Compartilhar via


Opções de isolamento de rede do Cache do Azure para Redis

Neste artigo, você aprenderá a determinar a melhor solução de isolamento de rede das suas necessidades. Discutiremos os conceitos básicos do Link Privado do Azure, da injeção da Rede Virtual do Azure (VNet) e das Regras do Firewall do Azure. Discutiremos as vantagens e limitações deles.

O Link Privado do Azure fornece conectividade privada de uma rede virtual aos serviços de PaaS do Azure. O Link Privado simplifica a arquitetura de rede e protege a conexão entre os pontos de extremidade no Azure. O Link Privado também protege a conexão ao eliminar a exposição de dados para a Internet pública.

  • Com suporte em todas as camadas – Básico, Standard, Premium, Enterprise e Enterprise Flash – das instâncias de Cache do Azure para Redis.

  • Ao usar o Link Privado do Azure, você pode se conectar a uma instância de Cache do Azure da sua rede virtual por um ponto de extremidade privado. Um endereço IP privado é atribuído ao ponto de extremidade em uma sub-rede dentro da rede virtual. Com este link privado, as instâncias de cache estão disponíveis tanto na VNet quanto publicamente.

    Importante

    Os caches Enterprise Flash/Enterprise com link privado não podem ser acessados publicamente.

  • Depois que um ponto de extremidade privado é criado nos caches de camada de nível Basic/Standard/Premium, o acesso à rede pública pode ser restringido por meio do sinalizador publicNetworkAccess. Esse sinalizador é definido como Disabled por padrão, o que permitirá acesso somente por link privado. Você pode definir o valor para Enabled ou Disabled com uma solicitação de PATCH. Para obter mais informações, confira Cache do Azure para Redis com o Link Privado do Azure.

    Importante

    A camada Enterprise/Enterprise Flash não dá suporte ao sinalizador publicNetworkAccess.

  • Nenhuma das dependências de cache externo afetará as regras de NSG da VNet.

  • Há suporte para a persistência de contas de armazenamento protegidas com regras do firewall na camada Premium ao usar a identidade gerenciada para se conectar à Conta de armazenamento, consulte mais em Importar e Exportar dados no Cache do Azure para Redis

  • Atualmente, o console do portal não tem suporte para caches com link privado.

Observação

Ao adicionar um ponto de extremidade privado a uma instância de cache, todo o tráfego Redis é movido para o ponto de extremidade privado por causa do DNS. Verifique se as regras de firewall anteriores foram ajustadas com antecedência.

Injeção da Rede Virtual do Azure

A VNet (Rede Virtual) do Azure é o bloco de construção fundamental da sua rede privada no Azure. A VNet permite que os recursos do Azure se comuniquem com segurança uns com os outros, com a Internet e com redes locais. A VNet é como uma rede tradicional que você operaria em seu próprio data center. No entanto, a VNet também tem os benefícios da infraestrutura, escala, disponibilidade e isolamento do Azure.

Vantagens da injeção de VNet

  • Quando uma instância do Cache do Azure para Redis é configurada com uma VNet, ela não pode ser endereçada publicamente. Ela só pode ser acessada em máquinas virtuais e aplicativos na VNet.
  • Quando a VNet é combinada com políticas NSG restritas, isso ajuda a reduzir o risco de exfiltração dos dados.
  • A implantação da VNet fornece segurança e isolamento aprimorados para o seu Cache do Azure para Redis. As sub-redes, as políticas de controle de acesso e outros recursos também restringem o acesso.
  • Há suporte à replicação geográfica.

Limitações da injeção de VNet

  • A criação e a manutenção das configurações de rede virtual podem ser propensas a erros. A solução de problemas é desafiadora. Configurações de rede virtual incorretas podem levar a vários problemas:
    • transmissão de métricas obstruídas das suas instâncias de cache,
    • falha do nó de réplica em replicar dados do nó primário,
    • possível perda de dados,
    • falha nas operações de gerenciamento, como dimensionamento,
    • e, nos cenários mais graves, perda de disponibilidade.
  • Os caches injetados pela VNet estão disponíveis apenas para instâncias do Cache do Azure para Redis de nível Premium.
  • Ao usar um cache injetado de VNet, você precisa alterar sua VNet para armazenar em cache dependências como CRLs/PKI, AKV, Armazenamento do Microsoft Azure, Azure Monitor e outras.
  • Você não pode injetar uma instância existente do Cache do Azure para Redis em uma Rede Virtual. Você só pode selecionar esta opção quando criar o cache.

Regras de firewall

O Cache do Azure para Redis permite configurar Regras de firewall para especificar o endereço de IP que você quer permitir para se conectar à sua instância de Cache do Azure para Redis.

Vantagens das regras de firewall

  • Quando regras de firewall são configuradas, apenas as conexões de cliente de intervalos de endereços IP especificados podem se conectar ao cache. Conexões dos sistemas de monitoramento do Cache do Azure para Redis serão sempre permitidas, mesmo se regras de firewall forem configuradas. As regras NSG que você definir também serão permitidas.

Limitações das regras de firewall

  • As regras de firewall só poderão ser aplicadas a um cache de ponto de extremidade privado se o acesso à rede pública estiver habilitado. Se o acesso à rede pública estiver habilitado no cache de ponto de extremidade privado sem nenhuma regra de firewall, o cache aceitará todo o tráfego de rede pública.
  • A configuração de regras de firewall está disponível para todas as camadas Básica, Standard e Premium.
  • A configuração de regras de firewall não está disponível para camadas Enterprise nem Enterprise Flash.

Próximas etapas