Uso de puntos de conexión privados con cuentas de Azure Batch
De forma predeterminada, las cuentas de Azure Batch tienen puntos de conexión públicos y son accesibles públicamente. El servicio Batch ofrece la posibilidad de crear un punto de conexión privado para las cuentas de Batch, lo que permite el acceso privado de red al servicio Batch.
Al usar Azure Private Link, puede conectarse a una cuenta de Azure Batch mediante un punto de conexión privado. El punto de conexión privado es un conjunto de direcciones IP privadas en una subred dentro de la red virtual. A continuación, puede limitar el acceso a una cuenta de Azure Batch a través de direcciones IP privadas.
Private Link permite a los usuarios obtener acceso a una cuenta de Azure Batch desde dentro de la red virtual o cualquier red virtual emparejada. También se puede acceder a los recursos asignados a Private Link en el entorno local a través de un emparejamiento privado a través de VPN o Azure ExpressRoute. Puede conectarse a una cuenta de Azure Bacth configurada con Private Link mediante el método de aprobación automático o manual.
En este artículo se describen los pasos para crear un punto de conexión privado para acceder a los puntos de conexión de cuentas de Batch.
Subrecursos de punto de conexión privado admitidos en cuentas de Batch
El recurso de cuenta de Batch tiene dos puntos de conexión que se admiten para el acceso con puntos de conexión privados:
Punto de conexión de cuenta (subrecurso: batchAccount): este es el punto de conexión para acceder a API REST del servicio Batch (plano de datos), por ejemplo, administrar grupos, nodos de ejecución, trabajos, tareas, etc.
Punto de conexión de administración de nodos (subrecurso: nodeManagement): que usan los nodos del grupo de Batch para acceder al servicio de administración de nodos de Batch. Este punto de conexión solo es aplicable cuando se usa la comunicación simplificada de nodos de ejecución.
Sugerencia
Puede crear un punto de conexión privado para uno de ellos o para ambos dentro de la red virtual, en función del uso real de la cuenta de Batch. Por ejemplo, si ejecuta el grupo de Batch dentro de la red virtual, pero llama a la API REST del servicio de Batch desde otro lugar, solo tendrá que crear el punto de conexión privado nodeManagement en la red virtual.
Azure portal
Siga estos pasos para crear un punto de conexión privado con la cuenta de Batch en Azure Portal:
- Vaya a la cuenta de Batch en Azure Portal.
- En Configuración, seleccione Redes y vaya a la pestaña Acceso privado. Seleccione +Punto de conexión privado.
- En el panel Aspectos básicos, escriba o seleccione la suscripción, el grupo de recursos, el nombre del recurso de punto de conexión privado y los detalles de la región y, a continuación, seleccione Siguiente: Resource (Siguiente: Recurso).
- En el panel Recurso, establezca Tipo de recurso en Microsoft.Batch/batchAccounts. Seleccione la cuenta de Batch a la que quiere acceder y, luego, elija Siguiente: Configuración.
- En el panel Configuración, escriba o seleccione esta información:
- En Red virtual, seleccione la red virtual.
- Subred: seleccione la subred.
- En Configuración de IP privada, seleccione Asignar dirección IP de forma dinámica.
- En Integrar con la zona DNS privada, seleccione Sí. Para conectar de forma privada con el punto de conexión privado, necesita un registro DNS. Se recomienda integrar el punto de conexión privado con una zona DNS privada. También se pueden usar los servidores DNS propios o bien crear registros DNS con los archivos de host de las máquinas virtuales.
- Zona DNS privada: seleccione privatelink.batch.azure.com. La zona DNS privada se determina automáticamente. No puede cambiarla con Azure Portal.
Importante
- Si tiene puntos de conexión privados creados con la zona DNS privada anterior
privatelink.<region>.batch.azure.com
, siga Migración con puntos de conexión privados existentes de la cuenta de Batch. - Si ha seleccionado la integración de la zona DNS privada, asegúrese de que la zona DNS privada esté vinculada correctamente a la red virtual. Es posible que Azure Portal le permita elegir una zona DNS privada existente, que podría no estar vinculada a la red virtual y tendrá que agregar manualmente el vínculo de red virtual.
- Seleccione Revisar y crear y espere a que Azure valide la configuración.
- Cuando reciba el mensaje Validación superada, seleccione Crear.
