Azure Cache for Redis 网络隔离选项
在本文中,你将了解如何根据需要确定最佳网络隔离解决方案。 我们将探讨 Azure 专用链接(推荐)、Azure 虚拟网络 (VNet) 注入和防火墙规则的基础知识。 我们还将探讨它们的优势和限制。
Azure 专用链接(推荐)
Azure 专用链接提供从虚拟网络到 Azure PaaS 服务的专用连接。 专用链接可简化网络体系结构,并保护 Azure 中终结点之间的连接。 专用链接还通过消除数据在公共 Internet 上的暴露来保护连接。
专用链接的优点
专用链接在 Azure Cache for Redis 实例的所有层上受支持 - 基本层、标准层和高级层。
使用 Azure 专用链接可以通过专用终结点从虚拟网络连接到 Azure 缓存实例。 终结点在虚拟网络内的子网中分配了一个专用 IP 地址。 通过此专用链接,可以从 VNet 内部和公共位置访问缓存实例。
在基本/标准/高级层缓存上创建专用终结点后,可以通过
publicNetworkAccess
标志限制对公用网络的访问。 默认情况下,此标志设置为Disabled
,这将仅允许专用链接访问。 可以使用 PATCH 请求将该值设置为Enabled
或Disabled
。 有关详细信息,请参阅使用 Azure 专用链接的 Azure Cache for Redis。任何外部缓存依赖项都不会影响 VNet 的 NSG 规则。
使用托管标识连接到存储帐户时,高级层支持保存到受防火墙规则保护的任何存储帐户,请参阅在 Azure Cache for Redis 中导入和导出数据以了解详细信息
专用链接通过减少缓存对其他网络资源的访问量来减少提供的特权。 专用链接可阻止恶意行动者启动到网络的其余部分的流量。
专用链接的限制
- 目前,使用专用链接的缓存不支持门户控制台。
注意
将专用终结点添加到缓存实例时,由于 DNS,所有 Redis 流量都将移至专用终结点。 请确保之前调整了以前的防火墙规则。
Azure 虚拟网络注入
注意
不建议使用虚拟网络注入。 有关详细信息,请参阅 VNet 注入限制。
借助虚拟网络 (VNet),许多 Azure 资源都可以安全地与彼此、Internet 和本地网络通信。 VNet 就像你会在自己的数据中心中运行的传统网络。
VNet 注入的限制
- 创建和维护虚拟网络配置时很容易出错。 排查网络配置问题具有挑战性。 不正确的虚拟网络配置可能会导致各种问题:
- 缓存实例的指标丢失
- 计划外的可用性丢失,这可能会导致数据丢失(客户网络配置导致的可用性丢失可能不在 SLA 涵盖范围内)
- 无法复制数据,这可能会导致数据丢失
- 管理操作(如缩放)失败
- 使用 VNet 注入缓存时,必须使 VNet 保持更新,以允许访问缓存依赖项,例如证书吊销列表、公钥基础结构、Azure 密钥保管库、Azure 存储、Azure Monitor 等。
- VNet 注入的缓存仅适用于高级层 Azure Cache for Redis 实例。
- 无法将现有的 Azure Cache for Redis 实例注入虚拟网络。 只能在创建缓存时选择此选项。
防火墙规则
Azure Cache for Redis 允许配置防火墙规则,以指定要允许连接到 Azure Cache for Redis 实例的 IP 地址。
防火墙规则的优点
- 配置防火墙规则时,仅指定 IP 地址范围内的客户端连接可以连接到缓存。 即使配置了防火墙规则,仍始终允许来自 Azure Redis 缓存监视系统的连接。 还允许你定义的 NSG 规则。
防火墙规则的限制
- 仅当启用了公共网络访问时,防火墙规则才可应用于专用终结点缓存。 如果在未配置防火墙规则的专用终结点缓存上启用了公用网络访问,则缓存将接受所有公用网络流量。
- 防火墙规则配置适用于所有层:基本、标准和高级。