承接上篇文章内容,我们来看一下在Azure Redis部署中提供的其他选项,上篇讲过,在Azure Redis Premium版本中,我们可以支持将Redis部署在VNET中,这样的好处是显而易见的,我们可以通过NSG等规则来控制进出redis的流量,这样可以把redis的安全保护好,但是如果不是Premium版本的Redis是否意味着就没办法做Redis的网络安全防护呢?当然也不是这样,即使是standard的redis,我们仍然可以在Firewall里以添加白名单的方式保护redis的安全
当然这只是针对公网制定的白名单,redis本身仍然是相当于部署在internet中的,而不是一个私有的网络,如果想让应用以访问内容的方式访问redis,就需要将Redis部署在虚拟网络中了
Redis 虚拟网络部署主要有以下这些优势:
有固定的static private ip
可以使用NSG控制出入站流量
应用访问延迟更低
当然,想要部署在虚拟网络中,Redis还要求我们必须有一个独立的subnet用于redis部署,这是个什么概念呢?如果用过application gateway的话其实很容易理解这个概念,application gateway也是要求必须部署在一个独立的subnet中,这个subnet只能部署application gateway资源,不能部署其他任何资源,redis也是同样的概念,这是redis部署在虚拟网络里的一个前置条件
另外,如果对于出入站流量有严格要求的场景,Redis还要求对一些特定的服务器和地址有入站或者出站的权限,redis需要定期和一些管理节点进行通信以维护redis本身的状态
以下是这些要求的详细介绍,如果网络端口不满足条件的话,会发现redis部署时会报错超时等情况
Microsoft 拥有的这些 IP 地址用于对为 Azure DNS 提供服务的主机 VM 进行寻址。
没有自定义 DNS 服务器的子网或忽略自定义 DNS 的更新 redis 缓存不需要。
可以使用服务标记“AzureLoadBalancer”(资源管理器)或“AZURE_LOADBALANCER”(经典)来创作 NSG 规则。
Azure 区域的存储终结点。
所以,总结来说,想要将redis部署到虚拟网络,需要满足以下三个条件
有一个独立的subnet用于redis部署
满足redis的出入站要求
Premium版本Redis
部署的过程相对来说就很简单了,在部署redis的时候选择P级别redis, 然后挑选合适的vnet和subnet,可以看到如果subnet不满足条件,会提示subnet中已经有其他资源
