Integración de Key Vault con Azure Private Link
El servicio Azure Private Link le permite acceder a los servicios de Azure (por ejemplo, Azure Key Vault, Azure Storage y Azure Cosmos DB) y a los servicios de asociados o clientes hospedados de Azure mediante un punto de conexión privado de la red virtual.
Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual para incorporar el servicio de manera eficaz a su red virtual. Todo el tráfico dirigido al servicio se puede enrutar mediante el punto de conexión privado, por lo que no se necesita ninguna puerta de enlace, dispositivos NAT, conexiones de ExpressRoute o VPN ni direcciones IP públicas. El tráfico entre la red virtual y el servicio atraviesa la red troncal de Microsoft, eliminando la exposición a la red pública de Internet. Puede conectarse a una instancia de un recurso de Azure, lo que le otorga el nivel más alto de granularidad en el control de acceso.
Para más información, consulte ¿Qué es Azure Private Link?
Requisitos previos
Para integrar un almacén de claves con Azure Private Link, necesitará lo siguiente:
- Un almacén de claves.
- Una red virtual de Azure.
- Una subred en la red virtual.
- Permisos de propietario o colaborador para el almacén de claves y la red virtual.
El punto de conexión privado y la red virtual deben estar en la misma región. Al seleccionar una región para el punto de conexión privado mediante el portal, solo se filtran automáticamente las redes virtuales que se encuentran en dicha región. El almacén de claves puede estar en una región diferente.
El punto de conexión privado usa una dirección IP privada en la red virtual.
Establecimiento de una conexión de vínculo privado con Key Vault desde Azure Portal
En primer lugar, cree una red virtual siguiendo los pasos del artículo Creación de una red virtual mediante Azure Portal.
Después, puede crear un nuevo almacén de claves o establecer una conexión de vínculo privado con un almacén de claves existente.
Creación de un nuevo almacén de claves y establecimiento de una conexión de vínculo privado
Puede crear un nuevo almacén de claves mediante Azure Portal, la CLI de Azure o Azure PowerShell.
Después de configurar los aspectos básicos del almacén de claves, seleccione la pestaña Redes y siga estos pasos:
Deshabilite el acceso público al desactivar el botón de radio.
Seleccione el botón "Crear un punto de conexión privado" para agregar el punto de conexión privado.
En el campo "Ubicación" de la hoja Crear un punto de conexión privado, seleccione la región en la que se encuentra la red virtual.
En el campo "Nombre", cree un nombre descriptivo que le permita identificar este punto de conexión privado.
En el menú desplegable, seleccione la red virtual y la subred en la que desea que se cree este punto de conexión privado.
Deje la opción "Integrate with the private zone DNS" (Integrar con el DNS de la zona privada) sin cambios.
Seleccione "Aceptar".
Ahora podrá ver el punto de conexión privado configurado. Ahora puede eliminar y editar este punto de conexión privado. Seleccione el botón "Revisar y crear" y cree el almacén de claves. La implementación puede tardar entre 5 y 10 minutos en completarse.
Establecimiento de una conexión de vínculo privado con un almacén de claves existente
Si ya tiene un almacén de claves, puede crear una conexión de vínculo privado siguiendo estos pasos:
Inicie sesión en Azure Portal.
En la barra de búsqueda, escriba "almacenes de claves".
En la lista, seleccione el almacén de claves al que desea agregar un punto de conexión privado.
Seleccione la pestaña "Redes" en Configuración.
Seleccione la pestaña "Conexiones de puntos de conexión privadas" en la parte superior de la página.
Seleccione el botón "+ Crear" en la parte superior de la página.
En "Detalles del proyecto", seleccione el grupo de recursos que contiene la red virtual que creó como requisito previo para este tutorial. En "Detalles de la instancia", escriba "myPrivateEndpoint" como nombre y seleccione la misma ubicación que la red virtual que creó como requisito previo para este tutorial.
Puede optar por crear un punto de conexión privado para cualquier recurso de Azure mediante esta hoja. Puede usar los menús desplegables para seleccionar un tipo de recurso y seleccionar un recurso en el directorio, o bien puede conectarse a cualquier recurso de Azure mediante un identificador de recurso. Deje la opción "Integrate with the private zone DNS" (Integrar con el DNS de la zona privada) sin cambios.
Avance a la hoja "Recursos". En "Tipo de recurso", seleccione "Microsoft.KeyVault/vaults". En "Recurso", seleccione el almacén de claves que creó como requisito previo para este tutorial. "Subrecurso de destino" se rellenará automáticamente con "vault".
Avance a "Red virtual". Seleccione la red virtual y la subred que creó como requisito previo para este tutorial.
Avance por las hojas "DNS" y "Etiquetas", aceptando los valores predeterminados.
En la hoja "Revisar y crear", seleccione "Crear".
Cuando se crea un punto de conexión privado, se debe aprobar la conexión. Si el recurso para el que va a crear el punto de conexión privado está en el directorio, podrá aprobar la solicitud de conexión siempre que tenga los permisos necesarios. Si se va a conectar a un recurso de Azure en otro directorio, debe esperar a que el propietario de ese recurso apruebe la solicitud de conexión.
Hay cuatro estados de aprovisionamiento:
Acción del servicio | Estado de punto de conexión privado del consumidor del servicio | Descripción |
---|---|---|
None | Pending | La conexión se crea manualmente y está pendiente de aprobación por parte del propietario del recurso de Private Link. |
Aprobación | Aprobado | La conexión se aprobó de forma automática o manual y está lista para usarse. |
Reject | Rechazada | El propietario del recurso de vínculo privado rechazó la conexión. |
Remove | Escenario desconectado | El propietario del recurso del vínculo privado quitó la conexión, el punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza. |
Administración de una conexión de punto de conexión privado con Key Vault desde Azure Portal
Inicie sesión en el Portal de Azure.
