Compartir a través de

Uso de Azure Private Link para conectar servidores a Azure Arc de manera segura

Con Azure Private Link, puede vincular de forma segura los servicios de plataforma como servicio (PaaS) de Azure a la red virtual mediante puntos de conexión privados. Para muchos servicios, configurarás un punto de conexión para cada recurso. Después, puede conectar los servidores locales o multinube con Azure Arc y enviar todo el tráfico a través de Azure ExpressRoute o una conexión de red privada virtual (VPN) de sitio a sitio en lugar de usar redes públicas.

Con los servidores habilitados para Azure Arc, puede usar un modelo de ámbito de vínculo privado para permitir que varios servidores o máquinas se comuniquen con sus recursos de Azure Arc mediante un único punto de conexión privado.

En este artículo se explica cuándo usar el ámbito de Private Link de Azure Arc y cómo configurarlo.

Ventajas

Con Private Link, puede hacer lo siguiente:

  • Conectarse de manera privada con Azure Arc sin necesidad de abrir ningún acceso a la red pública.
  • Asegúrese de que solo se accede a los datos de la máquina o servidor habilitados para Azure Arc a través de redes privadas autorizadas. Este requisito también incluye datos de extensiones de máquina virtual (VM) instaladas en la máquina o servidor que proporcionan compatibilidad con la supervisión y la administración posterior a la implementación.
  • Evite la filtración de datos de las redes privadas mediante la definición de servidores específicos habilitados para Azure Arc y otros recursos de servicios de Azure, como Azure Monitor, que se conecta a través del punto de conexión privado.
  • Conecte de forma segura la red local privada a Azure Arc mediante ExpressRoute y Private Link.
  • Mantener todo el tráfico dentro de la red troncal de Microsoft Azure.

Para obtener más información, consulte Ventajas principales de Azure Private Link.

Funcionamiento

El ámbito de Private Link de Azure Arc conecta puntos de conexión privados (y las redes virtuales donde están contenidos) a un recurso de Azure. En este caso, son los servidores compatibles con Azure Arc. Al habilitar cualquiera de las extensiones de máquina virtual admitidas para servidores habilitados para Azure Arc, como Azure Monitor, esos recursos conectan otros recursos de Azure, como:

  • Área de trabajo de Log Analytics, que es necesario para el seguimiento de cambios y el inventario de Azure Automation, Azure Monitor VM Insights y la recopilación de registros de Azure Monitor con el agente de Azure Monitor.
  • Azure Key Vault.
  • Azure Blob Storage, necesario para la Extensión de Script Personalizado.

Diagrama que muestra la topología de recursos básica.

Para descargar diagramas de arquitectura en alta resolución, visite Jumpstart Gems.

La conectividad a cualquier otro recurso de Azure desde un servidor habilitado para Azure Arc requiere que configure Private Link para cada servicio, que es opcional, pero se recomienda. Private Link requiere una configuración independiente por servicio.

Para más información sobre cómo configurar Private Link para los servicios de Azure enumerados anteriormente, consulte los artículos sobre Azure Automation, Azure Monitor, Key Vault o Blob Storage.

Importante

Private Link ya está disponible con carácter general. Tanto el punto de conexión privado como los servicios de vínculo privado (servicio detrás de un equilibrador de carga estándar) están disponibles con carácter general. Los diferentes servicios PaaS de Azure se incorporan a Private Link siguiendo diferentes programaciones. Para obtener un estado actualizado de PaaS de Azure en Private Link, consulte Disponibilidad de Private Link. Para conocer las limitaciones conocidas, consulte Punto de conexión privado y servicio Private Link.

  • El punto de conexión privado de la red virtual le permite acceder a los puntos de conexión de servidores habilitados para Azure Arc a través de direcciones IP privadas del grupo de la red, en lugar de usar las direcciones IP públicas de estos puntos de conexión. De este modo, puede seguir usando el recurso de servidores habilitados para Azure Arc sin abrir la red virtual al tráfico saliente que no se solicitó.
  • El tráfico del punto de conexión privado a los recursos pasa por la red troncal de Azure y no se enruta a las redes públicas.
  • Puede configurar cada uno de los componentes a fin de permitir o denegar la ingesta y las consultas desde redes públicas. Esto proporciona una protección a nivel de recurso de modo que pueda controlar el tráfico a recursos específicos.

