Preguntas frecuentes sobre Azure Private Link

• Punto de conexión privado de Azure : Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. Puede usar puntos de conexión privados para conectarse a un servicio PaaS de Azure que admita Private Link o a su propio servicio Private Link.
• Servicio Azure Private Link : el servicio Azure Private Link es un servicio creado por un proveedor de servicios. Actualmente, se puede asociar un servicio Private Link a la configuración de IP de front-end de una instancia de Standard Load Balancer.

El tráfico se envía de forma privada mediante la red troncal de Microsoft. No recorre Internet. Azure Private Link no almacena datos de clientes.

• Los puntos de conexión privados conceden acceso de red a recursos específicos detrás de un servicio determinado, lo que proporciona una segmentación granular. El tráfico puede llegar al recurso de servicio desde el entorno local sin usar puntos de conexión públicos.
• Un punto de conexión de servicio sigue siendo una dirección IP enrutable públicamente. Un punto de conexión privado es una dirección IP privada en el espacio de direcciones de la red virtual en donde se configura el punto de conexión privado.

Varios tipos de recursos de Private Link admiten el acceso a través de puntos de conexión privados. Los recursos incluyen los servicios PaaS de Azure y su propio servicio Private Link. Es una relación de uno a varios.

Un servicio Private Link recibe conexiones de varios puntos de conexión privados. Un punto de conexión privado se conecta a un servicio Private Link.

Sí. Private Link debe deshabilitar las directivas de red para funcionar correctamente.

Sí. Para usar directivas como rutas definidas por el usuario y grupos de seguridad de red, debe habilitar directivas de red para una subred en una red virtual para el punto de conexión privado. Esta configuración se aplica a todos los puntos de conexión privados dentro de la subred.

Sí. Puede tener varios puntos de conexión privados en la misma red virtual o subred. Pueden conectarse a diferentes servicios.

No. No necesita una subred dedicada para los puntos de conexión privados. Puede elegir una dirección IP de punto de conexión privado desde cualquier subred de la red virtual donde se implemente su servicio.

Sí. Los puntos de conexión privados pueden conectarse a los servicios de Private Link o a un PaaS de Azure a través de los inquilinos de Microsoft Entra. Los puntos de conexión privados entre los inquilinos requieren una aprobación de solicitud manual.

Sí. Los puntos de conexión privados pueden conectarse a recursos de PaaS de Azure a través de las regiones de Azure.

Cuando se crea un punto de conexión privado, se asigna una NIC de solo lectura. La NIC no se puede modificar y permanecerá durante el ciclo de vida del punto de conexión privado.

Los puntos de conexión privados son recursos de alta disponibilidad con un Acuerdo de Nivel de Servicio según el SLA para Azure Private Link. Sin embargo, dado que son recursos regionales, cualquier interrupción en la región de Azure puede afectar a la disponibilidad. Para lograr disponibilidad en caso de haber errores regionales, se pueden implementar varios puntos de conexión privados conectados al mismo recurso de destino en regiones diferentes. De este modo, si una región deja de funcionar, todavía puede enrutar el tráfico de los escenarios de recuperación a través de un punto de conexión privado de una región distinta para acceder al recurso de destino. Para más información sobre cómo se administran los errores regionales en el servicio de destino, consulte la documentación del servicio sobre conmutación por error y recuperación. El tráfico de Private Link sigue la resolución de Azure DNS del punto de conexión de destino.

Los puntos de conexión privados son recursos de alta disponibilidad con un Acuerdo de Nivel de Servicio según el SLA para Azure Private Link. Los puntos de conexión privados son independientes de la zona: un error de zona de disponibilidad en la región del punto de conexión privado no afectará a la disponibilidad del punto de conexión privado.

El tráfico de TCP y UDP solo se admite para un punto de conexión privado. Para más información, consulte Limitaciones de Private Link.

Sus back-ends de servicio deben estar en una red virtual y detrás de una instancia de Standard Load Balancer.

Puede escalar su servicio Private Link de distintas formas:

• Agregando máquinas virtuales de back-end al grupo situado detrás de su instancia de Standard Load Balancer.
• Agregando una dirección IP al servicio Private Link. Permitimos hasta ocho direcciones IP por servicio Private Link.
• Agregando un nuevo servicio Private Link a Standard Load Balancer. Permitimos hasta ocho servicios Private Link por instancia de Standard Load Balancer.

• La configuración de IP de NAT garantiza que el espacio de direcciones de origen (consumidor) y destino (proveedor de servicios) no tenga conflictos de IP. La configuración proporciona NAT de origen para el tráfico de vínculo privado para el destino. La dirección IP de NAT se mostrará como IP de origen para todos los paquetes recibidos por su servicio e IP de destino para todos los paquetes enviados por su servicio. La IP de NAT se puede elegir desde cualquier subred de la red virtual de un proveedor de servicios.
• Cada IP de NAT proporciona 64 000 conexiones TCP (64 000 puertos) por máquina virtual detrás de Standard Load Balancer. Con el fin de escalar y aumentar las conexiones, puede agregar nuevas direcciones IP de NAT o más máquinas virtuales detrás de Standard Load Balancer. Si lo hace, escalará la disponibilidad de puertos y permitirá más conexiones. Las conexiones se distribuirán entre las direcciones IP de NAT y las máquinas virtuales detrás de Standard Load Balancer.

Sí. Un servicio Private Link puede recibir conexiones de varios puntos de conexión privados. Sin embargo, un punto de conexión privado solo puede conectarse a un servicio Private Link.

Puede controlar la exposición mediante la configuración de visibilidad del servicio Private Link. La visibilidad admite tres configuraciones:

• Ninguno: solo las suscripciones con acceso basado en rol pueden localizar el servicio.
• Restrictivo: solo las suscripciones que están aprobadas y con acceso basado en rol pueden localizar el servicio.
• Todo: todos pueden localizar el servicio.

No. No se admite ningún servicio Private Link mediante una instancia de Basic Load Balancer.

No. No se requiere una subred dedicada para el servicio Private Link. Puede elegir cualquier subred de su red virtual donde se implemente su servicio.

No. Azure Private Link proporciona esta funcionalidad automáticamente. No se le exige tener un espacio de direcciones que no se superponga con el espacio de direcciones de su cliente.

Pasos siguientes

• Obtenga información sobre Azure Private Link