiore della pagina.
Nella scheda Configurazione selezionare la rete virtuale e la subnet create nella sezione precedente.
Nella scheda Rete virtuale selezionare la rete virtuale e la subnet create nella sezione precedente.
Selezionare il pulsante Avanti: Tag nella parte inferiore della pagina.
Facoltativamente, nella scheda Tag immettere il nome e il valore se si vuole categorizzare la risorsa.
Selezionare Rivedi e crea. Viene visualizzata la scheda Rivedi e crea in cui Azure convalida la configurazione.
Quando viene visualizzato il messaggio verde di Convalida superata, selezionare Crea.
Importante
Esiste un flag publicNetworkAccess che è Disabled per impostazione predefinita.
È possibile impostare il valore su Disabled o Enabled. Se impostato su Enabled, questo flag consente l'accesso alla cache tramite endpoint pubblico e privato. Se impostato su Disabled, consente solo l'accesso tramite endpoint privato. Per altre informazioni su come modificare il valore, vedere le domande frequenti.
Creare un endpoint privato con Azure PowerShell
Per creare un endpoint privato denominato MyPrivateEndpoint per un'istanza di cache di Azure per Redis esistente, eseguire lo script di PowerShell seguente. Sostituire i valori delle variabili con i dettagli per l'ambiente:
$SubscriptionId = "<your Azure subscription ID>"
# Resource group where the Azure Cache for Redis instance and virtual network resources are located
$ResourceGroupName = "myResourceGroup"
# Name of the Azure Cache for Redis instance
$redisCacheName = "mycacheInstance"
# Name of the existing virtual network
$VNetName = "myVnet"
# Name of the target subnet in the virtual network
$SubnetName = "mySubnet"
# Name of the private endpoint to create
$PrivateEndpointName = "MyPrivateEndpoint"
# Location where the private endpoint can be created. The private endpoint should be created in the same location where your subnet or the virtual network exists
$Location = "westcentralus"
$redisCacheResourceId = "/subscriptions/$($SubscriptionId)/resourceGroups/$($ResourceGroupName)/providers/Microsoft.Cache/Redis/$($redisCacheName)"
$privateEndpointConnection = New-AzPrivateLinkServiceConnection -Name "myConnectionPS" -PrivateLinkServiceId $redisCacheResourceId -GroupId "redisCache"
$virtualNetwork = Get-AzVirtualNetwork -ResourceGroupName $ResourceGroupName -Name $VNetName
$subnet = $virtualNetwork | Select -ExpandProperty subnets | Where-Object {$_.Name -eq $SubnetName}
$privateEndpoint = New-AzPrivateEndpoint -ResourceGroupName $ResourceGroupName -Name $PrivateEndpointName -Location "westcentralus" -Subnet $subnet -PrivateLinkServiceConnection $privateEndpointConnection
Recuperare un endpoint privato con Azure PowerShell
Per ottenere i dettagli di un endpoint privato, usare questo comando di PowerShell:
Get-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Rimuovere un endpoint privato con Azure PowerShell
Per rimuovere un endpoint privato, usare il comando di PowerShell seguente:
Remove-AzPrivateEndpoint -Name $PrivateEndpointName -ResourceGroupName $ResourceGroupName
Creare un endpoint privato con l'interfaccia della riga di comando di Azure
Per creare un endpoint privato denominato myPrivateEndpoint per un'istanza di cache di Azure per Redis esistente, eseguire lo script dell'interfaccia della riga di comando di Azure seguente. Sostituire i valori delle variabili con i dettagli per l'ambiente:
# Resource group where the Azure Cache for Redis and virtual network resources are located
ResourceGroupName="myResourceGroup"
# Subscription ID where the Azure Cache for Redis and virtual network resources are located
SubscriptionId="<your Azure subscription ID>"
# Name of the existing Azure Cache for Redis instance
redisCacheName="mycacheInstance"
# Name of the virtual network to create
VNetName="myVnet"
# Name of the subnet to create
SubnetName="mySubnet"
# Name of the private endpoint to create
PrivateEndpointName="myPrivateEndpoint"
# Name of the private endpoint connection to create
PrivateConnectionName="myConnection"
az network vnet create \
--name $VNetName \
--resource-group $ResourceGroupName \
--subnet-name $SubnetName
az network vnet subnet update \
--name $SubnetName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--disable-private-endpoint-network-policies true
az network private-endpoint create \
--name $PrivateEndpointName \
--resource-group $ResourceGroupName \
--vnet-name $VNetName \
--subnet $SubnetName \
--private-connection-resource-id "/subscriptions/$SubscriptionId/resourceGroups/$ResourceGroupName/providers/Microsoft.Cache/Redis/$redisCacheName" \
--group-ids "redisCache" \
--connection-name $PrivateConnectionName
Recuperare un endpoint privato usando l'interfaccia della riga di comando di Azure
Per ottenere i dettagli di un endpoint privato, usare il comando dell'interfaccia della riga di comando seguente:
az network private-endpoint show --name MyPrivateEndpoint --resource-group MyResourceGroup
Rimuovere un endpoint privato con l'interfaccia della riga di comando di Azure
Per rimuovere un endpoint privato, usare il comando dell'interfaccia della riga di comando seguente:
az network private-endpoint delete --name MyPrivateEndpoint --resource-group MyResourceGroup
Domande frequenti
- Come collegarsi alla cache con l'endpoint privato?
