? ??承接上篇文章內(nèi)容，我們來看一下在Azure Redis部署中提供的其他選項(xiàng)，上篇講過，在Azure Redis Premium版本中，我們可以支持將Redis部署在VNET中，這樣的好處是顯而易見的，我們可以通過NSG等規(guī)則來控制進(jìn)出redis的流量，這樣可以把redis的安全保護(hù)好，但是如果不是Premium版本的Redis是否意味著就沒辦法做Redis的網(wǎng)絡(luò)安全防護(hù)呢？當(dāng)然也不是這樣，即使是standard的redis，我們?nèi)匀豢梢栽贔irewall里以添加白名單的方式保護(hù)redis的安全?
?????
????當(dāng)然這只是針對(duì)公網(wǎng)制定的白名單，redis本身仍然是相當(dāng)于部署在internet中的，而不是一個(gè)私有的網(wǎng)絡(luò)，如果想讓應(yīng)用以訪問內(nèi)容的方式訪問redis，就需要將Redis部署在虛擬網(wǎng)絡(luò)中了?

????Redis?虛擬網(wǎng)絡(luò)部署主要有以下這些優(yōu)勢(shì)：?

有固定的static private ip?
可以使用NSG控制出入站流量?
應(yīng)用訪問延遲更低?


????當(dāng)然，想要部署在虛擬網(wǎng)絡(luò)中，Redis還要求我們必須有一個(gè)獨(dú)立的subnet用于redis部署，這是個(gè)什么概念呢？如果用過application gateway的話其實(shí)很容易理解這個(gè)概念，application gateway也是要求必須部署在一個(gè)獨(dú)立的subnet中，這個(gè)subnet只能部署application gateway資源，不能部署其他任何資源，redis也是同樣的概念，這是redis部署在虛擬網(wǎng)絡(luò)里的一個(gè)前置條件?

????另外，如果對(duì)于出入站流量有嚴(yán)格要求的場(chǎng)景，Redis還要求對(duì)一些特定的服務(wù)器和地址有入站或者出站的權(quán)限，redis需要定期和一些管理節(jié)點(diǎn)進(jìn)行通信以維護(hù)redis本身的狀態(tài)?

?????
????以下是這些要求的詳細(xì)介紹，如果網(wǎng)絡(luò)端口不滿足條件的話，會(huì)發(fā)現(xiàn)redis部署時(shí)會(huì)報(bào)錯(cuò)超時(shí)等情況?

