Uso de puntos de conexión privados en Azure App Configuration

Puede usar puntos de conexión privados en Azure App Configuration para que los clientes de una red virtual puedan acceder de forma segura a los datos a través de un vínculo privado. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el almacén de App Configuration. El tráfico de red entre los clientes de la red virtual y la cuenta de App Configuration atraviesa la red virtual usando un vínculo privado en la red troncal de Microsoft, lo que elimina la exposición a la red pública de Internet.

El uso de puntos de conexión privados en el almacén de App Configuration permite:

• Proteger los detalles de configuración de la aplicación mediante la configuración del firewall para bloquear todas las conexiones a App Configuration en el punto de conexión público.
• Aumentar la seguridad de la red virtual, lo que garantiza que los datos no escapen de ella.
• Conectarse de forma segura al almacén de App Configuration desde las redes locales que se conectan a la red virtual mediante VPN o ExpressRoute con emparejamiento privado.

Información general conceptual

Un punto de conexión privado es una interfaz de red especial para un servicio de Azure de la red virtual. Cuando se crea un punto de conexión privado en el almacén de App Configuration, se consigue una conectividad segura entre los clientes de la red virtual y el almacén de configuración. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de la red virtual. La conexión entre el punto de conexión privado y el almacén de configuración usa un vínculo privado seguro.

Las aplicaciones de la red virtual se pueden conectar al almacén de configuración a través del punto de conexión privado mediante las mismas cadenas de conexión y mecanismos de autorización que se usarían en cualquier otro caso. Los puntos de conexión privados se pueden usar con todos los protocolos que se admiten en el almacén de App Configuration.

Aunque App Configuration no admite puntos de conexión de servicio, se pueden crear puntos de conexión privados en subredes que usen puntos de conexión de servicio. Los clientes de una subred pueden conectarse de forma segura a un almacén de App Configuration mediante el punto de conexión privado, al mismo tiempo que usan puntos de conexión de servicio para acceder a otros.

Cuando se crea un punto de conexión privado para un servicio de la red virtual, se envía una solicitud de consentimiento para su aprobación al propietario de la cuenta de servicio. Si el usuario que solicita la creación del punto de conexión privado también es propietario de la cuenta, esta solicitud de consentimiento se aprueba automáticamente.

Los propietarios de cuentas de servicio pueden administrar las solicitudes de consentimiento y los puntos de conexión privados desde la pestaña Private Endpoints del almacén de App Configuration en Azure Portal.

Puntos de conexión privados en Azure App Configuration

Al crear un punto de conexión privado, debe especificar el almacén de App Configuration al que se conecta. Si habilita la replicación geográfica para un almacén de App Configuration, puede conectarse a todas las réplicas del almacén mediante el mismo punto de conexión privado. Si tiene varios almacenes de App Configuration, necesita un punto de conexión privado independiente para cada almacén.

Conexión a puntos de conexión privados

Azure se basa en la resolución de DNS para enrutar las conexiones desde la red virtual al almacén de configuración a través de un vínculo privado. Puede buscar rápidamente cadenas de conexiones en Azure Portal seleccionando el almacén de App Configuration y, después, Configuración>Claves de acceso.

Importante

Use la misma cadena de conexión para conectarse al almacén de App Configuration con puntos de conexión privados que usaría con un punto de conexión público. No se conecte al almacén mediante la dirección URL de su subdominio privatelink.

Nota

De manera predeterminada, cuando se agrega un punto de conexión privado al almacén de App Configuration, se deniegan todas las solicitudes de datos de App Configuration a través de la red pública. Puede habilitar el acceso a la red pública mediante el siguiente comando de la CLI de Azure. Es importante tener en cuenta las implicaciones de seguridad que supone habilitar el acceso a la red pública en este escenario.

az appconfig update -g MyResourceGroup -n MyAppConfiguration --enable-public-network true

Cambios de DNS en puntos de conexión privados

Al crear un punto de conexión privado, el registro del recurso CNAME de DNS del almacén de configuración se actualiza a un alias de un subdominio con el prefijo privatelink. Azure también crea una zona DNS privada, que se corresponde con el subdominio privatelink, con los registros de recursos A de DNS para los puntos de conexión privados. La habilitación de la replicación geográfica crea registros DNS independientes para cada réplica con direcciones IP únicas en la zona DNS privada.

Cuando se resuelve la dirección URL del punto de conexión en la red virtual que hospeda el punto de conexión privado, lo hace en el punto de conexión privado del almacén. Cuando se resuelve desde fuera de la red virtual, lo hace en el punto de conexión público. Cuando se crea un punto de conexión privado, el punto de conexión público se deshabilita.

Si usa un servidor DNS personalizado en la red, deberá configurarlo para delegar el subdominio privatelink en la zona DNS privada de la red virtual. Como alternativa, puede configurar los registros A para las direcciones URL de vínculo privado del almacén, que son [Your-store-name].privatelink.azconfig.io o [Your-store-name]-[replica-name].privatelink.azconfig.io si la replicación geográfica está habilitada, con direcciones IP privadas únicas del punto de conexión privado.

Precios

La habilitación de puntos de conexión privados requiere un almacén de App Configuration de nivel Estándar. Para más información sobre los precios de vínculos privados, consulte Precios de Azure Private Link.

Pasos siguientes

Obtenga más información sobre la creación de un punto de conexión privado para el almacén de App Configuration en los siguientes artículos:

• Creación de un punto de conexión privado mediante Private Link Center en Azure Portal
• Creación de un punto de conexión privado mediante la CLI de Azure
• Creación de un punto de conexión privado mediante Azure PowerShell

Aprenda a configurar el servidor DNS con puntos de conexión privados:

• Resolución de nombres de recursos en redes virtuales de Azure
• Configuración de DNS para puntos de conexión privados