Sugerencia
También puede crear el punto de conexión privado desde Private Link Center en Azure Portal o crear un recurso mediante la búsqueda de un punto de conexión privado.
Uso del punto de conexión privado
Después de aprovisionar el punto de conexión privado, puede acceder a la cuenta de Batch mediante la dirección IP privada desde la red virtual:
Punto de conexión privado para batchAccount: puede acceder al plano de datos de la cuenta de Batch para administrar grupos, trabajos o tareas.
Punto de conexión privado para nodeManagement: los nodos de ejecución del grupo de Batch se pueden conectar y administrar mediante el servicio de administración de nodos de Batch.
Sugerencia
También se recomienda deshabilitar el acceso a la red pública con su cuenta de Batch cuando use puntos de conexión privados, lo que restringirá el acceso solo a la red privada.
Importante
Si el acceso público a la red está deshabilitado con la cuenta de Batch, realizar operaciones de cuenta (por ejemplo, grupos, trabajos) fuera de la red virtual donde se aprovisiona el punto de conexión privado dará como resultado un mensaje "AuthorizationFailure" para la cuenta de Batch en Azure Portal.
Para ver las direcciones IP del punto de conexión privado desde Azure Portal:
- Seleccione Todos los recursos.
- Busque el punto de conexión privado que creó anteriormente.
- Seleccione la pestaña Configuración DNS para ver la configuración DNS y las direcciones IP.
Configuración de zonas DNS
Use una zona DNS privada dentro de la subred en la que ha creado el punto de conexión privado. Configure los puntos de conexión de modo que cada dirección IP privada se asigne a una entrada DNS
Al crear el punto de conexión privado, puede integrarlo con una zona DNS privada en Azure. Si, en su lugar, elige usar un dominio personalizada, debe configurarlo para agregar registros DNS para todas las direcciones IP privadas reservadas para el punto de conexión privado.
Migración con puntos de conexión privados existentes de la cuenta de Batch
Con la introducción del nuevo subrecurso de punto de conexión privadonodeManagement para el punto de conexión de administración de nodos de Batch, la zona DNS privada predeterminada para la cuenta de Batch se simplifica de privatelink.<region>.batch.azure.com
a privatelink.batch.azure.com
. Para mantener la compatibilidad con versiones anteriores con la zona DNS privada usada anteriormente, para una cuenta de Batch con cualquier punto de conexión privado batchAccount aprobado, las asignaciones de CNAME DNS de su punto de conexión de cuenta contienen ambas zonas (con la zona anterior viene primero), por ejemplo:
myaccount.east.batch.azure.com CNAME myaccount.privatelink.east.batch.azure.com
myaccount.privatelink.east.batch.azure.com CNAME myaccount.east.privatelink.batch.azure.com
myaccount.east.privatelink.batch.azure.com CNAME <Batch API public FQDN>
Vaya a la zona DNS privada anterior
Si ya ha usado la zona privatelink.<region>.batch.azure.com
DNS anterior con la red virtual, debe seguir usándola para los puntos de conexión privados batchAccount existentes y nuevos y no es necesario realizar ninguna acción.
Importante
Con el uso existente de la zona DNS privada anterior, siga usándolo incluso con puntos de conexión privados recién creados. No use la nueva zona con la solución de integración de DNS hasta que pueda migrar a la nueva zona.
Creación de un nuevo punto de conexión privado batchAccount con integración de DNS en Azure Portal
Si crea manualmente un nuevo punto de conexión privado batchAccount mediante Azure Portal con la integración automática de DNS habilitada, usará la nueva zona privatelink.batch.azure.com
DNS privada para la integración de DNS: cree la zona DNS privada, vincule a la red virtual y configure el registro A de DNS en la zona para el punto de conexión privado.
Sin embargo, si la red virtual ya se ha vinculado a la zona privatelink.<region>.batch.azure.com
DNS privada anterior, interrumpirá la resolución DNS de la cuenta por lotes de la red virtual, ya que el registro DNS A del nuevo punto de conexión privado se agrega a la nueva zona, pero la resolución DNS comprueba primero la zona anterior para la compatibilidad con versiones anteriores.
Puede mitigar este problema con las siguientes opciones:
Si ya no necesita la zona DNS privada anterior, desvincule de la red virtual. No es necesario realizar ninguna acción adicional.
