Azure Database for PostgreSQL: redes de servidor flexible con Private Link
Azure Private Link le permite crear puntos de conexión privados para el servidor flexible de Azure Database for PostgreSQL a fin de incorporarlo a la red virtual. Esa funcionalidad se ha introducido además de las funcionalidades de red ya existentes proporcionadas por la integración con red virtual, que actualmente está disponible con carácter general con el servidor flexible de Azure Database for PostgreSQL.
Con Private Link, el tráfico entre la red virtual y el servicio viaja por la red troncal de Microsoft. Ya no es necesario exponer el servicio a la red pública de Internet. Puede crear su propio servicio de vínculo privado en la red virtual y enviarlo a los clientes. La configuración y el consumo mediante Private Link es coherente entre los servicios de asociados compartidos y propiedad del cliente de PaaS de Azure.
Nota:
Los vínculos privados solo están disponibles para servidores que tienen redes de acceso público. No se pueden crear para los servidores que tienen acceso privado (integración con red virtual).
Los vínculos privados solo se pueden configurar para los servidores que se han creado después del lanzamiento de esta característica. Cualquier servidor que existiera antes de la versión de la característica no se puede establecer con vínculos privados.
Private Link se expone a los usuarios a través de dos tipos de recursos de Azure:
- Puntos de conexión privados (Microsoft.Network/PrivateEndpoints)
- Servicios de Private Link (Microsoft.Network/PrivateLinkServices)
Puntos de conexión privados
Un punto de conexión privado agrega una interfaz de red a un recurso, lo que le proporciona una dirección IP privada asignada desde la red virtual. Una vez que se aplica, puede comunicarse con este recurso exclusivamente a través de la red virtual. Para una lista de los servicios PaaS que admiten la funcionalidad Private Link, consulte la página de documentación de Private Link. Un punto de conexión privado es una dirección IP privada dentro de una red virtual y una subred específicas.
Se puede hacer referencia a la misma instancia de servicio pública mediante varios puntos de conexión privados en diferentes redes virtuales o subredes, incluso si tienen espacios de direcciones superpuestos.
Principales ventajas de Private Link
Private Link proporciona las ventajas siguientes:
- Acceso privado a los servicios de la plataforma Azure: conecte una red virtual mediante puntos de conexión privados a todos los servicios que se pueden usar como componentes de aplicación en Azure. Los proveedores de servicios pueden representar sus servicios en su propia red virtual. Los consumidores pueden acceder a esos servicios en su red virtual local. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure.
- Redes locales y emparejadas: acceda a los servicios que se ejecutan en Azure desde el entorno local mediante el emparejamiento privado de Azure ExpressRoute, túneles de red virtual privada (VPN) y redes virtuales emparejadas mediante puntos de conexión privados. No es necesario configurar el emparejamiento de Microsoft para ExpressRoute ni atravesar Internet para llegar hasta el servicio. Private Link proporciona una manera segura de migrar cargas de trabajo a Azure.
- Protección contra la pérdida de datos: un punto de conexión privado se asigna a una instancia de un recurso de PaaS en lugar de al servicio entero. Los consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a cualquier otro recurso del servicio. Este mecanismo proporciona protección contra los riesgos de pérdida de datos.
- Alcance global: conexión privada a los servicios que se ejecutan en otras regiones: la red virtual del consumidor podría estar en la región A. Puede conectarse a servicios detrás de Private Link en la región B.
Casos de uso de Private Link con el servidor flexible de Azure Database for PostgreSQL
Los clientes pueden conectarse al punto de conexión privado desde:
- La misma red virtual.
- Una red virtual emparejada en la misma región o entre regiones.
- Una conexión de red a red entre regiones.
Los clientes también se pueden conectar desde el entorno local mediante ExpressRoute, emparejamiento privado o túneles VPN. En el siguiente diagrama simplificado se muestran los casos de uso comunes.
