Planeamiento e implementación de puntos de conexión privados
Un punto de conexión privado es una interfaz de red que usa una dirección IP privada de la red virtual. Esta interfaz de red le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. Al habilitar un punto de conexión privado, incorpora el servicio a la red virtual.
El servicio podría ser un servicio de Azure como:
- Azure Storage
- Azure Cosmos DB
- Azure SQL Database
- Su propio servicio mediante el servicio Private Link.
Propiedades del punto de conexión privado
Un punto de conexión privado especifica las siguientes propiedades:
| Propiedad | Descripción |
|---|---|
| Nombre | Nombre único dentro del grupo de recursos. |
| Subnet | Subred que se va a implementar, donde se asigna la dirección IP privada. |
| Recurso de vínculo privado | Recurso de vínculo privado al que conectarse mediante un identificador o el alias del recurso, de la lista de tipos disponibles. Se genera un identificador de red único para todo el tráfico enviado a este recurso. |
| Subrecurso de destino | Subrecurso que se va a conectar. Cada tipo de recurso de vínculo privado tiene diferentes opciones para seleccionar según las preferencias. |
| Método de aprobación de conexión | Automático o manual. Según los permisos del control de acceso basado en roles de Azure, el punto de conexión privado se puede aprobar automáticamente. Si se conecta a un recurso de vínculo privado sin permisos de Azure RBAC, use el método manual para permitir que el propietario del recurso apruebe la conexión. |
| Mensaje de solicitud | Puede especificar un mensaje para que las conexiones solicitadas se aprueben manualmente. Este mensaje se puede usar para identificar una solicitud específica. |
| Estado de conexión | Propiedad de solo lectura que especifica si el punto de conexión privado está activo. Solo los puntos de conexión privados en un estado aprobado se pueden usar para enviar tráfico. Otros estados disponibles: Aprobado: La conexión se aprobó de forma automática o manual y está lista para usarse. Pendiente: la conexión se creó manualmente y está pendiente de aprobación por parte del propietario del recurso del enlace privado. Rechazado: el propietario del recurso de enlace privado rechazó la conexión. Desconectado: el propietario del recurso del enlace privado eliminó la conexión. El punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza. |
Al crear puntos de conexión privados, tenga en cuenta lo siguiente:
Los puntos de conexión privados permiten la conectividad entre los clientes desde los mismos elementos siguientes:
- Virtual network
- Redes virtuales emparejadas regionalmente
- Redes virtuales emparejadas globalmente
- Entornos locales que usan VPN o Express Route
- Servicios con tecnología de Private Link
- Virtual network
Las conexiones de red solo las pueden iniciar los clientes que se conectan al punto de conexión privado. Los proveedores de servicios no tienen una configuración de enrutamiento para crear conexiones en los consumidores del servicio. Las conexiones solo se pueden establecer en una dirección.
Se crea automáticamente una interfaz de red de solo lectura durante el ciclo de vida del punto de conexión privado. A la interfaz se le asigna una dirección IP privada dinámica de la subred que se asigna al recurso de vínculo privado. El valor de la dirección IP privada no cambia durante todo el ciclo de vida del punto de conexión privado.
El punto de conexión privado debe implementarse en la misma región y suscripción que la red virtual.
El recurso de vínculo privado se puede implementar en una región distinta a la de la red virtual y el punto de conexión privado.
Se pueden crear varios puntos de conexión privados con el mismo recurso de vínculo privado. En el caso de una sola red que use una configuración de servidor DNS común, el procedimiento recomendado es usar un único punto de conexión privado para un recurso de vínculo privado especificado. Use esta práctica para evitar entradas duplicadas o conflictos en la resolución DNS.
Se pueden crear varios puntos de conexión privados en la misma subred o en subredes diferentes dentro de la misma red virtual. Existen límites en cuanto al número de puntos de conexión privados que se pueden crear en una suscripción.
La suscripción del recurso de vínculo privado también se debe registrar con el proveedor de recursos de red de Microsoft. La suscripción del recurso del punto de conexión privado también se debe registrar con el proveedor de recursos de red de Microsoft.