Restricciones y limitaciones

El objeto de ámbito de vínculo privado de servidores habilitados para Azure Arc tiene varios límites que debe tener en cuenta al planear la configuración de Private Link:

  • Como máximo, un ámbito de vínculo privado de Azure Arc se puede asociar a una red virtual.
  • Un recurso de servidor o máquina habilitado para Azure Arc solo puede conectarse a un ámbito de vínculo privado de servidores habilitados para Azure Arc.
  • Todas las máquinas locales deben usar el mismo punto de conexión privado mediante la resolución de la información correcta del punto de conexión privado, como el nombre de registro completo (FQDN) y la dirección IP privada. Deben usar el mismo reenviador del sistema de nombres de dominio (DNS). Para más información, consulte Configuración de DNS para puntos de conexión privados de Azure.
  • El servidor habilitado para Azure Arc y el ámbito de vínculo privado de Azure Arc deben estar en la misma región de Azure que los demás. El punto de conexión privado y la red virtual deben estar en la misma región de Azure que los otros, pero pueden ser diferentes de la región del ámbito de vínculo privado de Azure Arc y del servidor habilitado para Azure Arc.
  • El tráfico de red a Microsoft Entra ID y Azure Resource Manager no atraviesa el ámbito de vínculo privado de Azure Arc y sigue usando la ruta de red predeterminada a Internet. Opcionalmente, puede configurar un vínculo privado de administración de recursos para enviar el tráfico de Resource Manager a un punto de conexión privado.
  • Otros servicios de Azure que use, por ejemplo, Azure Monitor, requieren sus propios puntos de conexión privados en la red virtual.
  • El acceso remoto al servidor mediante Windows Admin Center o SSH no se admite a través de un vínculo privado en este momento.

Para conectar el servidor a Azure Arc a través de un vínculo privado, debe configurar la red para realizar las siguientes tareas:

  1. Establezca una conexión entre la red local y una red virtual de Azure mediante una VPN de sitio a sitio o un circuito ExpressRoute.

  2. Implemente un ámbito de vínculo privado de Azure Arc, que controla las máquinas o servidores que pueden comunicarse con Azure Arc a través de puntos de conexión privados. Asócielo a la red virtual de Azure mediante un punto de conexión privado.

  3. Actualizar la configuración de DNS en la red local para resolver las direcciones de punto de conexión privado.

  4. Configure el firewall local para permitir el acceso a Microsoft Entra ID y Resource Manager.

  5. Asocie las máquinas o servidores que están registrados con servidores habilitados para Azure Arc con el ámbito de enlace privado.

  6. Opcionalmente, implemente puntos de conexión privados para otros servicios de Azure que administren la máquina o el servidor, como:

    • Azure Monitor
    • Azure Automation
    • Azure Blob Storage (Servicio de almacenamiento de blobs de Azure)
    • Azure Key Vault

En este artículo se da por supuesto que ya configuró el circuito ExpressRoute o la conexión VPN de sitio a sitio.

Configuración de red

Los servidores habilitados para Azure Arc se integran con varios servicios de Azure a fin de incorporar la administración y gobernanza de la nube a sus máquinas o servidores híbridos. La mayoría de estos servicios ya ofrecen puntos de conexión privados. Debe configurar el firewall y las reglas de enrutamiento para permitir el acceso a Microsoft Entra ID y Resource Manager a través de Internet hasta que estos servicios ofrecen puntos de conexión privados.

