Solución de problemas de conectividad de puntos de conexión privados de Azure
En este artículo se proporcionan instrucciones detalladas para validar y diagnosticar la configuración de la conectividad de puntos de conexión privados de Azure.
Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio de punto de conexión privado. Esta solución le ayuda a proteger sus cargas de trabajo en Azure al proporcionar conectividad privada a los recursos del servicio de Azure desde la red virtual. De este modo, los servicios se incorporan a la red virtual mediante esta solución.
Estos son los escenarios de conectividad que están disponibles con los puntos de conexión privados:
Red virtual de la misma región
Redes virtuales emparejadas regionalmente
Redes virtuales emparejadas globalmente
Cliente local a través de VPN o circuitos de Azure ExpressRoute
Diagnóstico de problemas de conectividad
Revise estos pasos para asegurarse de que todas las configuraciones habituales son las esperadas a fin de resolver los problemas de conectividad con la configuración del punto de conexión privado.
Para revisar la configuración del punto de conexión privado, examine el recurso.
a. Vaya al Centro de Private Link.
b. En el panel izquierdo, seleccione Puntos de conexión privados.
c. Filtre y seleccione el punto de conexión privado que quiera diagnosticar.
d. Revise la red virtual y la información de DNS.
Compruebe que el estado de la conexión es Aprobado.
Asegúrese de que la máquina virtual tenga conectividad con la red virtual que hospeda los puntos de conexión privados.
Compruebe que la información de FQDN (copia) y la dirección IP privada están asignadas.
Use Azure Monitor para ver si los datos fluyen.
a. En el recurso de punto de conexión privado, seleccione Métricas.
Seleccione Bytes de entrada o Bytes de salida.
Vea si se transmiten los datos al intentar conectarse al punto de conexión privado. Se considera normal un retraso de aproximadamente 10 minutos.
Use la solución de problemas de conexión de máquinas virtuales de Azure Network Watcher.
a. Seleccione la máquina virtual cliente.
b. Seleccione Solución de problemas de conexión y, después, seleccione la pestaña Conexiones salientes.
c. Seleccione Usar Network Watcher para el seguimiento detallado de la conexión.
d. Seleccione Test by FQDN (Probar por FQDN).
Pegue el FQDN del recurso de punto de conexión privado.
Proporcione un puerto. Normalmente, se usa el puerto 443 para Azure Storage o Azure Cosmos DB y el 1336 para SQL.
e. Seleccione Probar y valide los resultados de la prueba.
La resolución de DNS de los resultados de la prueba debe tener la misma dirección IP privada asignada al punto de conexión privado.
a. Si la configuración de DNS es incorrecta, siga estos pasos:
Si usa una zona privada:
Asegúrese de que la red virtual de la máquina virtual cliente está asociada a la zona privada.
Compruebe que existe el registro de la zona DNS privada. Si no existe, créelo.
Si usa DNS personalizado:
- Revise la configuración personalizada de DNS y compruebe que esta sea correcta. Para más información, consulte Introducción al punto de conexión privado: Configuración de DNS.
b. Si se produce un error de conectividad debido a grupos de seguridad de red o rutas definidas por el usuario:
Revise las reglas de salida del grupo de seguridad de red y cree las reglas de salida adecuadas para permitir el tráfico.
La máquina virtual de origen debe tener la ruta a la dirección IP del punto de conexión privado del próximo salto como InterfaceEndpoints en las rutas efectivas de la interfaz de red.
a. Si no puede ver la ruta del punto de conexión privado en la máquina virtual de origen, compruebe los siguientes aspectos:
La máquina virtual de origen y el punto de conexión privado forman parte de la misma red virtual. En caso afirmativo, deberá ponerse en contacto con el servicio de soporte técnico.
La máquina virtual de origen y el punto de conexión privado forman parte de diferentes redes virtuales que se emparejan directamente entre sí. En caso afirmativo, deberá ponerse en contacto con el servicio de soporte técnico.
La máquina virtual de origen y el punto de conexión privado forman parte de redes virtuales diferentes que no se emparejan directamente entre sí; en este caso, compruebe la conectividad IP entre las redes virtuales.
Si la conexión tiene resultados validados, el problema de conectividad puede estar relacionado con otros aspectos, como secretos, tokens o contraseñas en el nivel de aplicación.
- En este caso, revise la configuración del recurso de Private Link asociado al punto de conexión privado. Para más información, consulte la guía de solución de problemas de Azure Private Link.
Siempre es conveniente acotar el problema antes de generar la incidencia de soporte técnico.
a. Si el origen es local y tiene problemas para conectarse localmente a un punto de conexión privado en Azure:
Intente conectarse a otra máquina virtual desde el entorno local. Compruebe si tiene conectividad IP con la red virtual desde el entorno local.
Pruebe a conectarse desde una máquina virtual de la red virtual al punto de conexión privado.
b. Si el origen es Azure y el punto de conexión privado está en otra red virtual:
Pruebe a conectarse al punto de conexión privado desde un origen diferente. Al conectarse desde un origen diferente, puede aislar cualquier problema específico de la máquina virtual.
Pruebe a conectarse a cualquier máquina virtual que forme parte de la misma red virtual del punto de conexión privado.
Si el punto de conexión privado está vinculado a un servicio Private Link que está vinculado a una instancia de Load Balancer, compruebe si el grupo de back-end está informando de que el estado es correcto. La corrección del estado de Load Balancer resuelve el problema con la conexión al punto de conexión privado.
Para ver un diagrama visual o una vista de recurso de los recursos, las métricas y la información relacionados, vaya a:
Azure Monitor
Redes
Puntos de conexión privados
Vista de recursos
Póngase en contacto con el equipo de soporte técnico de Azure si el problema sigue sin resolverse y el problema de conectividad persiste.