Definición del servicio Private Link y el punto de conexión privado
¿Qué es Azure Private Link?
Azure Private Link le permite acceder a los servicios PaaS de Azure (por ejemplo, Azure Storage y SQL Database) y a los servicios hospedados en Azure que son propiedad de los clientes, o a los servicios de los asociados, a través de un punto de conexión privado de la red virtual.
Antes de obtener información sobre Azure Private Link y sus características y ventajas, vamos a examinar cuál es el problema que resuelve Azure Private Link.
Contoso tiene una red virtual de Azure y desea conectarse a un recurso PaaS, como una base de datos de Azure SQL. Al crear estos recursos, normalmente se especifica un punto de conexión público como método de conectividad.
Al tener un punto de conexión público, el recurso tendrá asignada una dirección IP pública. Por lo tanto, aunque la red virtual y la base de datos de Azure SQL se encuentran en la nube de Azure, la conexión entre ellas se realiza a través de Internet.
El problema aquí es que la base de datos de Azure SQL queda expuesta a Internet a través de su dirección IP pública. Esa exposición crea varios riesgos de seguridad. Los mismos riesgos de seguridad están presentes cuando se accede a un recurso de Azure a través de una dirección IP pública desde las siguientes ubicaciones:
- Una red virtual de Azure emparejada
- Una red local que se conecta a Azure mediante ExpressRoute y el emparejamiento de Microsoft
- Una red virtual de Azure de un cliente que se conecta a un servicio de Azure ofrecido por su empresa
Private Link se ha diseñado para eliminar estos riesgos de seguridad mediante la eliminación de la parte pública de la conexión.
Private Link proporciona acceso seguro a los servicios de Azure. Private Link consigue esa seguridad reemplazando el punto de conexión público de un recurso por una interfaz de red privada. Hay tres puntos clave que se deben tener en cuenta con esta nueva arquitectura:
- El recurso de Azure se convierte, en cierto modo, en una parte de la red virtual.
- La conexión al recurso utiliza ahora la red troncal de Microsoft Azure en lugar de la red pública de Internet.
- Puede configurar el recurso de Azure para que ya no exponga su dirección IP pública, lo que elimina el posible riesgo de seguridad.
¿Qué es un punto de conexión privado de Azure?
El punto de conexión privado es la tecnología clave que está detrás de Private Link. El punto de conexión privado es una interfaz de red que permite una conexión privada y segura entre la red virtual y un servicio de Azure. En otras palabras, el punto de conexión privado es la interfaz de red que reemplaza el punto de conexión público del recurso.
Private Link proporciona acceso seguro a los servicios de Azure. Private Link consigue esa seguridad reemplazando el punto de conexión público de un recurso por una interfaz de red privada. El punto de conexión privado usa una dirección IP privada de la red virtual para incluir el servicio en esta última.
¿En qué se diferencia el punto de conexión privado de Azure de un punto de conexión de servicio?
Los puntos de conexión privados conceden acceso de red a recursos específicos detrás de un servicio determinado, lo que proporciona una segmentación granular. El tráfico puede llegar al recurso de servicio desde el entorno local sin usar puntos de conexión públicos.
Un punto de conexión de servicio sigue siendo una dirección IP enrutable públicamente. Un punto de conexión privado es una dirección IP privada en el espacio de direcciones de la red virtual en donde se configura el punto de conexión privado.
Nota:
Microsoft recomienda usar Azure Private Link para disfrutar de un acceso seguro y privado a los servicios hospedados en la plataforma Azure.
¿Qué es Azure Private Link?
Private Link proporciona acceso privado desde la red virtual de Azure a los servicios PaaS y los servicios de asociados de Microsoft en Azure. Sin embargo, ¿qué ocurre si su empresa ha creado sus propios servicios de Azure que consumen los clientes de su empresa? ¿Es posible ofrecer a esos clientes una conexión privada a los servicios de la empresa?