- Perché non è possibile connettersi a un endpoint privato?
- Quali funzionalità non sono supportate con gli endpoint privati?
- Come è possibile verificare se l'endpoint privato è configurato correttamente?
- Come impostare l'endpoint privato su Disabled o Enabled dall'accesso pubblico alla rete?
- Come è possibile eseguire la migrazione della cache inserita nella rete virtuale a una cache del collegamento privato?
- Come è possibile avere più endpoint in reti virtuali diverse?
- Cosa succede se si eliminano tutti gli endpoint privati nella cache?
- I gruppi di sicurezza di rete (NSG) sono abilitati per gli endpoint privati?
- L'istanza dell'endpoint privato non si trova nella rete virtuale, quindi come è associata alla rete virtuale?
Come collegarsi alla cache con l'endpoint privato?
Per le cache di livello Basic, Standard e Premium, l'applicazione deve connettersi a <cachename>.redis.cache.windows.net sulla porta 6380. Una zona DNS privata, denominata *.privatelink.redis.cache.windows.net, viene creata automaticamente nella sottoscrizione. La zona DNS privata è fondamentale per stabilire la connessione TLS con l'endpoint privato. È consigliabile evitare l'uso di <cachename>.privatelink.redis.cache.windows.net nella configurazione o nella stringa di connessione.
Per le cache di livello Enterprise ed Enterprise Flash , l'applicazione deve connettersi a <cachename>.<region>.redisenterprise.cache.azure.net sulla porta 10000. Se si usa il clustering OSS, la libreria client crea anche connessioni all'istanza di Redis Enterprise sulle porte 8500 - 8599 perché l'applicazione deve connettersi a ogni partizione singolarmente nella configurazione del clustering oss.
Per altre informazioni, vedere Configurazione della zona DNS dei servizi di Azure.
Perché non è possibile connettersi a un endpoint privato?
Gli endpoint privati non possono essere usati con l'istanza della cache se la cache è già una cache inserita nella rete virtuale.
Per le cache di livello Basic, Standard e Premium, sono disponibili solo 100 collegamenti privati.
Nelle cache di livello Premium che usano il clustering, si è limitati a un collegamento privato.
Le cache di livello Enterprise ed Enterprise Flash sono limitate a 84 collegamenti privati.
Si tenta di rendere persistenti i dati nell'account di archiviazione in cui le regole del firewall applicate potrebbero impedire la creazione del collegamento privato.
Potrebbe non essere possibile connettersi all'endpoint privato se l'istanza della cache usa una funzionalità non supportata.
Quali funzionalità non sono supportate con gli endpoint privati?
Il tentativo di connessione dalla console del portale di Azure non è uno scenario supportato in cui viene visualizzato un errore di connessione.
I collegamenti privati non possono essere aggiunti alle cache che usano già la replica geografica passiva nel livello Premium. Per aggiungere un collegamento privato a una cache con replica geografica: 1. Scollegare la replica geografica. 2. Aggiungere un collegamento privato. 3. Infine, ricollegare la replica geografica. Le cache di livello Enterprise che usano la replica geografica attiva non hanno questa restrizione.
Come è possibile verificare se l'endpoint privato è configurato correttamente?