Limitaciones y características admitidas para Private Link con el servidor flexible de Azure Database for PostgreSQL
Esta es una matriz de disponibilidad entre características paras punto de conexión privados en el servidor flexible de Azure Database for PostgreSQL.
| Característica | Disponibilidad | Notas |
|---|---|---|
| Alta disponibilidad | Sí | Funciona según lo diseñado. |
| Réplica de lectura | Sí | Funciona según lo diseñado. |
| Réplica de lectura con puntos de conexión virtuales | Sí | Funciona según lo diseñado. |
| Restauración a un momento dado | Sí | Funciona según lo diseñado. |
| Permitir también el acceso público o a Internet con reglas de firewall | Sí | Funciona según lo diseñado. |
| Actualización de versión principal | Sí | Funciona según lo diseñado. |
| Autenticación de Microsoft Entra | Sí | Funciona según lo diseñado. |
| Agrupación de conexiones con PGBouncer | Sí | Funciona según lo diseñado. |
| DNS del punto de conexión privado | Sí | Funciona según lo diseñado y documentado. |
| Cifrado con claves administradas por el cliente | Sí | Funciona según lo diseñado. |
Conexión desde una máquina virtual de Azure en una red virtual emparejada
Configure el emparejamiento de red virtual para establecer la conectividad con el servidor flexible de Azure Database for PostgreSQL desde una máquina virtual (VM) de Azure en una red virtual emparejada.
Conexión desde una máquina virtual de Azure en un entorno de red virtual a red virtual
Configure una conexión de puerta de enlace de VPN entre redes virtuales para establecer conectividad con una instancia de servidor flexible de Azure Database for PostgreSQL desde una máquina virtual de Azure en otra región o suscripción.
Conexión desde un entorno local a través de VPN
Para establecer la conectividad desde un entorno local a un servidor flexible de Azure Database for PostgreSQL, elija e implemente una de las siguientes opciones:
Seguridad de red y Private Link
Cuando se usan puntos de conexión privados, el tráfico se protege en un recurso de vínculo privado. La plataforma valida las conexiones de red, lo que permite solo las conexiones que llegan al recurso de vínculo privado especificado. Para acceder a más subrecursos dentro del mismo servicio Azure, se necesitan más puntos de conexión privados con sus correspondientes destinos. En el caso de Azure Storage, por ejemplo, se necesitarán puntos de conexión privados independientes para acceder a los subrecursos archivo y blob.
Los puntos de conexión privados proporcionan una dirección IP de acceso privado para el servicio Azure, pero no restringen necesariamente el acceso de red pública al servicio. Pero todos los demás servicios de Azure necesitan otro control de acceso. Estos controles proporcionan una capa de seguridad de red adicional a los recursos, que ofrece protección para evitar el acceso al servicio de Azure asociado con el recurso de vínculo privado.
Los puntos de conexión privados admiten directivas de red. Las directivas de red permiten la compatibilidad con grupos de seguridad de red (NSG), rutas definidas por el usuario (UDR) y grupos de seguridad de aplicaciones (ASG). Para más información sobre la habilitación de directivas de red para un punto de conexión privado, consulte Administración de directivas de red para puntos de conexión privados. Para usar un grupo de seguridad de aplicaciones con un punto de conexión privado, vea Configuración de un grupo de seguridad de aplicaciones con un punto de conexión privado.
Private Link y DNS
Al usar un punto de conexión privado, debe conectarse al mismo servicio de Azure, pero usar la dirección IP del punto de conexión privado. La conexión del punto de conexión privado necesita una configuración independiente de Sistema de nombres de dominio (DNS) para resolver la dirección IP privada en el nombre del recurso.
Las zonas de DNS privado proporcionan resolución de nombres de dominio dentro de una red virtual sin una solución DNS personalizada. Puede vincular las zonas de DNS privado a cada red virtual para proporcionar servicios DNS a esa red.
Las zonas de DNS privado proporcionan nombres de zona DNS independientes para cada servicio de Azure. Por ejemplo, si ha configurado una zona DNS privada para el servicio de blobs de la cuenta de almacenamiento en la imagen anterior, el nombre de la zona DNS es privatelink.blob.core.windows.net. Revise la documentación de Microsoft para ver más nombres de zona DNS privadas para todos los servicios de Azure.
