Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar puntos de conexión privados para Azure App Configuration para permitir que los clientes de una red virtual accedan a los datos a través de un vínculo privado. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el almacén de App Configuration. El tráfico de red entre los clientes de la red virtual y el almacén de App Configuration atraviesa la red virtual mediante un vínculo privado en la red troncal de Microsoft. Este acuerdo elimina la exposición a la red pública de Internet.
Al utilizar puntos de conexión privados para el repositorio de configuración de aplicaciones, puede:
- Ayude a proteger los detalles de configuración de la aplicación mediante la configuración de un firewall para bloquear todas las conexiones a App Configuration en el punto de conexión público.
- Aumente la seguridad de la red virtual, lo que ayuda a garantizar que los datos no se escapen de la red virtual.
- Mejore la seguridad de las conexiones entre el almacén de App Configuration y las redes locales que usan Azure VPN Gateway o Azure ExpressRoute con emparejamiento privado para conectarse a la red virtual.
La disponibilidad de los puntos de conexión privados depende del nivel de App Configuration:
| Nivel | Número máximo de puntos de conexión privados |
|---|---|
| Gratuito | 0 |
| Developer | 1 |
| Estándar | 10 |
| Premium | 40 |
Para más información sobre los precios, consulte Precios de Azure App Configuration.
Información general conceptual
Un punto de conexión privado es una interfaz de red especial para un servicio de Azure en Azure Virtual Network. Al crear un punto de conexión privado para el almacén de App Configuration, ayuda a proporcionar conectividad segura entre los clientes de la red virtual y el almacén de configuración. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de su red virtual. La conexión entre el punto de conexión privado y el almacén de configuración usa un vínculo privado para optimizar la seguridad.
Las aplicaciones de la red virtual pueden conectarse al almacén de configuración a través del punto de conexión privado mediante las mismas cadenas de conexión y mecanismos de autorización que usan de lo contrario. Puede utilizar puntos de conexión privados con todos los protocolos que admite el almacén de App Configuration.
App Configuration no admite puntos de conexión de servicio, pero puede crear puntos de conexión privados en subredes que usan puntos de conexión de servicio. Los clientes de una subred pueden usar un punto de conexión privado para conectarse a un almacén de App Configuration mientras usan puntos de conexión de servicio para acceder a otros servicios.
Al crear un punto de conexión privado para un servicio en la red virtual, se envía una solicitud de consentimiento para su aprobación al propietario de la cuenta de servicio. Si el usuario que solicita la creación del punto de conexión privado también es propietario de la cuenta, esta solicitud de consentimiento se aprueba automáticamente.
Los propietarios de cuentas de servicio pueden administrar solicitudes de consentimiento y puntos de conexión privados en Azure Portal. Para encontrar la configuración del punto de conexión privado, vaya al almacén de App Configuration, seleccione Configuración>Redes y, a continuación, vaya a la pestaña Acceso privado .
Puntos de conexión privados en Azure App Configuration
Al crear un punto de conexión privado, debe especificar el almacén de App Configuration al que se conecta. Si habilita la replicación geográfica para un almacén de App Configuration, puede conectarse a todas las réplicas del almacén mediante el mismo punto de conexión privado. Si tiene varios almacenes de App Configuration, necesita un punto de conexión privado independiente para cada almacén.
Consideraciones para almacenes de App Configuration con replicación geográfica
Cuando la replicación geográfica está habilitada para la tienda de App Configuration, puede usar un único punto de conexión privado para conectarse a todas las réplicas. Sin embargo, los puntos de conexión privados son recursos regionales. Como resultado, este enfoque podría no garantizar la conectividad durante una interrupción regional.
Para mejorar la resistencia, considere la posibilidad de crear un punto de conexión privado para cada réplica del almacén con replicación geográfica, además de un punto de conexión privado para el almacén de origen. Si una región deja de estar disponible, los clientes pueden acceder al almacén a través de un punto de conexión privado aprovisionado en la misma región que una réplica. Al usar esta configuración, debe realizar cambios en el sistema de nombres de dominio (DNS). En concreto, el punto de conexión de cada réplica debe resolverse en la dirección IP correspondiente para el punto de conexión privado en la región de esa réplica.
