Azure Cache for Redis 网络隔离选项
在本文中,你将了解如何根据需要确定最佳网络隔离解决方案。 我们将探讨 Azure 专用链接(推荐)、Azure 虚拟网络 (VNet) 注入和防火墙规则的基础知识。 我们还将探讨它们的优势和限制。
Azure 专用链接(推荐)
Azure 专用链接提供从虚拟网络到 Azure PaaS 服务的专用连接。 专用链接可简化网络体系结构,并保护 Azure 中终结点之间的连接。 专用链接还通过消除数据在公共 Internet 上的暴露来保护连接。
专用链接的优点
专用链接在 Azure Cache for Redis 实例的所有层上受支持 - 基本层、标准层和高级层。
使用 Azure 专用链接可以通过专用终结点从虚拟网络连接到 Azure 缓存实例。 终结点在虚拟网络内的子网中分配了一个专用 IP 地址。 通过此专用链接,可以从 VNet 内部和公共位置访问缓存实例。
在基本/标准/高级层缓存上创建专用终结点后,可以通过
publicNetworkAccess
标志限制对公用网络的访问。 默认情况下,此标志设置为Disabled
,这将仅允许专用链接访问。 可以使用 PATCH 请求将该值设置为Enabled
或Disabled
。 有关详细信息,请参阅使用 Azure 专用链接的 Azure Cache for Redis。任何外部缓存依赖项都不会影响 VNet 的 NSG 规则。
使用托管标识连接到存储帐户时,高级层支持保存到受防火墙规则保护的任何存储帐户,请参阅在 Azure Cache for Redis 中导入和导出数据以了解详细信息
专用链接的限制
- 目前,使用专用链接的缓存不支持门户控制台。
注意
将专用终结点添加到缓存实例时,由于 DNS,所有 Redis 流量都将移至专用终结点。 请确保之前调整了以前的防火墙规则。
Azure 虚拟网络注入
虚拟网络 (VNet) 是 Azure 中专用网络的基础构建基块。 借助 VNet,许多 Azure 资源可以安全地与彼此、Internet 和本地网络通信。 VNet 就像你会在自己的数据中心中运行的传统网络。 然而,VNet 还具有 Azure 基础结构、规模、可用性和隔离的优势。
VNet 注入的优点
- 当 Azure Cache for Redis 实例配置有 VNet 时,它不可公开寻址。 只能从 VNet 中的虚拟机和应用程序访问它。
- 将 VNet 与受限制的 NSG 策略相结合有助于降低数据泄露的风险。
- VNet 部署为 Azure Cache for Redis 提供增强的安全性和隔离性。 子网、访问控制策略和其他功能会进一步限制访问。
- 支持异地复制。
VNet 注入的限制
- 创建和维护虚拟网络配置可能会出错。 故障排除具有挑战性。 不正确的虚拟网络配置可能会导致各种问题:
- 缓存实例的阻塞指标传输,
- 副本节点无法从主节点复制数据,
- 可能的数据丢失,
- 管理操作失败,例如缩放,
- 在最严重的情况中,会导致无法使用。
- VNet 注入的缓存仅适用于高级层 Azure Cache for Redis 实例。
- 使用 VNet 注入的缓存时,必须将 VNet 更改为缓存 CRL/PKI、AKV、Azure 存储、Azure Monitor 等依赖项。
- 无法将现有的 Azure Cache for Redis 实例注入虚拟网络。 只能在创建缓存时选择此选项。
防火墙规则
Azure Cache for Redis 允许配置防火墙规则,以指定要允许连接到 Azure Cache for Redis 实例的 IP 地址。
防火墙规则的优点
- 配置防火墙规则时,仅指定 IP 地址范围内的客户端连接可以连接到缓存。 即使配置了防火墙规则,仍始终允许来自 Azure Redis 缓存监视系统的连接。 还允许你定义的 NSG 规则。
防火墙规则的限制
- 仅当启用了公共网络访问时,防火墙规则才可应用于专用终结点缓存。 如果在未配置防火墙规则的专用终结点缓存上启用了公用网络访问,则缓存将接受所有公用网络流量。
- 防火墙规则配置适用于所有层:基本、标准和高级。