Azure Cache for Redis 网络隔离选项

在本文中,你将了解如何根据需要确定最佳网络隔离解决方案。 我们将探讨 Azure 专用链接(推荐)、Azure 虚拟网络 (VNet) 注入和防火墙规则的基础知识。 我们还将探讨它们的优势和限制。

Azure 专用链接提供从虚拟网络到 Azure PaaS 服务的专用连接。 专用链接可简化网络体系结构,并保护 Azure 中终结点之间的连接。 专用链接还通过消除数据在公共 Internet 上的暴露来保护连接。

  • 专用链接在 Azure Cache for Redis 实例的所有层上受支持 - 基本层、标准层和高级层。

  • 使用 Azure 专用链接可以通过专用终结点从虚拟网络连接到 Azure 缓存实例。 终结点在虚拟网络内的子网中分配了一个专用 IP 地址。 通过此专用链接,可以从 VNet 内部和公共位置访问缓存实例。

  • 在基本/标准/高级层缓存上创建专用终结点后,可以通过 publicNetworkAccess 标志限制对公用网络的访问。 默认情况下,此标志设置为 Disabled,这将仅允许专用链接访问。 可以使用 PATCH 请求将该值设置为 EnabledDisabled。 有关详细信息,请参阅使用 Azure 专用链接的 Azure Cache for Redis

  • 任何外部缓存依赖项都不会影响 VNet 的 NSG 规则。

  • 使用托管标识连接到存储帐户时,高级层支持保存到受防火墙规则保护的任何存储帐户,请参阅在 Azure Cache for Redis 中导入和导出数据以了解详细信息

  • 专用链接通过减少缓存对其他网络资源的访问量来减少提供的特权。 专用链接可阻止恶意行动者启动到网络的其余部分的流量。

  • 目前,使用专用链接的缓存不支持门户控制台。

注意

将专用终结点添加到缓存实例时,由于 DNS,所有 Redis 流量都将移至专用终结点。 请确保之前调整了以前的防火墙规则。

Azure 虚拟网络注入

注意

不建议使用虚拟网络注入。 有关详细信息,请参阅 VNet 注入限制

借助虚拟网络 (VNet),许多 Azure 资源都可以安全地与彼此、Internet 和本地网络通信。 VNet 就像你会在自己的数据中心中运行的传统网络。

VNet 注入的限制

  • 创建和维护虚拟网络配置时很容易出错。 排查网络配置问题具有挑战性。 不正确的虚拟网络配置可能会导致各种问题:
    • 缓存实例的指标丢失
    • 计划外的可用性丢失,这可能会导致数据丢失(客户网络配置导致的可用性丢失可能不在 SLA 涵盖范围内)
    • 无法复制数据,这可能会导致数据丢失
    • 管理操作(如缩放)失败
  • 使用 VNet 注入缓存时,必须使 VNet 保持更新,以允许访问缓存依赖项,例如证书吊销列表、公钥基础结构、Azure 密钥保管库、Azure 存储、Azure Monitor 等。
  • VNet 注入的缓存仅适用于高级层 Azure Cache for Redis 实例。
  • 无法将现有的 Azure Cache for Redis 实例注入虚拟网络。 只能在创建缓存时选择此选项。

防火墙规则

Azure Cache for Redis 允许配置防火墙规则,以指定要允许连接到 Azure Cache for Redis 实例的 IP 地址。

防火墙规则的优点

  • 配置防火墙规则时,仅指定 IP 地址范围内的客户端连接可以连接到缓存。 即使配置了防火墙规则,仍始终允许来自 Azure Redis 缓存监视系统的连接。 还允许你定义的 NSG 规则。

防火墙规则的限制

  • 仅当启用了公共网络访问时,防火墙规则才可应用于专用终结点缓存。 如果在未配置防火墙规则的专用终结点缓存上启用了公用网络访问,则缓存将接受所有公用网络流量。
  • 防火墙规则配置适用于所有层:基本、标准和高级。

后续步骤