Conexiones de punto de conexión privado
Azure se basa en la resolución DNS para enrutar las conexiones de la red virtual al almacén de configuración a través de un vínculo privado. Puede encontrar las cadenas de conexión en el portal de Azure seleccionando su almacén de configuración de aplicaciones y luego seleccionando Configuración>Configuración de acceso.
Importante
Cuando te conectas al almacén de App Configuration mediante un punto de conexión privado, utiliza la misma cadena de conexión que usas para un punto de conexión público. No se conecte al almacén mediante la dirección URL de su subdominio privatelink.
Nota
De forma predeterminada, al agregar un punto de conexión privado al almacén de App Configuration, se deniegan todas las solicitudes de los datos de App Configuration a través de la red pública. Puede habilitar el acceso a la red pública mediante el siguiente comando de la CLI de Azure. Es importante tener en cuenta las implicaciones de seguridad que supone habilitar el acceso a la red pública en este escenario.
az appconfig update --resource-group <resource-group-name> --name <App-Configuration-store-name> --enable-public-network true
Cambios de DNS en puntos de conexión privados
Al crear un punto de conexión privado, el registro del recurso CNAME de DNS del almacén de configuración se actualiza a un alias de un subdominio con el prefijo privatelink. Azure también crea una zona DNS privada correspondiente al privatelink subdominio. La zona DNS privada contiene un registro de recursos dns A para el punto de conexión privado. Al habilitar la replicación geográfica, Azure crea un registro DNS independiente para cada réplica. Cada registro tiene una dirección IP única en la zona DNS privada.
Al resolver la dirección URL del punto de conexión desde dentro de la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión se resuelve en el punto de conexión privado del almacén. Al resolver la dirección URL del punto de conexión desde fuera de la red virtual, la dirección URL del punto de conexión se resuelve en el punto de conexión público. Cuando se crea un punto de conexión privado, el punto de conexión público se deshabilita.
Si usa un servidor DNS personalizado en la red, debe configurarlo para delegar el privatelink subdominio en la zona DNS privada de la red virtual. Como alternativa, puede configurar los registros A para las URL de enlaces privados de su tienda. Esos registros A usan los siguientes formatos:
-
<App-Configuration-store-name>.privatelink.azconfig.iopara el almacén de origen. -
<App-Configuration-store-name>-<replica-name>.privatelink.azconfig.iopara cada réplica si la replicación geográfica está habilitada. Cada punto de conexión privado tiene una dirección IP privada única.
Precios
La habilitación de puntos de conexión privados requiere un almacén de App Configuration con un nivel Desarrollador, Estándar o Premium. Para más información sobre los precios de Private Link, consulte Precios de Azure Private Link.
Solución de problemas de errores de registro del proveedor de recursos
Si conecta un punto de conexión privado a un almacén de App Configuration en una suscripción donde el proveedor de recursos de App Configuration no está registrado, aparece el siguiente mensaje:
"La suscripción del punto de conexión privado 'aaaa0a0a-bb1b-cc2c-dd3d-eeeeee4e4e4e4e' no está registrada para usar el proveedor de recursos 'Microsoft.AppConfiguration'".
Este mensaje suele aparecer cuando el punto de conexión privado y el almacén de Configuración de Aplicaciones están en suscripciones diferentes. Para resolver la situación, siga estos pasos:
- Registre el
Microsoft.AppConfigurationproveedor de recursos en la suscripción del punto de conexión privado. - Vuelva a conectar el punto de conexión privado al almacén de App Configuration.
Para obtener más información sobre cómo registrar una suscripción en un proveedor de recursos, consulte Registro del proveedor de recursos.
Pasos siguientes
Para obtener información sobre cómo crear un punto de conexión privado para el almacén de App Configuration, consulte los artículos siguientes:
- Creación de un punto de conexión privado mediante Azure Portal
- Creación de un punto de conexión privado mediante la CLI de Azure
- Creación de un punto de conexión privado mediante Azure PowerShell
Para obtener información sobre cómo configurar el servidor DNS con puntos de conexión privados, consulte los artículos siguientes: