Azure Cache for Redis 网络隔离选项

在本文中,你将了解如何根据需要确定最佳网络隔离解决方案。 我们将探讨 Azure 专用链接(推荐)、Azure 虚拟网络 (VNet) 注入和防火墙规则的基础知识。 我们还将探讨它们的优势和限制。

Azure 专用链接提供从虚拟网络到 Azure PaaS 服务的专用连接。 专用链接可简化网络体系结构,并保护 Azure 中终结点之间的连接。 专用链接还通过消除数据在公共 Internet 上的暴露来保护连接。

  • 专用链接在 Azure Cache for Redis 实例的所有层上受支持 - 基本层、标准层和高级层。

  • 使用 Azure 专用链接可以通过专用终结点从虚拟网络连接到 Azure 缓存实例。 终结点在虚拟网络内的子网中分配了一个专用 IP 地址。 通过此专用链接,可以从 VNet 内部和公共位置访问缓存实例。

  • 在基本/标准/高级层缓存上创建专用终结点后,可以通过 publicNetworkAccess 标志限制对公用网络的访问。 默认情况下,此标志设置为 Disabled,这将仅允许专用链接访问。 可以使用 PATCH 请求将该值设置为 EnabledDisabled。 有关详细信息,请参阅使用 Azure 专用链接的 Azure Cache for Redis

  • 任何外部缓存依赖项都不会影响 VNet 的 NSG 规则。

  • 使用托管标识连接到存储帐户时,高级层支持保存到受防火墙规则保护的任何存储帐户,请参阅在 Azure Cache for Redis 中导入和导出数据以了解详细信息

  • 目前,使用专用链接的缓存不支持门户控制台。

注意

将专用终结点添加到缓存实例时,由于 DNS,所有 Redis 流量都将移至专用终结点。 请确保之前调整了以前的防火墙规则。

Azure 虚拟网络注入

虚拟网络 (VNet) 是 Azure 中专用网络的基础构建基块。 借助 VNet,许多 Azure 资源可以安全地与彼此、Internet 和本地网络通信。 VNet 就像你会在自己的数据中心中运行的传统网络。 然而,VNet 还具有 Azure 基础结构、规模、可用性和隔离的优势。

VNet 注入的优点

  • 当 Azure Cache for Redis 实例配置有 VNet 时,它不可公开寻址。 只能从 VNet 中的虚拟机和应用程序访问它。
  • 将 VNet 与受限制的 NSG 策略相结合有助于降低数据泄露的风险。
  • VNet 部署为 Azure Cache for Redis 提供增强的安全性和隔离性。 子网、访问控制策略和其他功能会进一步限制访问。
  • 支持异地复制。

VNet 注入的限制

  • 创建和维护虚拟网络配置可能会出错。 故障排除具有挑战性。 不正确的虚拟网络配置可能会导致各种问题:
    • 缓存实例的阻塞指标传输,
    • 副本节点无法从主节点复制数据,
    • 可能的数据丢失,
    • 管理操作失败,例如缩放,
    • 在最严重的情况中,会导致无法使用。
  • VNet 注入的缓存仅适用于高级层 Azure Cache for Redis 实例。
  • 使用 VNet 注入的缓存时,必须将 VNet 更改为缓存 CRL/PKI、AKV、Azure 存储、Azure Monitor 等依赖项。
  • 无法将现有的 Azure Cache for Redis 实例注入虚拟网络。 只能在创建缓存时选择此选项。

防火墙规则

Azure Cache for Redis 允许配置防火墙规则,以指定要允许连接到 Azure Cache for Redis 实例的 IP 地址。

防火墙规则的优点

  • 配置防火墙规则时,仅指定 IP 地址范围内的客户端连接可以连接到缓存。 即使配置了防火墙规则,仍始终允许来自 Azure Redis 缓存监视系统的连接。 还允许你定义的 NSG 规则。

防火墙规则的限制

  • 仅当启用了公共网络访问时,防火墙规则才可应用于专用终结点缓存。 如果在未配置防火墙规则的专用终结点缓存上启用了公用网络访问,则缓存将接受所有公用网络流量。
  • 防火墙规则配置适用于所有层:基本、标准和高级。

后续步骤