Preguntas frecuentes sobre Azure Private Link

• Punto de conexión privado de Azure : Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. Puede usar puntos de conexión privados para conectarse a un servicio PaaS de Azure que admita Private Link o a su propio servicio Private Link.
• Servicio Azure Private Link : el servicio Azure Private Link es un servicio creado por un proveedor de servicios. Actualmente, se puede asociar un servicio Private Link a la configuración de IP de front-end de una instancia de Standard Load Balancer.

El tráfico se envía de forma privada mediante la red troncal de Microsoft. No recorre Internet. Azure Private Link no almacena datos de clientes.

• Los puntos de conexión privados conceden acceso de red a recursos específicos detrás de un servicio determinado, lo que proporciona una segmentación granular. El tráfico puede llegar al recurso de servicio desde el entorno local sin usar puntos de conexión públicos.
• Un punto de conexión de servicio sigue siendo una dirección IP enrutable públicamente. Un punto de conexión privado es una dirección IP privada en el espacio de direcciones de la red virtual en donde se configura el punto de conexión privado.

Varios tipos de recursos de Private Link admiten el acceso a través de puntos de conexión privados. Los recursos incluyen los servicios PaaS de Azure y su propio servicio Private Link. Es una relación de uno a varios.

Un servicio Private Link recibe conexiones de varios puntos de conexión privados. Un punto de conexión privado se conecta a un servicio Private Link.

Yes. Private Link debe deshabilitar las directivas de red para funcionar correctamente.

Yes. Para usar directivas como rutas definidas por el usuario y grupos de seguridad de red, debe habilitar directivas de red para una subred en una red virtual para el punto de conexión privado. Esta configuración se aplica a todos los puntos de conexión privados dentro de la subred.

Existen dos pasos para asegurar un recurso de servicio de Azure mediante puntos de conexión de servicio:

1. Active los puntos de conexión de servicio para el servicio de Azure.
2. Configure listas de control de acceso (ACL) de red virtual en el servicio de Azure.

El primer paso es realizar una operación del lado de red y, el segundo, es realizar una operación del lado del recurso de servicio. El mismo administrador o administradores diferentes puede realizar los pasos, en función de los permisos de control de acceso basado en rol (RBAC) de Azure concedidos al rol de administrador.

Le recomendamos que active los puntos de conexión de servicio de la red virtual antes de configurar las ACL de red virtual en el lado del servicio de Azure. Para configurar puntos de conexión de servicio de red virtual, debe realizar los pasos de la secuencia anterior.

Ciertos servicios (como Azure SQL y Azure Cosmos DB) permiten excepciones en la secuencia precedente si usa la marca IgnoreMissingVnetServiceEndpoint. Después de establecer la marca en True, puede configurar las ACL de red virtual en el lado del servicio de Azure antes de activar los puntos de conexión de servicio en el lado de la red. Los servicios de Azure proporcionan esta marca para ayudar a los clientes en los casos en los que los firewalls de IP específicos están configurados en los servicios de Azure.

Habilitar los punto de conexión de servicio en el lado de la red puede llevar a una caída de la conectividad, porque el IP de origen cambia de una dirección IPv4 pública a una dirección privada. La configuración de las ACL de la red virtual en el lado del servicio de Azure antes de habilitar los puntos de conexión de servicio en el lado de red puede ayudarle a evitar que la conectividad se vea afectada.

No todos los servicios de Azure residen en la red virtual del cliente. La mayoría de los servicios de datos de Azure,(como Azure Storage, Azure SQL y Azure Cosmos DB), son servicios de varios inquilinos a los que se puede obtener acceso a través de direcciones IP públicas. Para más información, consulte Implementación de servicios de Azure dedicado en redes virtuales.

Al activar los puntos de conexión de servicio de red virtual en el lado de la red y configurar las ACL de red virtual adecuadas en el lado del servicio de Azure, el acceso a un servicio de Azure está restringido a una red virtual y subred permitidas.