En la barra de búsqueda, escriba "almacenes de claves".
Seleccione el almacén de claves que desea administrar.
Seleccione la pestaña "Redes".
Si hay alguna conexión pendiente, verá una conexión que aparece con el estado "Pendiente" como estado de aprovisionamiento.
Seleccione el punto de conexión privado que desea aprobar.
Después, haga clic en el botón Aprobar.
Si hay conexiones de punto de conexión privado que desee rechazar, ya sea una solicitud pendiente o una conexión existente, seleccione la conexión y seleccione el botón "Rechazar".
Validación de que la conexión de vínculo privado funciona
Debe validar que los recursos de la misma subred del recurso de punto de conexión privado se conectan al almacén de claves mediante una dirección IP privada y que tienen la integración correcta de la zona DNS privada.
En primer lugar, cree una máquina virtual siguiendo los pasos que encontrará en Creación de una máquina virtual Windows en Azure Portal.
Haga clic en la pestaña "Redes".
- Especifique una red virtual y una subred. Puede crear una red virtual o seleccionar una existente. Si selecciona una existente, asegúrese de que la región coincide.
- Especifique un recurso de dirección IP pública.
- En "Grupo de seguridad de red de NIC", seleccione "Ninguno".
- En "Equilibrio de carga", seleccione "No".
Abra el símbolo del sistema y ejecute el siguiente comando:
nslookup <your-key-vault-name>.vault.azure.net
Si ejecuta el comando de búsqueda ns para resolver la dirección IP de un almacén de claves sobre un punto de conexión público, verá un resultado similar al siguiente:
c:\ >nslookup <your-key-vault-name>.vault.azure.net
Non-authoritative answer:
Name:
Address: (public IP address)
Aliases: <your-key-vault-name>.vault.azure.net
Si ejecuta el comando de búsqueda ns para resolver la dirección IP de un almacén de claves sobre un punto de conexión privado, verá un resultado similar al siguiente:
c:\ >nslookup your_vault_name.vault.azure.net
Non-authoritative answer:
Name:
Address: 10.1.0.5 (private IP address)
Aliases: <your-key-vault-name>.vault.azure.net
<your-key-vault-name>.privatelink.vaultcore.azure.net
Guía de solución de problemas
Asegúrese de que el punto de conexión privado esté en estado aprobado.
- Puede comprobarlo y corregirlo en Azure Portal. Abra el recurso Key Vault y seleccione la opción Redes.
- Luego, seleccione la pestaña Conexiones de punto de conexión privado.
- Asegúrese de que el estado de la conexión sea Aprobado y de que el estado de aprovisionamiento sea Correcto.
- También puede ir al recurso de punto de conexión privado y comprobar que las propiedades son las mismas y comprobar que la red virtual es la que está usando.
Asegúrese de que tiene un recurso Zona DNS privada.
- Debe tener un recurso Zona DNS privada cuyo nombre sea exactamente privatelink.vaultcore.azure.net.
- Para aprender a configurarlo, consulte el siguiente vínculo. Zonas DNS privadas
Asegúrese de que la zona DNS privada está vinculada a la red virtual. Si se devuelve la dirección IP pública, es posible que este sea el problema.
- Si el DNS de la zona privada no está vinculado a la red virtual, la consulta de DNS cuyo origen era la red virtual devolverá la dirección IP pública del almacén de claves.
- Vaya al recurso Zona DNS privada de Azure Portal y seleccione la opción Vínculos de la red virtual.
- La red virtual que realizará las llamadas al almacén de claves debe aparecer en la lista.
- Si no está, agréguela.
- Para ver los pasos detallados, consulte el siguiente documento Vínculo de una red virtual a una zona DNS privada
Asegúrese de que el DNS de la zona privada tenga el registro A para el almacén de claves.
- Vaya a la página Zona DNS privada.
- Seleccione "Información general" y compruebe si hay un registro A con el nombre simple de su almacén de claves (es decir, fabrikam). No especifique ningún sufijo.
- Asegúrese de revisar la ortografía y de crear o reparar el registro D. Puede usar un TTL de 600 (10 minutos).
- Asegúrese de especificar la dirección IP privada correcta.
Asegúrese de que el registro D tiene la dirección IP correcta.
- Para confirmar la dirección IP, abra el recurso Punto de conexión privado en Azure Portal.
- Vaya al recurso Microsoft.Network/privateEndpoints en Azure Portal (no en el recurso Key Vault)
- En la página de información general, busque Interfaz de red y seleccione ese vínculo.
- El vínculo mostrará la información general del recurso NIC, que contiene la dirección IP privada de la propiedad.
- Compruebe que se trata de la dirección IP correcta que se especifica en el registro D.
Si se conecta desde un recurso local a Key Vault, asegúrese de que tenga habilitados todos los reenviadores condicionales necesarios del entorno local.
- Revise la configuración de DNS del punto de conexión privado de Azure para las zonas necesarias y asegúrese de que tiene reenviadores condicionales para
vault.azure.net
yvaultcore.azure.net
en el DNS local. - Asegúrese de que tiene reenviadores condicionales para esas zonas que se enrutan a una resolución de DNS privado de Azure o a otra plataforma DNS con acceso a la resolución de Azure.
- Revise la configuración de DNS del punto de conexión privado de Azure para las zonas necesarias y asegúrese de que tiene reenviadores condicionales para
Limitaciones y consideraciones de diseño
Límites: Consulte límites de Azure Private Link
Precios: Consulte precios de Azure Private Link.
Limitaciones: Consulte servicio de Azure Private Link: Limitaciones
Pasos siguientes
- Más información sobre Azure Private Link.
- Más información sobre Azure Key Vault