Hay dos maneras de permitir el acceso:

  • Si la red está configurada para enrutar todo el tráfico enlazado a Internet a través del circuito ExpressRoute o VPN de Azure, puede configurar el grupo de seguridad de red (NSG) asociado a la subred de Azure. Usa etiquetas de servicio para permitir el acceso saliente a través de TCP 443 (HTTPS) a Microsoft Entra ID y Azure. Las reglas del grupo de seguridad de red deben tener un aspecto similar a la tabla siguiente:

    Configuración Regla de Microsoft Entra ID Regla de Azure
    Fuente Red virtual Red virtual
    Intervalos de puertos de origen * *
    Destino Etiqueta de servicio Etiqueta de servicio
    Etiqueta de servicio de destino AzureActiveDirectory AzureResourceManager
    Intervalos de puertos de destino 443 443
    Protocolo TCP TCP
    Acción Permitir Permitir
    Prioridad 150 (debe ser inferior a cualquier regla que bloquee el acceso a Internet). 151 (Debe ser inferior a cualquier regla que bloquee el acceso a Internet).
    Nombre AllowAADOutboundAccess AllowAzOutboundAccess

  • Configure el firewall en la red local para permitir el acceso TCP 443 (HTTPS) saliente a Microsoft Entra ID y Azure mediante los archivos de etiquetas de servicio descargables. El archivo JSON contiene todos los rangos de direcciones IP públicas utilizados por Microsoft Entra ID y Azure y se actualiza mensualmente para reflejar cualquier cambio. La etiqueta de servicio Microsoft Entra ID es AzureActiveDirectory. La etiqueta de servicio de Azure es AzureResourceManager. Consulte con el administrador de red y el proveedor del firewall de red cómo configurar las reglas de firewall.

Para comprender mejor los flujos de tráfico de la red, consulte el diagrama de la sección Cómo funciona de este artículo.

  1. Inicie sesión en Azure Portal.

  2. Vaya a Creación de un recurso en Azure Portal, busque Ámbito de Private Link de Azure Arc y seleccione Crear.

    Captura de pantalla que muestra el ámbito del vínculo privado de Azure Arc con el botón Crear.

    Como alternativa, vaya directamente a la página Ámbitos de Enlace Privado de Azure Arc en el portal y seleccione Crear.

  3. En la pestaña Aspectos básicos , seleccione una suscripción y un grupo de recursos.

  4. Escriba un nombre para el ámbito de vínculo privado de Azure Arc. Se recomienda usar un nombre significativo y claro.

  5. Opcionalmente, puede exigir que cada máquina o servidor habilitado para Azure Arc, asociado con este ámbito de vínculo privado de Azure Arc, envíe datos al servicio a través del punto de conexión privado. Para ello, active la casilla Permitir el acceso a la red pública para que las máquinas o servidores asociados a este ámbito de vínculo privado de Azure Arc puedan comunicarse con el servicio a través de redes públicas o privadas. Puede cambiar esta configuración después de crear el ámbito según sea necesario.

  6. Seleccione la pestaña Punto de conexión privado y, a continuación, seleccione Crear.

  7. En el panel Crear punto de conexión privado :

    1. Escriba un nombre para el punto de conexión.

    2. En Integrar con zona DNS privada, seleccione y deje que cree automáticamente una nueva zona DNS privada.

      Nota

      Si elige No y prefiere administrar los registros DNS manualmente, primero termine de configurar el vínculo privado, incluido este punto de conexión privado y la configuración del ámbito privado. A continuación, configure el DNS según las instrucciones de configuración dns del punto de conexión privado de Azure. Asegúrese de no crear registros vacíos como preparación para la configuración de Private Link. Los registros DNS que cree pueden invalidar la configuración existente y afectar a la conectividad con servidores habilitados para Azure Arc.

      No puede usar la misma red virtual o zona DNS para los recursos de Azure Arc que usan vínculos privados y los que no usan vínculos privados. Los recursos de Azure Arc que no están conectados a vínculos privados deben resolverse sobre puntos de conexión públicos.

    3. Seleccione Aceptar.

  8. Selecciona Revisar + crear.

    Captura de pantalla que muestra la ventana Crear ámbito de Enlace Privado.

  9. Deje que se supere la validación y luego seleccione Crear.

Configuración del reenvío de DNS local

Las máquinas o servidores locales deben poder resolver los registros DNS de vínculo privado en las direcciones IP del punto de conexión privado. La configuración de este comportamiento depende de si usa:

  • Zonas DNS privadas de Azure para mantener registros DNS.
  • Su propio servidor DNS local y el número de servidores que configure.