Andare a Panoramica nel menu Risorsa del portale. Il nome dell'host per la cache è visibile nel riquadro di lavoro. Eseguire un comando come nslookup <hostname> dall'interno della rete virtuale collegata all'endpoint privato per verificare che il comando venga risolto nell'indirizzo IP privato per la cache.
Come impostare l'endpoint privato su Disabled o Enabled dall'accesso pubblico alla rete?
Esiste un flag publicNetworkAccess che è Disabled per impostazione predefinita.
Se è impostato su Enabled, questo flag consente l'accesso alla cache tramite endpoint pubblico e privato. Se impostato su Disabled, consente solo l'accesso tramite endpoint privato. È possibile impostare il valore su Disabled o Enabled nel portale di Azure o con una richiesta API PATCH RESTful.
Per modificare il valore nel portale di Azure, seguire questa procedura:
Nella portale di Azure cercare cache di Azure per Redis. Premere INVIO o selezionarlo nei suggerimenti di ricerca.
Selezionare l'istanza della cache di cui si vuole modificare il valore di accesso alla rete pubblica.
Sul lato sinistro della schermata, selezionare Endpoint privato.
Selezionare il pulsante Abilita accesso alla rete pubblica.
È anche possibile modificare il valore tramite una richiesta API PATCH RESTful. Ad esempio, usare il codice seguente per una cache di livello Basic, Standard o Premium e modificare il valore in modo da riflettere il flag desiderato per la cache.
PATCH https://management.azure.com/subscriptions/{subscription}/resourceGroups/{resourcegroup}/providers/Microsoft.Cache/Redis/{cache}?api-version=2020-06-01
{ "properties": {
"publicNetworkAccess":"Disabled"
}
}
Per altre informazioni, vedere Redis - Aggiornamento
Come è possibile eseguire la migrazione della cache inserita nella rete virtuale a una cache del collegamento privato?
Vedere la guida alla migrazione per approcci diversi sulla migrazione delle cache inserite nella rete virtuale alle cache di collegamento privato.
Come è possibile avere più endpoint in reti virtuali diverse?
Per avere più endpoint privati in reti virtuali diverse, la zona DNS privata deve essere configurata manualmente per le diversi reti virtuali prima di creare l'endpoint privato. Per altre informazioni, vedere Configurazione DNS dell'endpoint privato di Azure.
Cosa succede se si eliminano tutti gli endpoint privati nella cache?
Dopo aver eliminato gli endpoint privati nella cache, l'istanza della cache può diventare irraggiungibile finché non si abilita in modo esplicito l'accesso alla rete pubblica o non si aggiunge un altro endpoint privato. È possibile modificare il flag publicNetworkAccess nel portale di Azure o tramite una richiesta API PATCH RESTful. Per altre informazioni su come modificare il valore, vedere le domande frequenti.
I gruppi di sicurezza di rete (NSG) sono abilitati per gli endpoint privati?
No, sono disabilitati per gli endpoint privati. Mentre alle subnet contenenti l'endpoint privato possono essere associati gruppi di sicurezza di rete (NSG), le regole non sono valide per il traffico gestito dall'endpoint privato. Per distribuire endpoint privati in una subnet, è necessario che l'applicazione dei criteri di rete sia disabilitata. Il gruppo di sicurezza di rete (NSG) viene ancora applicato ad altri carichi di lavoro ospitati nella stessa subnet. Le route in qualsiasi subnet client usano un prefisso /32, la modifica del comportamento di routing predefinito richiede una route definita dall'utente simile.
Controllare il traffico usando le regole del gruppo di sicurezza di rete (NSG) per il traffico in uscita nei client di origine. Distribuire le singole route con prefisso /32 per eseguire l'override delle route degli endpoint privati. I log dei flussi e le informazioni di monitoraggio del gruppo di sicurezza di rete (NSG) per le connessioni in uscita sono ancora supportati e possono essere usati.
L'istanza dell'endpoint privato non si trova nella rete virtuale, quindi come è associata alla rete virtuale?
È collegato solo alla rete virtuale. Poiché non si trova nella rete virtuale, non è necessario modificare le regole del gruppo di sicurezza di rete (NSG) per gli endpoint dipendenti.
Contenuto correlato
- Per altre informazioni sulle collegamento privato di Azure, vedere la documentazione collegamento privato di Azure.
- Per confrontare varie opzioni di isolamento della rete per la cache, vedere cache di Azure per Redis documentazione delle opzioni di isolamento della rete.