出站端口要求出站端口有七個(gè)要求。?
與?Internet?的所有出站連接都可以通過客戶端的本地審核設(shè)備建立。?
其中三個(gè)端口將流量路由到為?Azure?存儲(chǔ)和?Azure DNS?提供服務(wù)的?Azure?終結(jié)點(diǎn)。?
剩余端口范圍，這些端口用于內(nèi)部?Redis?子網(wǎng)通信。?內(nèi)部?Redis?子網(wǎng)通信不需要子網(wǎng)?NSG?規(guī)則。?
端口方向傳輸協(xié)議目的本地?IP遠(yuǎn)程?IP80、443出站TCPAzure?存儲(chǔ)/PKI (Internet)?上的?Redis?依賴關(guān)系（Redis?子網(wǎng)）*53出站TCP/UDPDNS (Internet/VNet)?上的?Redis?依賴關(guān)系（Redis?子網(wǎng)）168.63.129.16?和?169.254.169.254?1?以及子網(wǎng)的任何自定義?DNS?服務(wù)器?38443出站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）10221-10231出站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）20226出站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）13000-13999出站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）15000-15999出站TCPRedis?的內(nèi)部通信和異地復(fù)制（Redis?子網(wǎng)）（Redis?子網(wǎng)）（地域副本對(duì)等子網(wǎng)）6379-6380出站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）1?Microsoft?擁有的這些?IP?地址用于對(duì)為?Azure DNS?提供服務(wù)的主機(jī)?VM?進(jìn)行尋址。?
3?沒有自定義?DNS?服務(wù)器的子網(wǎng)或忽略自定義?DNS?的更新?redis?緩存不需要。?
異地復(fù)制對(duì)等端口要求如果在?Azure?虛擬網(wǎng)絡(luò)中的緩存之間使用異地復(fù)制，請(qǐng)注意，建議的配置是在兩個(gè)緩存的入站和出站方向上取消阻止整個(gè)子網(wǎng)的端口?15000-15999，這樣即使將來發(fā)生異地故障轉(zhuǎn)移，子網(wǎng)中的所有副本組件也可以直接相互通信。?
入站端口要求入站端口范圍有八個(gè)要求。?這些范圍中的入站請(qǐng)求從同一?VNET?中托管的其他服務(wù)入站，或者是?Redis?子網(wǎng)通信的內(nèi)部請(qǐng)求。?
端口方向傳輸協(xié)議目的本地?IP遠(yuǎn)程?IP6379、6380入站TCP與?Redis?的客戶端通信、Azure?負(fù)載均衡（Redis?子網(wǎng)）（Redis?子網(wǎng)）、虛擬網(wǎng)絡(luò)、Azure?負(fù)載均衡器?28443入站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）8500入站TCP/UDPAzure?負(fù)載均衡（Redis?子網(wǎng)）Azure?負(fù)載均衡器10221-10231入站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）、Azure?負(fù)載均衡器13000-13999入站TCP與?Redis?群集的客戶端通信、Azure?負(fù)載均衡（Redis?子網(wǎng)）虛擬網(wǎng)絡(luò)、Azure?負(fù)載均衡器15000-15999入站TCP與?Redis?群集的客戶端通信、Azure?負(fù)載均衡和異地復(fù)制（Redis?子網(wǎng)）虛擬網(wǎng)絡(luò)、Azure?負(fù)載均衡器（地域副本對(duì)等子網(wǎng)）16001入站TCP/UDPAzure?負(fù)載均衡（Redis?子網(wǎng)）Azure?負(fù)載均衡器20226入站TCPRedis?的內(nèi)部通信（Redis?子網(wǎng)）（Redis?子網(wǎng)）2?可以使用服務(wù)標(biāo)記“AzureLoadBalancer”（資源管理器）或“AZURE_LOADBALANCER”（經(jīng)典）來創(chuàng)作?NSG?規(guī)則。?
其他?VNET?網(wǎng)絡(luò)連接要求在虛擬網(wǎng)絡(luò)中，可能一開始不符合?Azure Redis?緩存的網(wǎng)絡(luò)連接要求。?在虛擬網(wǎng)絡(luò)中使用時(shí)，Azure Redis?緩存需要以下所有項(xiàng)才能正常運(yùn)行。?
與全球?Azure?存儲(chǔ)終結(jié)點(diǎn)建立的出站網(wǎng)絡(luò)連接。?這包括位于?Azure Redis?緩存實(shí)例區(qū)域的終結(jié)點(diǎn)，以及位于其他?Azure?區(qū)域的存儲(chǔ)終結(jié)點(diǎn)。?Azure?存儲(chǔ)終結(jié)點(diǎn)在以下?DNS?域之下解析：table.core.chinacloudapi.cn、blob.core.chinacloudapi.cn、queue.core.chinacloudapi.cn?和?file.core.chinacloudapi.cn。?
與?ocsp.msocsp.com、mscrl.microsoft.com?和?crl.microsoft.com?建立的出站網(wǎng)絡(luò)連接。?需要此連接才能支持?SSL?功能。?
虛擬網(wǎng)絡(luò)的?DNS?設(shè)置必須能夠解析前面幾點(diǎn)所提到的所有終結(jié)點(diǎn)和域。?確保已針對(duì)虛擬網(wǎng)絡(luò)配置并維護(hù)有效的?DNS?基礎(chǔ)結(jié)構(gòu)即可符合這些?DNS?要求。?
與以下?Azure?監(jiān)視終結(jié)點(diǎn)（在下列?DNS?域下進(jìn)行解析）的出站網(wǎng)絡(luò)連接：shoebox2-black.shoebox2.metrics.nsatc.net、north-prod2.prod2.metrics.nsatc.net、azglobal-black.azglobal.metrics.nsatc.net、shoebox2-red.shoebox2.metrics.nsatc.net、east-prod2.prod2.metrics.nsatc.net、azglobal-red.azglobal.metrics.nsatc.net。?

????所以，總結(jié)來說，想要將redis部署到虛擬網(wǎng)絡(luò)，需要滿足以下三個(gè)條件?
有一個(gè)獨(dú)立的subnet用于redis部署?
滿足redis的出入站要求?
Premium版本Redis?

????部署的過程相對(duì)來說就很簡(jiǎn)單了，在部署redis的時(shí)候選擇P級(jí)別redis,?然后挑選合適的vnet和subnet，可以看到如果subnet不滿足條件，會(huì)提示subnet中已經(jīng)有其他資源

了解更多網(wǎng)絡(luò)知識(shí)關(guān)注：http://www.vecloud.com/