Nota:
Las configuraciones de zona DNS privada de punto de conexión privado solo se generan automáticamente si usa el esquema de nomenclatura recomendado: privatelink.postgres.database.azure.com.
En los servidores de acceso público (no insertados en la red virtual) recién aprovisionados, habrá un cambio en el diseño de DNS. El FQDN del servidor ahora se convierte en un registro CName con el formato servername.postgres.database.azure.com que apuntará a un registro A en uno de los siguientes formatos:
- Si el servidor tiene un punto de conexión privado con una zona DNS privada predeterminada vinculada, el registro A estará en este formato:
server_name.privatelink.postgres.database.azure.com. - Si el servidor no tiene puntos de conexión privados, el registro A estará en este formato
server_name.rs-<15 semi-random bytes>.postgres.database.azure.com.
DNS híbrido para Azure y recursos locales
DNS es un tema de diseño fundamental en la arquitectura general de la zona de aterrizaje. Es posible que algunas organizaciones deseen usar sus inversiones existentes en DNS. Es posible que otros usuarios quieran adoptar funcionalidades nativas de Azure para todas sus necesidades de DNS.
Puede usar Azure DNS Private Resolver junto con zonas DNS privadas de Azure para la resolución de nombres entre entornos locales. DNS Private Resolver puede reenviar la solicitud DNS a otro servidor DNS y también proporciona una dirección IP que puede ser usada por el servidor DNS externo para reenviar las solicitudes. Por tanto, los servidores DNS locales externos pueden resolver nombres ubicados en una zona DNS privada.
Para más información sobre cómo usar DNS Private Resolver con el reenviador de DNS local para reenviar el tráfico DNS a Azure DNS, vea lo siguiente:
- Integración de DNS de punto de conexión privado de Azure
- Creación de una infraestructura DNS de punto de conexión privado con Azure Private Resolver para una carga de trabajo local
Las soluciones descritas permiten ampliar una red local que ya tiene una solución de DNS para resolver los recursos en la arquitectura de Azure.Microsoft.
Integración de Private Link y DNS en las arquitecturas de red en estrella tipo hub-and-spoke
Las zonas de DNS privadas se suelen hospedar de manera centralizada en la misma suscripción a Azure en la que se implementa la red virtual del centro. Este procedimiento de hospedaje central se rige por la resolución de nombres DNS entre entornos locales y otras necesidades de resolución de DNS central, como Microsoft Entra. En la mayoría de los casos, solo los administradores de redes o identidades tienen permisos para administrar registros DNS en las zonas.
En este tipo de arquitectura se configuran los componentes siguientes:
- Los servidores DNS locales tienen reenviadores condicionales configurados para cada zona DNS pública de punto de conexión privado que apuntan al solucionador de DNS privado hospedado en la red virtual del concentrador.
- El solucionador DNS privado hospedado en la red virtual del concentrador usa el DNS proporcionado por Azure (168.63.129.16) como reenviador.
- La red virtual del centro debe estar vinculada a los nombres de zona de DNS privada para los servicios de Azure (como
privatelink.postgres.database.azure.com, para el servidor flexible de Azure Database for PostgreSQL). - Todas las redes virtuales de Azure usan Private DNS Resolver hospedado en la red virtual del centro.
- Como Private DNS Resolver no es autoritativo para los dominios corporativos del cliente, ya que es solo un reenviador, (por ejemplo, nombres de dominio de Microsoft Entra), debería tener reenviadores de punto de conexión salientes a los dominios corporativos del cliente, que apunten a servidores DNS locales o a servidores DNS implementados en Azure que son autoritativos para dichas zonas.
Private Link y grupos de seguridad de red
De forma predeterminada, las directivas de red están deshabilitadas para una subred de una red virtual. Para usar directivas de red como la compatibilidad con UDR y NSG, debe habilitar la compatibilidad con directivas de red para la subred. Esta configuración solo se aplica a los puntos de conexión privados dentro de la subred. Esta configuración se aplica a todos los puntos de conexión privados dentro de la subred. Para otros recursos de la subred, el acceso se controla en función de las reglas de seguridad del grupos de seguridad de red.
