Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El servicio Azure Private Link permite exponer de forma privada sus propias aplicaciones, como las que se ejecutan en máquinas virtuales, dentro de una red virtual de Azure. El servicio Private Link permite a otros clientes o clientes de Azure en sus propias redes conectarse de forma segura sin usar direcciones IP públicas, lo que garantiza que el tráfico permanece dentro de la red de Azure.
Cuando se usa Azure, la confiabilidad es una responsabilidad compartida. Microsoft proporciona una variedad de funcionalidades para admitir resistencia y recuperación. Es responsable de comprender cómo funcionan esas funcionalidades dentro de todos los servicios que usa y de seleccionar las funcionalidades que necesita para cumplir los objetivos empresariales y los objetivos de tiempo de actividad.
Este artículo se centra en el servicio Azure Private Link y los puntos de conexión privados asociados como un mecanismo de conectividad. Describe el comportamiento del nivel de plataforma y del plano de control durante errores transitorios, interrupciones de zona de disponibilidad y interrupciones en toda la región.
Nota:
Este artículo se centra en el servicio Azure Private Link, que permite la conectividad privada a las aplicaciones que se ejecutan en sus propias máquinas virtuales. Si usa puntos de conexión privados con otros servicios de Azure, por ejemplo, Azure Storage o Azure SQL Database, debe revisar en su lugar las guías de confiabilidad de esos servicios para obtener información de confiabilidad específica sobre sus puntos de conexión privados.
Importante
La confiabilidad de la solución general depende de la configuración de los servidores back-end a los que se conecta el servicio Private Link. En función de la solución, pueden ser máquinas virtuales (VM) de Azure, conjuntos de escalado de máquinas virtuales de Azure o puntos de conexión externos. También incluye equilibradores de carga y otros componentes de red.
Los servidores back-end no están en el ámbito de este artículo, pero sus configuraciones de disponibilidad afectan directamente a la resistencia de la aplicación. Revise las guías de confiabilidad de todos los servicios de Azure de la solución para comprender cómo admite cada uno los requisitos de confiabilidad. Al asegurarse de que los servidores de back-end también están configurados para alta disponibilidad y redundancia de zona, puede lograr una confiabilidad de un extremo a otro para la aplicación.
Introducción a la arquitectura de confiabilidad
El servicio Private Link permite a los clientes conectarse de forma privada a las cargas de trabajo de Azure. Como proveedor de servicios, despliega un recurso de servicio de Private Link. Los consumidores de servicios crean puntos de conexión privados en sus propias redes virtuales de Azure. Estos puntos de conexión se conectan de forma segura y privada a través de Private Link a las aplicaciones. Esta configuración no expone direcciones IP públicas, incluso cuando un consumidor usa el punto de conexión privado desde un entorno local a través de Azure ExpressRoute u otro método de conectividad privado.
Normalmente, un servicio de Private Link se asocia a una instancia de Azure Load Balancer que gestiona los recursos de back-end (máquinas virtuales o conjuntos de escalado de máquinas virtuales). También puede usar el servicio Private Link Direct Connect (versión preliminar), que permite la conectividad a cualquier dirección IP enrutable privadamente dentro de la red virtual. Si usa el servicio Private Link Direct Connect, revise la documentación cuidadosamente para comprender los requisitos, la disponibilidad de regiones y las limitaciones.
Importante
El servicio Private Link Direct Connect está actualmente en versión preliminar.
Consulte Términos de uso complementarios para las versiones preliminares de Microsoft Azure para conocer los términos legales que se aplican a las características de Azure que se encuentran en la versión beta, en versión preliminar o que todavía no se han publicado para que estén disponibles con carácter general.
Resistencia a errores transitorios
Los errores transitorios son errores breves e intermitentes en los componentes. Se producen con frecuencia en un entorno distribuido como la nube y son una parte normal de las operaciones. Los errores transitorios se corrigen después de un breve período de tiempo. Es importante que las aplicaciones puedan controlar errores transitorios, normalmente mediante el reintento de solicitudes afectadas.
Todas las aplicaciones hospedadas en la nube deben seguir las instrucciones de control de errores transitorios de Azure cuando se comunican con cualquier API, bases de datos y otros componentes hospedados en la nube. Para obtener más información, consulte Recomendaciones para controlar errores transitorios.
Además, al implementar un servicio Private Link con standard Load Balancer, revise las recomendaciones de control de errores transitorios para Azure Load Balancer y asegúrese de que el equilibrador de carga esté configurado correctamente para controlar los errores transitorios.
Resistencia a errores de zona de disponibilidad
El servicio Private Link es resistente automáticamente a los errores de zona de disponibilidad cuando se implementa en una región que admite zonas de disponibilidad. Los proveedores de servicios no necesitan configurar nada para habilitar este comportamiento.
Los puntos de conexión privados se distribuyen automáticamente entre zonas de disponibilidad en la región. Los consumidores de servicios no necesitan crear puntos de conexión privados independientes en distintas zonas.
Requisitos
Compatibilidad con regiones: Puede implementar servicios private Link con redundancia de zona en cualquier región que admita zonas de disponibilidad.