Los puntos de conexión de servicio de red virtual limitan el acceso del servicio de Azure a la red virtual y subred permitidas. De esta manera, proporcionan seguridad de nivel de red y aislamiento del tráfico del servicio de Azure.

Todo el tráfico que usa puntos de conexión de servicio de red virtual fluye a través de la red troncal de Microsoft para proporcionar otra capa de aislamiento de la red pública de Internet. Los clientes también pueden optar por eliminar completamente el acceso público de Internet a los recursos del servicio de Azure y permitir el tráfico solo desde su red virtual a través de una combinación de firewall de IP y ACLs de red virtual. La eliminación del acceso a Internet ayuda a proteger los recursos del servicio de Azure frente al acceso no autorizado.

Los puntos de conexión de servicio de la red virtual le ayudan a proteger los recursos del servicio de Azure. Los recursos de red virtual están protegidos mediante grupos de seguridad de red.

No. No hay ningún costo adicional por usar puntos de conexión de servicio de red virtual.

Sí, es posible. Las redes virtuales y los recursos de servicio de Azure pueden encontrarse en la misma suscripción o en diferentes suscripciones. El único requisito es que tanto la red virtual como los recursos del servicio de Azure deben estar bajo el mismo inquilino de Microsoft Entra.

Sí, es posible cuando se usan puntos de conexión de servicio para Azure Storage y Azure Key Vault. Para otros servicios, los puntos de conexión de servicio de red virtual y las ACL de red virtual no se admiten en Microsoft Entra inquilinos.

De forma predeterminada, los recursos de servicio de Azure protegidos para las redes virtuales no son accesibles desde redes locales. Si quiere permitir el tráfico desde el entorno local, también debe permitir las direcciones IP públicas (normalmente NAT) desde el entorno local o ExpressRoute. Estas direcciones IP se pueden agregar mediante la configuración del firewall de IP para los recursos de los servicios de Azure.

Alternatively, you can implement private endpoints for supported services.

para proteger los servicios de Azure de varias subredes dentro de una red virtual o entre varias redes virtuales, habilite los puntos de conexión de servicio en el lado de la red de cada una de las subredes de manera independiente. A continuación, proteja los recursos de servicio de Azure en todas las subredes mediante la configuración de las ACL de red virtual adecuadas en el lado del servicio de Azure.

Si quiere inspeccionar o filtrar el tráfico destinado a un servicio de Azure desde una red virtual, puede implementar una aplicación virtual de red dentro de la red virtual. Después, puede aplicar los puntos de conexión de servicio a la subred donde se implementa la aplicación virtual de red y se protegen los recursos de servicio de Azure solo para esta subred mediante las ACL de red virtual.

Este escenario también puede resultar útil si quiere restringir el acceso de servicio de Azure desde la red virtual solo a recursos específicos de Azure, mediante el filtrado de la aplicación virtual de red. Para obtener más información, consulte Implementación de NVA de alta disponibilidad.

El servicio devuelve un error HTTP 403 o HTTP 404.

Yes. Para la mayoría de los servicios de Azure, las redes virtuales creadas en diferentes regiones pueden obtener acceso a los servicios de Azure en otra región a través de los puntos de conexión de servicio de la red virtual. Por ejemplo, si una cuenta de Azure Cosmos DB está en la región Oeste de EE. UU. o el Este de EE. UU. y las redes virtuales están en varias regiones, las redes virtuales pueden obtener acceso a Azure Cosmos DB.

Azure SQL es una excepción y es regional por naturaleza. Tanto la red virtual como el servicio de Azure necesitan estar en la misma región.

Yes. Una ACL de red virtual y un firewall de IP pueden coexistir. Las características se complementan entre sí para ayudar a garantizar el aislamiento y la seguridad.

La eliminación de redes virtuales y la eliminación de subredes son operaciones independientes. Se admiten incluso cuando se activan los puntos de conexión de servicio para los servicios de Azure.

