Confiabilidad y conectividad de red
La conectividad de red incluye tres modelos de Azure para la conectividad de red privada:
- Implementación de Azure Databricks en la red virtual de Azure (inyección de VNet)
- Puntos de conexión de servicio de red virtual
- Private Link
La inserción de red virtual se aplica a los servicios que se implementan específicamente para usted, como:
- nodos de Azure Kubernetes Service (AKS)
- Instancia administrada de SQL
- Virtual Machines
Estos recursos se conectan directamente a la red virtual.
Virtual Network puntos de conexión de servicio (VNet) proporcionan conectividad segura y directa a los servicios de Azure. Estos puntos de conexión de servicio usan una ruta optimizada a través de la red de Azure. Los puntos de conexión de servicio permiten a las direcciones IP privadas de la red virtual alcanzar el punto de conexión de un servicio de Azure sin necesidad de una dirección IP pública en la red virtual.
Private Link proporciona acceso dedicado mediante direcciones IP privadas a instancias de PaaS de Azure o servicios personalizados detrás de un estándar de Azure Load Balancer.
Consideraciones de diseño
La conectividad de red incluye las siguientes consideraciones de diseño relacionadas con una carga de trabajo confiable:
Use Private Link, si está disponible, para los servicios PaaS de Azure compartidos. Private Link está disponible con carácter general para varios servicios y está en versión preliminar pública para muchos otros.
Acceda a los servicios PaaS de Azure desde el entorno local a través del emparejamiento privado de ExpressRoute .
Use la inserción de red virtual para los servicios de Azure dedicados o bien Azure Private Link para los servicios de Azure compartidos disponibles. Para acceder a los servicios PaaS de Azure desde el entorno local cuando no esté disponible la inserción de red virtual o Private Link, use ExpressRoute con el emparejamiento de Microsoft. Este método evita el tránsito a través de la red pública de Internet.
Use puntos de conexión de servicio de red virtual para proteger el acceso a los servicios PaaS de Azure desde dentro de la red virtual. Use puntos de conexión de servicio de red virtual solo cuando Private Link no esté disponible y no haya problemas con el movimiento no autorizado de datos.
Los puntos de conexión de servicio no permiten el acceso a un servicio PaaS desde redes locales. Los puntos de conexión privados sí.
Para solucionar problemas relacionados con el movimiento no autorizado de datos con puntos de conexión de servicio, use el filtrado de aplicaciones virtuales de red (NVA). También puede usar directivas de punto de conexión de servicio de red virtual para Azure Storage.
Los siguientes servicios de seguridad de red nativos son servicios totalmente administrados. Los clientes no incurren en los costos operativos y de administración asociados a las implementaciones de infraestructura, lo que puede resultar complejo a escala:
- Azure Firewall
- Application Gateway
- Azure Front Door
Normalmente, se accede a los servicios PaaS a través de puntos de conexión públicos. La plataforma Azure proporciona funcionalidades para proteger estos puntos de conexión o para que sean completamente privados.
También puede usar aplicaciones virtuales de red (NVA) de terceros si el cliente las prefiere en situaciones en las que los servicios nativos no cumplen requisitos específicos.
Lista de comprobación
¿Ha configurado la conectividad de red teniendo en cuenta la confiabilidad?
- No implemente la tunelización forzada para habilitar la comunicación de Azure a los recursos de Azure.
- A menos que use el filtrado de aplicaciones virtuales de red (NVA), no use puntos de conexión de servicio de red virtual cuando haya preocupaciones sobre el movimiento no autorizado de datos.
- No habilite los puntos de conexión del servicio de red virtual de forma predeterminada en todas las subredes.