Dependencia del equilibrador de carga: Si usa el servicio Private Link con un equilibrador de carga de back-end, también debe configurarse como redundancia de zona para garantizar la resistencia de la zona de un extremo a otro. Para más información, consulte Confiabilidad en Azure Load Balancer.
Cost
No hay ningún costo adicional asociado a la compatibilidad de zona de disponibilidad con el servicio Private Link.
Configurar soporte de zonas de disponibilidad
La compatibilidad con zonas de disponibilidad se habilita automáticamente al implementar el servicio Private Link en una región que admita zonas de disponibilidad.
Comportamiento cuando todas las zonas están en buen estado
En esta sección se describe qué esperar cuando los servicios de Private Link y los puntos de conexión privados están configurados para la compatibilidad con zonas de disponibilidad y todas las zonas de disponibilidad están operativas.
Operación entre zonas: El tráfico a través de un punto de conexión privado y el servicio Private Link se pueden enrutar a través de cualquier zona de disponibilidad.
Replicación de datos entre zonas: Azure Private Link no realiza la replicación de datos entre zonas, puesto que es un servicio sin estado para la conectividad.
Comportamiento durante un fallo de zona
En esta sección se describe qué esperar cuando los servicios de Private Link y los puntos de conexión privados están configurados para el soporte de zonas de disponibilidad y hay una interrupción de una zona de disponibilidad.
- Detección y respuesta: Microsoft es responsable de detectar errores de zona de disponibilidad y administrar la respuesta del servicio.
- Notificación: Microsoft no le notifica automáticamente cuando una zona está inactiva. Sin embargo, puede usar Azure Service Health para comprender el estado general del servicio, incluidos los errores de zona, y puede configurar alertas de Service Health para notificarle problemas.
Solicitudes activas: Es posible que las solicitudes activas se finalicen durante un error de zona de disponibilidad. Los consumidores del servicio deben reintentar las solicitudes con errores después de interrupciones transitorias, de forma similar a otros errores transitorios.
Pérdida de datos esperada: No se produce ninguna pérdida de datos porque Azure Private Link es un servicio sin estado para la conectividad.
Tiempo de inactividad esperado: Es posible que las conexiones existentes que se conecten a través de la zona afectada se interrumpan. Siempre que los componentes de back-end, como el equilibrador de carga y los servidores de aplicaciones, sigan estando disponibles, los consumidores del servicio pueden reintentar las conexiones inmediatamente y las solicitudes se enrutarán a través de la infraestructura de otra zona.
Redistribución: Cuando se produce un error en una sola zona de disponibilidad, el servicio continúa funcionando mediante el enrutamiento de tráfico nuevo a través de zonas correctas.
Es poco probable que las máquinas virtuales de la zona de disponibilidad afectada sigan funcionando. Sin embargo, en caso de un error de zona parcial que hace que Azure Private Link no esté disponible en la zona afectada mientras las máquinas virtuales de la zona siguen funcionando, las conexiones salientes a las máquinas virtuales de la zona afectada se enrutan a través de la infraestructura de Private Link en otra zona.
El tiempo de inactividad de la aplicación también puede ocurrir si los componentes dependientes, como los equilibradores de carga o las máquinas virtuales de backend, no tienen resiliencia zona-específica.
Recuperación de zona
Cuando se recupera la zona de disponibilidad afectada, Microsoft administra automáticamente el proceso de conmutación por recuperación. No se requiere ninguna acción del cliente.
Prueba de fallos de zona
La plataforma Private Link administra el enrutamiento del tráfico, la conmutación por error y la conmutación por recuperación para los servicios de Private Link y los puntos de conexión privados entre zonas de disponibilidad. Dado que esta característica está totalmente administrada, no es necesario validar los procesos de error de zona de disponibilidad.
Resistencia a errores en toda la región
El servicio Private Link es un servicio de una sola región. El servicio no incluye funciones nativas multirregionales ni recuperación automática frente a errores entre regiones. Si una región de Azure deja de estar disponible, los servicios de Private Link de esa región tampoco están disponibles.
Soluciones personalizadas de varias regiones para la resistencia
Si diseña un enfoque de red con varias regiones, (el proveedor de servicios) debe implementar servicios independientes de Private Link en cada región. Usted es responsable de implementar y administrar cada servicio de Private Link. Los consumidores del servicio son responsables de configurar puntos de conexión privados en cada servicio private Link según sea necesario y para enrutar el tráfico al servicio Private Link adecuado.
Copia de seguridad y recuperación
El servicio Private Link no almacena los datos de los clientes y no requiere copia de seguridad ni restauración. Para volver a crear configuraciones, considere la posibilidad de mantener plantillas de infraestructura como código para los recursos de red. Dado que los servicios de Private Link son de solo configuración y no almacenan datos de cliente, los esfuerzos de copia de seguridad deben centrarse en las plantillas de infraestructura como código para una rápida reimplementación.
Acuerdo de nivel de servicio
El contrato de nivel de servicio (SLA) para los servicios de Azure describe la disponibilidad esperada de cada servicio y las condiciones que la solución deberá cumplir para lograr esa expectativa de disponibilidad. Para obtener más información, consulte Acuerdos de Nivel de Servicio para servicios en línea.