Si configura las ACL de red virtual para los servicios de Azure, la información de ACL asociada a esos servicios de Azure se deshabilita al eliminar una red virtual o subred que tenga activados los puntos de conexión de servicio de red virtual.

La eliminación de una cuenta de servicio de Azure es una operación independiente. Se admite incluso si ha activado el punto de conexión de servicio en el lado de la red y ha configurado las ACL de red virtual en el lado del servicio de Azure.

Si habilita los puntos de conexión de servicio de red virtual, las direcciones IP de los recursos de la subred de la red virtual pasarán de usar las direcciones IPv4 públicas a usar las direcciones IP privadas de Azure Virtual Network para el tráfico que fluye hacia los servicios de Azure. Este cambio puede provocar un error en los firewalls de IP específicos que se configuran en una dirección IPv4 pública que estaba anteriormente en los servicios de Azure.

Los puntos de conexión de servicio agregan una ruta de sistema que tiene prioridad sobre las rutas protocolo de puerta de enlace de borde (BGP) y que proporciona un enrutamiento óptimo para el tráfico del punto de conexión de servicio. Los puntos de conexión de servicio siempre toman el tráfico del servicio directamente de la red virtual al servicio en la red troncal de Microsoft Azure.

Para más información sobre cómo Azure selecciona una ruta, vea Enrutamiento del tráfico de Virtual Network.

No. El tráfico ICMP que procede de una subred con puntos de conexión de servicio habilitados no tomará la ruta de acceso del túnel del servicio hacia el punto de conexión deseado. Los puntos de conexión de servicio solo administran el tráfico TCP. Si quiere probar la latencia o la conectividad con un punto de conexión a través de puntos de conexión de servicio, las herramientas como ping y tracert no mostrarán la ruta de acceso verdadera que tomarán los recursos dentro de la subred.

Para alcanzar el servicio de Azure, los NSG deben permitir la conectividad de salida. Si los NSG están abiertos a todo el tráfico saliente de Internet, el tráfico del punto de conexión de servicio debería funcionar. También puede limitar el tráfico saliente solo a direcciones IP de servicio mediante las etiquetas de servicio.

Puede configurar puntos de conexión de servicio en una red virtual de forma independiente si tiene acceso de escritura a esa red.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. De forma predeterminada, este permiso se incluye en los roles de administrador de servicios integrado y puede modificarse mediante la creación de roles personalizados.

Para obtener más información sobre roles integrador y la asignación de permisos concretos a roles personalizados, consulte Roles personalizados de Azure.

Se pueden utilizar directivas de punto de conexión de servicio de la red virtual (VNet) para filtrar el tráfico de red virtual a los servicios de Azure, lo que permite únicamente recursos de servicio específicos de Azure, sobre los puntos de conexión de servicio. Las directivas de punto de conexión de servicio ofrecen un control de acceso pormenorizado para el tráfico de red virtual a los servicios de Azure.

Para más información, consulteDirectivas de punto de conexión de servicio de red virtual para Azure Storage.

Microsoft Entra ID no admite puntos de conexión de servicio de forma nativa. Para obtener una lista de los servicios de Azure completa que admiten puntos de conexión de servicio de red virtual, consulte Puntos de conexión de servicio de red virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Para la integración de red virtual en Data Lake Storage Gen1, se usa la seguridad del punto de conexión de servicio de red virtual entre la red virtual y Microsoft Entra ID para generar notificaciones de seguridad adicionales en el token de acceso. Estas declaraciones se usan entonces para autenticar tu red virtual en tu cuenta de Data Lake Storage Gen1 y permitir el acceso.