Seguridad de red de los puntos de conexión privados
Cuando se usan puntos de conexión privados, el tráfico se protege en un recurso de vínculo privado. La plataforma valida las conexiones de red y solo permite las que llegan al recurso de vínculo privado especificado. Para acceder a más subrecursos dentro del mismo servicio Azure, se necesitan más puntos de conexión privados con sus correspondientes destinos. En el caso de Azure Storage, por ejemplo, se necesitarán puntos de conexión privados independientes para acceder a los subrecursos archivo y blob.
Los puntos de conexión privados proporcionan una dirección IP de acceso privado para el servicio de Azure, pero no restringen necesariamente el acceso de red pública al servicio. Sin embargo, todos los demás servicios de Azure requieren controles de acceso adicionales. Estos controles proporcionan una capa de seguridad de red adicional a los recursos, que ofrece protección para evitar el acceso al servicio de Azure asociado con el recurso de vínculo privado.
Los puntos de conexión privados admiten directivas de red. Las directivas de red permiten la compatibilidad con grupos de seguridad de red (NSG), rutas definidas por el usuario (UDR) y grupos de seguridad de aplicaciones (ASG).
A través de una conexión de punto de conexión privado, el propietario de un recurso de vínculo privado puede:
- Revisar todos los detalles de la conexión del punto de conexión privado.
- Aprobar una conexión de punto de conexión privado. El punto de conexión privado correspondiente está habilitado para enviar tráfico al recurso de vínculo privado.
- Rechazar una conexión de punto de conexión privado. El punto de conexión privado correspondiente se actualiza para reflejar el estado.
- Eliminar una conexión de punto de conexión privado en cualquier estado. El punto de conexión privado correspondiente se actualiza con un estado desconectado para reflejar la acción. El propietario del punto de conexión privado solo puede eliminar el recurso en este momento.
Acceso a un recurso de vínculo privado mediante el flujo de trabajo de aprobación
Puede conectarse a un recurso de vínculo privado mediante los siguientes métodos de aprobación de la conexión:
Aprobación automática: use este método cuando tenga permisos para el recurso de vínculo privado específico. Los permisos necesarios se basan en el tipo de recurso de vínculo privado con el siguiente formato:
Microsoft.<Provider>/<resource_type>/privateEndpointConnectionsApproval/action
Solicitud manual: use este método cuando no tenga los permisos necesarios y desee solicitar acceso. Se inicia un flujo de trabajo de aprobación. El punto de conexión privado y las posteriores conexiones de punto final privado se crean en estado Pendiente. El propietario del recurso de vínculo privado es responsable de aprobar la conexión. Una vez aprobada, el punto de conexión privado se habilita para enviar el tráfico normalmente, como se muestra en el siguiente diagrama de flujo de trabajo de aprobación:
A través de una conexión de punto de conexión privado, el propietario de un recurso de vínculo privado puede:
- Revisar todos los detalles de la conexión del punto de conexión privado.
- Aprobar una conexión de punto de conexión privado. El punto de conexión privado correspondiente está habilitado para enviar tráfico al recurso de vínculo privado.
- Rechazar una conexión de punto de conexión privado. El punto de conexión privado correspondiente se actualiza para reflejar el estado.
- Eliminar una conexión de punto de conexión privado en cualquier estado. El punto de conexión privado correspondiente se actualiza con un estado desconectado para reflejar la acción. El propietario del punto de conexión privado solo puede eliminar el recurso en este momento.
Nota:
Solo los puntos de conexión privados en un estado Aprobado puede enviar tráfico a un recurso de vínculo privado especificado.
Conexión mediante un alias
Un alias es un moniker único que se genera cuando el propietario de un servicio crea un servicio de vínculo privado detrás de un equilibrador de carga estándar. Los propietarios de servicios pueden compartir este alias sin conexión con los consumidores del servicio.
Los consumidores pueden solicitar una conexión a un servicio de vínculo privado mediante el identificador uniforme de recursos (URI) del recurso o el alias. Para conectarse mediante el alias, cree un punto de conexión privado mediante el método de aprobación de conexión manual. Para usar el método de aprobación de conexión manual, establezca el parámetro de solicitud manual en True durante el flujo de creación del punto de conexión privado.
Nota:
Esta solicitud manual se puede aprobar automáticamente si la suscripción de consumidor está en la lista de permitidos en el lado del proveedor.
