Cómo funciona Azure Private Link

  • 10 minutos

Ya está familiarizado con las características y las ventajas básicas de Private Link. Ahora vamos a investigar cómo funciona Private Link. En concreto, vamos a analizar cómo funciona con el punto de conexión privado y el servicio Private Link para ofrecer acceso privado a los servicios de Azure. Esta información lo ayudará a evaluar si Private Link o es la solución adecuada para su empresa.

Private Link proporciona acceso privado a los servicios de Azure. Aquí, "Private" (privado) significa que la conexión utiliza la red troncal de Microsoft Azure en lugar de Internet. Para hacer ese cambio, Private Link cambia el método de conectividad del recurso Azure del punto de conexión público al punto de conexión privado.

Ahora no podrá acceder al recurso de Azure mediante una dirección IP pública. En su lugar, usará una dirección IP privada que Azure asigna al recurso desde el espacio de direcciones de la subred.

La clave es que ahora el recurso de Azure forma parte de la red virtual. Los clientes de la red pueden acceder a este recurso de Private Link igual que a cualquier otro recurso de red.

Para disfrutar de una mayor seguridad, la conexión al recurso utiliza ahora la red troncal de Microsoft Azure. Es decir, todo el tráfico con origen y destino en el recurso omite la red pública de Internet.

Sin embargo, el punto de conexión público del recurso sigue existiendo aunque no lo esté usando. La presencia de un punto de conexión público, incluso uno sin usar, sigue siendo un riesgo para la seguridad. Afortunadamente, es posible deshabilitar el punto de conexión público del recurso de Azure, lo que omite ese posible problema de seguridad.

Funcionamiento del punto de conexión privado de Azure

¿Cómo se puede cambiar una interfaz de recursos de pública a privada? Agregue un punto de conexión privado de Azure a la configuración de red. El punto de conexión privado es una interfaz de red que crea una conexión privada entre la red virtual y un recurso de Azure especificado.

El punto de conexión privado toma una dirección IP privada sin usar del espacio de direcciones de una subred especificada de la red virtual. Por ejemplo, supongamos que tiene una subred que usa el espacio de direcciones 10.1.0.0/24. Las máquinas virtuales de esa subred usan direcciones IP como 10.1.0.20 o 10.1.0.155.

El punto de conexión privado obtiene una dirección IP del mismo espacio de direcciones, por ejemplo, 10.1.0.32. A continuación, el punto de conexión privado asigna esa dirección a un servicio de Azure especificado. Al usar la dirección IP privada, el servicio se conecta de forma eficaz a la red virtual.

Nota:

Los clientes que se conectan a un recurso de Private Link no necesitan usar la dirección IP asignada del punto de conexión privado en la cadena de conexión. En su lugar, si configura el punto de conexión privado para que se integre con su zona DNS privada, Azure asigna automáticamente un FQDN al punto de conexión. Por ejemplo, si el recurso de Private Link es una tabla de Azure Storage, el FQDN será similar a mystorageaccount1234.table.core.windows.net.

Estos son algunos puntos clave que se deben tener en cuenta al evaluar un punto de conexión privado:

  • El punto de conexión privado ofrece conectividad privada entre máquinas virtuales y otros clientes de la red virtual de Azure y los servicios de Azure basados en Private Link.
  • El punto de conexión privado ofrece conectividad privada entre las redes virtuales emparejadas de forma regional y los servicios de Azure basados en Private Link.
  • El punto de conexión privado ofrece conectividad privada entre las redes virtuales emparejadas globalmente y los servicios de Azure basados en Private Link.
  • El punto de conexión privado ofrece conectividad privada entre la red local (conectada a través de un emparejamiento privado de ExpressRoute o una VPN) y los servicios de Azure basados en Private Link.
  • Puede implementar un máximo de 1000 interfaces de punto de conexión privado por red virtual.
  • Puede implementar un máximo de 64 000 interfaces de punto de conexión privado por suscripción de Azure.
  • Puede asignar un máximo de 1000 interfaces de punto de conexión privado al mismo recurso de Private Link.

Precaución

Aunque es posible asignar varias interfaces de punto de conexión privado a un único recurso, no se recomienda porque puede provocar conflictos de DNS y otros problemas. El procedimiento recomendado consiste en asignar un único punto de conexión privado a un único recurso de Private Link.