Configuración de DNS mediante zonas DNS privadas integradas en Azure

Si configura zonas DNS privadas para servidores habilitados para Azure Arc y la configuración de invitado al crear el punto de conexión privado, las máquinas o servidores locales deben poder reenviar consultas DNS a los servidores DNS integrados de Azure para resolver correctamente las direcciones del punto de conexión privado. Necesita un reenviador DNS en Azure (ya sea una máquina virtual creada específicamente o una instancia de Azure Firewall con el proxy DNS habilitado). A continuación, puede configurar el servidor DNS local para reenviar consultas a Azure para resolver las direcciones IP del punto de conexión privado.

Para más información, consulte Solucionador privado de Azure DNS con reenviador DNS local.

Configuración manual del servidor DNS

Si optó por no usar zonas DNS privadas de Azure durante la creación del punto de conexión privado, debe crear los registros DNS necesarios en el servidor DNS local.

  1. En el portal de Azure, vaya al recurso de punto de conexión privado asociado a su red virtual y al ámbito de enlace privado.

  2. En el menú servicio, en Configuración, seleccione Configuración de DNS para ver una lista de los registros DNS y las direcciones IP correspondientes que necesita configurar en el servidor DNS. Los FQDN y las direcciones IP cambian en función de la región que seleccionó para el punto de conexión privado y las direcciones IP disponibles en la subred.

  3. Siga las instrucciones del proveedor del servidor DNS para agregar las zonas DNS necesarias y los registros A para que coincidan con la tabla del portal. Asegúrese de seleccionar un servidor DNS con el ámbito adecuado para la red. Cada máquina o servidor que usa este servidor DNS ahora resuelve las direcciones IP del punto de conexión privado. Cada máquina o servidor debe estar asociado al ámbito de vínculo privado de Azure Arc o se rechaza la conexión.

Escenarios de servidor único

Si tiene previsto usar vínculos privados para admitir solo algunas máquinas o servidores, es posible que no quiera actualizar la configuración dns de toda la red. En este caso, puede agregar los nombres de host y las direcciones IP del punto de conexión privado al archivo hosts del sistema operativo. Según la configuración del sistema operativo, el archivo Hosts puede ser el método principal o alternativo para resolver un nombre de host en una dirección IP.

Windows

  1. Use una cuenta con privilegios de administrador para abrir C:\Windows\System32\drivers\etc\hosts.

  2. Agregue las direcciones IP del punto de conexión privado y los nombres de host de la lista de configuración de DNS , tal como se describe en Configuración manual del servidor DNS. El archivo de hosts requiere primero la dirección IP, seguida de un espacio y, a continuación, el nombre de host.

  3. Guarde el archivo con los cambios. Es posible que tenga que guardar en otro directorio primero y, a continuación, copiar el archivo en la ruta de acceso original.

Linux

  1. Abra el archivo /etc/hosts en un editor de texto.

  2. Agregue las direcciones IP del punto de conexión privado y los nombres de host de la lista de configuración de DNS , tal como se describe en Configuración manual del servidor DNS. El archivo de hosts solicita primero la dirección IP, seguida de un espacio y, a continuación, el nombre de host.

  3. Guarde el archivo con los cambios.

Conectar un servidor habilitado para Azure Arc

El uso de un punto de conexión privado requiere la versión 1.4 o posterior del agente de Azure Connected Machine. El script de implementación de servidores habilitados para Azure Arc que se genera en el portal descarga la versión más reciente.

Al conectar una máquina o un servidor con servidores habilitados para Azure Arc por primera vez, puede conectarla opcionalmente a un ámbito de vínculo privado.

  1. En el explorador, vaya a Azure Portal.

  2. Vaya a Máquinas: Azure Arc.

  3. En la página Máquinas- Azure Arc , seleccione Agregar o crear en la esquina superior izquierda y, a continuación, seleccione Agregar una máquina en el menú desplegable.

  4. En la página Agregar servidores con Azure Arc , seleccione Agregar un solo servidor o Agregar varios servidores en función del escenario de implementación y, a continuación, seleccione Generar script.

  5. En la página Aspectos básicos , proporcione la siguiente información:

    1. Seleccione la suscripción y el grupo de recursos de la máquina.

    2. En la lista desplegable Región , seleccione la región de Azure para almacenar los metadatos de la máquina o del servidor.