En caso contrario, después de crear el nuevo punto de conexión privado:
Asegúrese de que la integración automática de DNS privado tenga un registro D de DNS creado en la nueva zona DNS privada
privatelink.batch.azure.com
. Por ejemplo,myaccount.<region> A <IPv4 address>
.Vaya a la zona DNS privada anterior
privatelink.<region>.batch.azure.com
.Agregue manualmente un registro CNAME de DNS. Por ejemplo,
myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com
.
Importante
Esta mitigación manual solo es necesaria cuando se crea un nuevo punto de conexión privado batchAccount con integración de DNS privado en la misma red virtual que ya tiene puntos de conexión privados vinculados a la zona DNS privada anterior.
Migración de la zona DNS privada anterior a la nueva zona
Aunque puede seguir usando la zona DNS privada anterior con el proceso de implementación existente, se recomienda migrarla a la nueva zona para simplificar la administración de la configuración de DNS:
- Con la nueva zona DNS privada
privatelink.batch.azure.com
, no tendrá que configurar ni administrar diferentes zonas para cada región con las cuentas de Batch. - Cuando empiece a usar el nuevo punto de conexión privado nodeManagement que también use la nueva zona DNS privada, solo tendrá que administrar una sola zona DNS privada para ambos tipos de puntos de conexión privados.
Puede migrar la zona DNS privada anterior con los pasos siguientes:
- Vincule la zona DNS privada
privatelink.batch.azure.com
a su red virtual. - Copie todos los registros DNA A de la zona DNS privada anterior a la nueva zona:
From zone "privatelink.<region>.batch.azure.com":
myaccount A <ip>
To zone "privatelink.batch.azure.com":
myaccount.<region> A <ip>
- Desvincule la zona DNS privada anterior de la red virtual.
- Compruebe la resolución DNS dentro de la red virtual y el nombre DNS de la cuenta de Batch debe seguir resolviéndose en la dirección IP del punto de conexión privado:
nslookup myaccount.<region>.batch.azure.com
- Comience a usar la nueva zona DNS privada con el proceso de implementación para los nuevos puntos de conexión privados.
- Elimine la zona DNS privada anterior una vez completada la migración.
Precios
Para más información sobre los costos relacionados con los puntos de conexión privados, consulte Precios de Azure Private Link.
Limitaciones actuales y procedimientos recomendados
Cuando cree un punto de conexión privado con la cuenta de Batch, recuerde lo siguiente:
- Los recursos de punto de conexión privado se pueden crear en una suscripción diferente como la cuenta de Batch, pero la suscripción deberá estar registrada con el proveedor de recursos Microsoft.Batch.
- El movimiento de recursos no se admite para puntos de conexión privados con cuentas de Batch.
- Si un recurso de cuenta de Batch se mueve a otro grupo de recursos o suscripción, los puntos de conexión privados pueden seguir funcionando, pero la asociación a la cuenta de Batch se interrumpe. Si elimina el recurso de punto de conexión privado, su conexión de punto de conexión privado asociada sigue existiendo en la cuenta de Batch. Puede quitar manualmente la conexión de la cuenta de Batch.
- Para eliminar la conexión privada, elimine el recurso de punto de conexión privado o elimine la conexión privada en la cuenta de Batch (esta acción desconecta el recurso de punto de conexión privado relacionado).
- Los registros DNS de la zona DNS privada no se quitan automáticamente cuando se elimina una conexión de punto de conexión privado de la cuenta de Batch. Debe quitar manualmente los registros DNS antes de agregar un nuevo punto de conexión privado vinculado a esta zona DNS privada. Si no limpia los registros DNS, pueden producirse problemas de acceso inesperados.
- Cuando el punto de conexión privado está habilitado para la cuenta de Batch, no se admite el token de autenticación de tareas para la tarea Batch. La solución consiste en usar el grupo de Batch con identidades administradas.
Pasos siguientes
- Obtenga información sobre cómo crear grupos de Batch en redes virtuales.
- Aprenda a crear grupos de Batch sin direcciones IP públicas.
- Aprenda a configurar el acceso público a la red en las cuentas de Batch.
- Aprenda a administrar conexiones de punto de conexión privado en cuentas de Batch.
- Obtenga información sobre Azure Private Link.