  • Las conexiones son unidireccionales, lo que significa que solo los clientes pueden conectarse a una interfaz de punto de conexión privado. Si un servicio de Azure se asigna a una interfaz de punto de conexión privado, el proveedor de ese servicio no puede conectarse a la interfaz de punto de conexión privado (ni siquiera percibirla).
  • Una interfaz de punto de conexión privado implementada es de solo lectura, lo que significa que nadie puede modificarla. Por ejemplo, nadie puede asignar la interfaz a un recurso diferente, ni tampoco puede cambiar la dirección IP de la interfaz.
  • Aunque debe implementar el punto de conexión privado en la misma región que la red virtual, el recurso de Private Link se puede ubicar en una región diferente.

Nota:

¿Cuál es la diferencia entre un punto de conexión de servicio y un punto de conexión privado? Un punto de conexión de servicio configura un recurso de Azure para permitir conexiones solo desde una red virtual especificada. Sin embargo, esa conexión todavía se realiza a través del punto de conexión público del recurso, por lo que sigue habiendo algunos riesgos de seguridad. El punto de conexión privado elimina esos riesgos al admitir la deshabilitación del punto de conexión público de un recurso.

El servicio Azure Private Link aporta las ventajas de Private Link a los servicios de Azure personalizados. El único requisito es ejecutar el servicio personalizado que detrás de Azure Standard Load Balancer. Después, puede crear un recurso del servicio Private Link y asociarlo al equilibrador de carga.

Precaución

Azure ofrece dos versiones de su equilibrador de carga: básico y estándar. El equilibrador de carga básico no es compatible con el servicio Private Link, por lo que debe asegurarse de que esté usando Standard Load Balancer.

Una vez que se crea el recurso del servicio Private Link, Azure emite un alias para el recurso, que es una cadena única global de solo lectura con la sintaxis prefijo.guid.sufijo:

  • prefijo. Nombre que se proporciona para el servicio personalizado.
  • guid. Un identificador único global generado automáticamente por Azure.
  • sufijo. En región.azure.privatelinkservice, "región" es la región donde se implementa el servicio Private Link.

Comparta el alias del servicio Private Link con los consumidores del servicio personalizado. A continuación, cada consumidor configurará un punto de conexión privado en su propia red virtual de Azure. Después, el consumidor asignará el punto de conexión al alias del servicio Private Link.

Estos son algunos puntos clave que se deben tener en cuenta al evaluar el servicio Private Link:

  • Se puede acceder al servicio Private Link a través de un punto de conexión privado de cualquier región pública.
  • El servicio Private Link debe implementarse en la misma región que el equilibrador de carga estándar y la red virtual que hospeda el servicio de Azure personalizado.
  • Puede implementar un máximo de 800 recursos del servicio Private Link por cada suscripción de Azure.
  • Se puede asignar un máximo de 1000 interfaces de punto de conexión privado a un solo recurso del servicio Private Link.
  • Puede implementar varios recursos del servicio Private Link en el mismo equilibrador de carga estándar con diferentes configuraciones de IP de front-end.

Resumen

¿Su objetivo es acceder a un recurso de Azure sin usar la red pública de Internet? ¿Quiere ofrecer un recurso personalizado de Azure de forma privada? Si ha respondido sí a una o a ambas preguntas, entonces significa que Private Link, el punto de conexión privado y el servicio Private Link le aportará las siguientes ventajas:

  • Para acceder de forma privada a un servicio PaaS de Azure o a un servicio de Azure de un asociado de Microsoft, cree un punto de conexión privado en una subred de la red virtual de Azure. Ese punto de conexión privado usa Private Link para acceder al servicio de Azure mediante una dirección IP privada a través de la red troncal de Microsoft Azure. Las redes virtuales emparejadas y las redes locales que usan el emparejamiento privado de ExpressRoute o un túnel VPN también pueden acceder al servicio de Azure a través del punto de conexión privado.
  • Para ofrecer acceso privado a un servicio de Azure personalizado, coloque el servicio detrás de un equilibrador de carga estándar, cree un recurso del servicio Private Link y asócielo a la configuración de la dirección IP de front-end del equilibrador de carga.

Network diagram of an Azure virtual network, an Azure peered virtual network, and an on-premises network accessing Azures services via a private IP address mapped by Private Endpoint.