Solo puede habilitar directivas de red para grupos de seguridad de red, solo para UDR o para ambos casos. Para obtener más información, consulte Administración de directivas de red para puntos de conexión privados.
Las limitaciones de los grupos de seguridad de red y los puntos de conexión privados se muestran en ¿Qué es un punto de conexión privado?.
Importante
Protección contra la pérdida de datos: un punto de conexión privado se asigna a una instancia de un recurso de PaaS en lugar de al servicio entero. Los consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a cualquier otro recurso del servicio. Este mecanismo proporciona protección básica contra los riesgos de pérdida de datos.
Combinación de Private Link con las reglas de firewall
Las situaciones y resultados que se muestran a continuación son posibles cuando se usa Private Link en combinación con las reglas de firewall:
Si no configura ninguna regla de firewall, de manera predeterminada el tráfico no puede acceder a la instancia del servidor flexible de Azure Database for PostgreSQL.
Si configura el tráfico público o un punto de conexión de servicio, y crea puntos de conexión privados, los distintos tipos de tráfico entrante estarán autorizados por el tipo de regla de firewall correspondiente.
Si no configura ningún tráfico público ni punto de conexión de servicio y crea puntos de conexión privados, la instancia del servidor flexible de Azure Database for PostgreSQL solo es accesible desde puntos de conexión privados. Si no configura ningún tráfico público ni un punto de conexión de servicio, después de que se rechacen o eliminen todos los puntos de conexión privados aprobados, ningún tráfico puede acceder a la instancia del servidor flexible de Azure Database for PostgreSQL.
Solución de problemas de conectividad con redes basadas en puntos de conexión privados
Si tiene problemas de conectividad al usar redes basadas en puntos de conexión privados, compruebe las áreas siguientes:
- Comprobar las asignaciones de direcciones IP: compruebe que el punto de conexión privado tiene asignada la dirección IP correcta y que no haya ningún conflicto con otros recursos. Para más información sobre puntos de conexión privados e IP, vea Administración de puntos de conexión privados de Azure.
- Comprobar NSG: revise las reglas de NSG de la subred del punto de conexión privado para asegurarse de que se permite el tráfico necesario y no hay reglas en conflicto. Para más información sobre los grupos de seguridad de red, vea Grupos de seguridad de red.
- Validar la configuración de la tabla de enrutamiento: asegúrese de que las tablas de enrutamiento asociadas a la subred del punto de conexión privado y los recursos conectados están configurados correctamente con las rutas adecuadas.
- Uso de la supervisión y el diagnóstico de red: use Azure Network Watcher para supervisar y diagnosticar el tráfico de red mediante herramientas como Connection Monitor o Packet Capture. Para más información sobre diagnósticos de red, vea ¿Qué es Azure Network Watcher?.
También hay disponible más información sobre la solución de problemas de puntos de conexión privados en Solución de problemas de conectividad de puntos de conexión privados de Azure.
Solución de problemas de resolución de DNS con redes basadas en puntos de conexión privados
Si tiene problemas de resolución de DNS al usar redes basadas en puntos de conexión privados, compruebe las áreas siguientes:
- Validar resolución de DNS: compruebe si el servidor DNS o el servicio usado por el punto de conexión privado y los recursos conectados funcionan correctamente. Asegúrese de que la configuración de DNS del punto de conexión privado es adecuada. Para más información sobre puntos de conexión privados y la configuración de DNS, vea Valores de zona DNS privadas de puntos de conexión privados de Azure.
- Borrar la caché DNS: borre la caché DNS en el punto de conexión privado o la máquina cliente para asegurarse de que se recupera la información de DNS más reciente y evitar errores de incoherencias.
- Analizar registros DNS: revise los registros DNS en busca de mensajes de error o patrones inusuales, como errores de consulta de DNS, errores de servidor o agotamiento de tiempos de espera. Para más información sobre las métricas de DNS, vea Métricas y alertas de Azure DNS.
Contenido relacionado
Aprenda a crear una instancia del servidor flexible de Azure Database for PostgreSQL mediante la opción Acceso privado (integración con red virtual) en Azure Portal o la CLI de Azure.