Configuración de DNS
La configuración de DNS que se usa para conectarse a un recurso de vínculo privado es importante. Es posible que los servicios de Azure existentes ya tengan una configuración de DNS que puede usar al conectarse a través de un punto de conexión público. Para conectarse al mismo servicio a través de un punto de conexión privado, se requieren configuraciones DNS independientes, a menudo configuradas a través de zonas DNS privadas. Asegúrese de que la configuración de DNS sea correcta cuando use el nombre de dominio completo (FQDN) para la conexión. La configuración debe resolver la dirección IP privada del punto de conexión privado.
La interfaz de red asociada al punto de conexión privado contiene la información necesaria para configurar DNS. La información incluye el FQDN y las direcciones IP privadas del recurso de vínculo privado.
Limitaciones
En la siguiente información se enumeran las limitaciones conocidas para el uso de puntos de conexión privados:
Dirección IP estática
| Limitación | Descripción |
|---|---|
| Actualmente no se admite la configuración de direcciones IP estáticas. | Azure Kubernetes Service (AKS) Azure Application Gateway HDInsight Almacenes de Recovery Services Servicios de Private Link de terceros |
Grupo de seguridad de red
| Limitación | Descripción |
|---|---|
| Las rutas vigentes y las reglas de seguridad no están disponibles para la interfaz de red del punto de conexión privado. | Las rutas vigentes y las reglas de seguridad no se mostrarán para la NIC del punto de conexión privado en Azure Portal. |
| Registros de flujo de NSG no admitidos. | Los registros de flujo de NSG no están disponibles para el tráfico entrante destinado a un punto de conexión privado. |
| No más de 50 miembros en un grupo de seguridad de aplicaciones. | Cincuenta es el número de configuraciones de IP que se pueden asociar a cada ASG respectivo que está asociado al NSG en la subred del punto de conexión privado. Los errores de conexión pueden producirse con más de 50 miembros. |
| Los intervalos de puertos de destino admiten hasta un factor de 250 000. | Los intervalos de puertos de destino se admiten como una multiplicación SourceAddressPrefixes, DestinationAddressPrefixes y DestinationPortRanges. Regla de entrada de ejemplo: Un origen * un destino * 4K portRanges = 4K Válido 10 orígenes * 10 destinos * 10 portRanges = 1 K Válido 50 orígenes * 50 destinos * 50 portRanges = 125 K Válido 50 orígenes * 50 destinos * 100 portRanges = 250 K Válido 100 orígenes * 100 destinos * 100 portRanges = 1M No válido, el NSG tiene demasiados orígenes, destinos o puertos. |
| Filtrado de puertos de origen. | El filtrado de puertos de origen no se usa activamente como escenario válido de filtrado de tráfico para el tráfico que está destinado a un punto de conexión privado. |
| Característica no disponible en determinadas regiones. | Actualmente no está disponible en las siguientes regiones: Oeste de la India Centro de Australia 2 Oeste de Sudáfrica Sudeste de Brasil Todas las regiones de Azure Government Todas las regiones de China |
Consideraciones sobre el grupo de seguridad de red
El tráfico saliente denegado desde un punto de conexión privado no es un escenario válido, ya que el proveedor de servicios no puede originar el tráfico.
Es posible que los siguientes servicios necesiten que todos los puertos de destino estén abiertos cuando usen un punto de conexión privado y agreguen filtros de seguridad de NSG:
- Azure Cosmos DB
- Azure Cosmos DB
UDR
| Limitación | Descripción |
|---|---|
| SNAT siempre se recomienda. | Debido a la naturaleza variable del plano de datos del punto de conexión privado, se recomienda usar el tráfico SNAT que esté destinado a un punto de conexión privado para asegurarse de que se respeta el tráfico devuelto. |
| Característica no disponible en determinadas regiones. | Actualmente no está disponible en las siguientes regiones: Oeste de la India Centro de Australia 2 Oeste de Sudáfrica Sudeste de Brasil |
Grupo de seguridad de aplicaciones
| Limitación | Descripción |
|---|---|
| Característica no disponible en determinadas regiones. | Actualmente no está disponible en las siguientes regiones: Oeste de la India Centro de Australia 2 Oeste de Sudáfrica Sudeste de Brasil |