    3. En la lista desplegable Sistema operativo , seleccione el sistema operativo en el que se configura el script para ejecutarse.

    4. En Método de conectividad, seleccione Punto de conexión privado y seleccione el ámbito de vínculo privado de Azure Arc creado en la parte 1 de la lista desplegable.

      Captura de pantalla que muestra la selección de la opción Conectividad de punto de conexión privado.

    5. Seleccione Siguiente: etiquetas.

  6. Si seleccionó Agregar varios servidores en la página Autenticación , seleccione la entidad de servicio creada para servidores habilitados para Azure Arc en la lista desplegable. Si necesita crear una entidad de servicio para servidores habilitados para Azure Arc, revise cómo crear una entidad de servicio para obtener información sobre los permisos y los pasos necesarios para crear una. Seleccione Siguiente: Etiquetas para continuar.

  7. En la página Etiquetas , revise las etiquetas de ubicación física predeterminadas sugeridas y escriba un valor, o especifique una o varias etiquetas personalizadas para admitir los estándares.

  8. Seleccione Siguiente: Descargar y ejecutar script.

  9. En la pestaña Descargar y ejecutar el script, revise la información del resumen y seleccione Descargar.

Después de descargar el script, debe ejecutarlo en el equipo o servidor mediante una cuenta con privilegios (administrador o raíz). En función de la configuración de red, es posible que tenga que descargar el agente desde un equipo con acceso a Internet y transferirlo al equipo o servidor. A continuación, modifique el script con la ruta de acceso al agente.

Puede descargar el agente de Windows y el agente de Linux. Busque la versión más reciente de azcmagent en el directorio de distribución de su sistema operativo e instalarla con el gestor de paquetes local.

El script devuelve mensajes de estado que le permiten saber si la incorporación se realizó correctamente después de que finalice.

El tráfico de red del agente de Azure Connected Machine a Microsoft Entra ID (login.windows.net, login.microsoftonline.com, pas.windows.net) y Resource Manager (management.azure.com) siguen usando puntos de conexión públicos. Si el servidor necesita comunicarse a través de un servidor proxy para llegar a estos puntos de conexión, configure el agente con la dirección URL del servidor proxy antes de conectarlo a Azure. Es posible que también tenga que configurar una exclusión de proxy para los servicios de Azure Arc si el punto de conexión privado no es accesible desde el servidor proxy.

Configurar un servidor habilitado para Azure Arc existente

En el caso de los servidores habilitados para Azure Arc que se configuraron antes del ámbito de Private Link, puede permitirles iniciar mediante el ámbito de Private Link de los servidores habilitados para Azure Arc.

  1. En el portal de Azure, vaya al recurso de ámbito de enlace privado de Azure Arc.

  2. En el menú servicio, en Configurar, seleccione Recursos de Azure Arc y, a continuación, seleccione + Agregar.

  3. Seleccione los servidores de la lista que desea asociar con el ámbito de vínculo privado y, a continuación, elija Seleccionar para guardar los cambios.

    Recorte de pantalla que muestra la selección de recursos de Azure Arc.

El ámbito del vínculo privado puede tardar hasta 15 minutos en aceptar conexiones de los servidores asociados recientemente.

Solución de problemas

Si tiene problemas, las siguientes sugerencias pueden ayudar:

  • Compruebe el servidor DNS local para comprobar que se reenvía a Azure DNS o está configurado con los registros A adecuados en la zona de vínculo privado. Estos comandos de búsqueda deben devolver direcciones IP privadas en la red virtual de Azure. Si resuelven direcciones IP públicas, compruebe de nuevo la configuración de DNS de la máquina o del servidor y de la red.

    nslookup gbl.his.arc.azure.com
nslookup agentserviceapi.guestconfiguration.azure.com

  • En caso de problemas con la incorporación de una máquina o servidor, asegúrese de haber agregado las etiquetas de servicio de Microsoft Entra y Resource Manager al firewall de red local. El agente debe comunicarse con estos servicios a través de Internet hasta que los puntos de conexión privados estén disponibles para estos servicios.

Para obtener más ayuda para solucionar problemas, consulte Solución de problemas de conectividad de puntos de conexión privados de Azure.

Contenido relacionado

  • Last updated on