Sí, mediante el servicio Azure Private Link. Este servicio permite ofrecer conexiones de Private Link a los servicios de Azure personalizados. Los consumidores de los servicios personalizados pueden acceder a esos servicios de forma privada —es decir, sin usar Internet— desde sus propias redes virtuales de Azure.
El servicio Azure Private Link es la referencia a su propio servicio que usa la tecnología de Azure Private Link. El servicio que se ejecuta de forma subyacente a Azure Standard Load Balancer se puede habilitar para el acceso a Private Link de modo que los consumidores del servicio puedan tener acceso a este de forma privada desde sus propias redes virtuales. Sus clientes pueden crear un punto de conexión privado dentro de su red virtual y asignarlo a este servicio. Un servicio Private Link recibe conexiones de varios puntos de conexión privados. Un punto de conexión privado se conecta a un servicio Private Link.
Propiedades del punto de conexión privado
Antes de crear un punto de conexión privado, debe tener en cuenta sus propiedades y recopilar datos sobre necesidades específicas que se deben abordar. Entre ellas se incluyen las siguientes:
- Un nombre único con un grupo de recursos
- Una subred para implementar y asignar direcciones IP privadas desde una red virtual
- El recurso de Private Link al que conectarse mediante el identificador o el alias del recurso, de la lista de tipos disponibles. Se generará un identificador de red único para todo el tráfico enviado a este recurso.
- Subrecurso que se va a conectar. Cada tipo de recurso de Private Link tiene diferentes opciones para seleccionar según las preferencias.
- Método de aprobación de conexión automático o manual. Según los permisos del control de acceso basado en rol de Azure (Azure RBAC), el punto de conexión privado se puede aprobar automáticamente. Si intenta conectarse a un recurso de Private Link sin Azure RBAC, use el método manual para permitir que el propietario del recurso apruebe la conexión.
- Un mensaje de solicitud específico para que las conexiones solicitadas se aprueben manualmente. Este mensaje se puede usar para identificar una solicitud específica.
- Estado de conexión, una propiedad de solo lectura que especifica si el punto de conexión privado está activo. Solo los puntos de conexión privados de un estado aprobado se pueden usar para enviar tráfico.
Tenga también en cuenta estos detalles:
- El punto de conexión privado permite la conectividad entre los consumidores de la misma red virtual, las redes virtuales emparejadas de forma regional, las redes virtuales emparejadas de forma global y las instalaciones locales que usan VPN o Express Route y servicios con la tecnología Private Link.
- Las conexiones de red solo pueden iniciarlas clientes que se conecten al punto de conexión privado. Los proveedores de servicios no tienen ninguna configuración de enrutamiento para iniciar conexiones en los consumidores del servicio. Las conexiones solo se pueden establecer en una dirección.
- Al crear un punto de conexión privado, también se crea una interfaz de red de solo lectura para el ciclo de vida del recurso. A la interfaz se le asignan direcciones IP privadas dinámicamente desde la subred que se corresponde con el recurso de Private Link. El valor de la dirección IP privada no cambia durante todo el ciclo de vida del punto de conexión privado.
- El punto de conexión privado debe implementarse en la misma región y suscripción que la red virtual.
- El recurso de Private Link se puede implementar en una región distinta a la de la red virtual y el punto de conexión privado.
- Se pueden crear varios puntos de conexión privados mediante el mismo recurso de Private Link. En el caso de una sola red que use una configuración de servidor DNS común, el procedimiento recomendado es usar un único punto de conexión privado para un recurso de Private Link determinado para evitar entradas duplicadas o conflictos en la resolución DNS.
- Se pueden crear varios puntos de conexión privados en la misma subred o en subredes diferentes dentro de la misma red virtual. Existen límites en cuanto al número de puntos de conexión privados que se pueden crear en una suscripción. Para más información, consulte el artículo acerca de los límites de Azure.
- La suscripción del recurso de Private Link también debe registrarse con Microsoft.