No hay límite en el número total de puntos de conexión de servicio en una red virtual. Para un recurso de servicio de Azure (por ejemplo, una cuenta de Azure Storage), los servicios pueden exigir límites en el número de subredes que se usan para proteger el recurso. En la tabla siguiente se muestran algunos límites de ejemplo:

Para alcanzar el servicio de Azure, los NSG deben permitir la conectividad de salida. Si los NSG están abiertos a todo el tráfico saliente de Internet, el tráfico del punto de conexión de servicio debería funcionar. También puede limitar el tráfico saliente solo a direcciones IP de servicio mediante las etiquetas de servicio.

Puede configurar puntos de conexión de servicio en una red virtual de forma independiente si tiene acceso de escritura a esa red.

To secure Azure service resources to a virtual network, you must have Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action permission for the subnets that you're adding. De forma predeterminada, este permiso se incluye en los roles de administrador de servicios integrado y puede modificarse mediante la creación de roles personalizados.

Para obtener más información sobre roles integrador y la asignación de permisos concretos a roles personalizados, consulte Roles personalizados de Azure.

Se pueden utilizar directivas de punto de conexión de servicio de la red virtual (VNet) para filtrar el tráfico de red virtual a los servicios de Azure, lo que permite únicamente recursos de servicio específicos de Azure, sobre los puntos de conexión de servicio. Las directivas de punto de conexión de servicio ofrecen un control de acceso pormenorizado para el tráfico de red virtual a los servicios de Azure.

Para más información, consulteDirectivas de punto de conexión de servicio de red virtual para Azure Storage.

Microsoft Entra ID no admite puntos de conexión de servicio de forma nativa. Para obtener una lista de los servicios de Azure completa que admiten puntos de conexión de servicio de red virtual, consulte Puntos de conexión de servicio de red virtual.

In that list, the Microsoft.AzureActiveDirectory tag listed under services that support service endpoints is used for supporting service endpoints to Azure Data Lake Storage Gen1. Para la integración de red virtual en Data Lake Storage Gen1, se usa la seguridad del punto de conexión de servicio de red virtual entre la red virtual y Microsoft Entra ID para generar notificaciones de seguridad adicionales en el token de acceso. Estas declaraciones se usan entonces para autenticar tu red virtual en tu cuenta de Data Lake Storage Gen1 y permitir el acceso.

No hay límite en el número total de puntos de conexión de servicio en una red virtual. Para un recurso de servicio de Azure (por ejemplo, una cuenta de Azure Storage), los servicios pueden exigir límites en el número de subredes que se usan para proteger el recurso. En la tabla siguiente se muestran algunos límites de ejemplo:

Yes. Puede tener varios puntos de conexión privados en la misma red virtual o subred. Pueden conectarse a diferentes servicios.

No, no se admite la creación de varias zonas con el mismo nombre para una sola red virtual.

No. No necesita una subred dedicada para los puntos de conexión privados. Puede elegir una dirección IP de punto de conexión privado desde cualquier subred de la red virtual donde se implemente su servicio.

Yes. Los puntos de conexión privados pueden conectarse a los servicios de Private Link o a un PaaS de Azure a través de los inquilinos de Microsoft Entra. Los puntos de conexión privados entre los inquilinos requieren una aprobación de solicitud manual.

Yes. Los puntos de conexión privados pueden conectarse a recursos de PaaS de Azure a través de las regiones de Azure.

Cuando se crea un punto de conexión privado, se asigna una NIC de solo lectura. La NIC no se puede modificar y permanecerá durante el ciclo de vida del punto de conexión privado.

Los puntos de conexión privados son recursos de alta disponibilidad con un Acuerdo de Nivel de Servicio según el SLA para Azure Private Link. Sin embargo, dado que son recursos regionales, cualquier interrupción en la región de Azure puede afectar a la disponibilidad. Para lograr disponibilidad en caso de haber errores regionales, se pueden implementar varios puntos de conexión privados conectados al mismo recurso de destino en regiones diferentes. De este modo, si una región deja de funcionar, todavía puede enrutar el tráfico de los escenarios de recuperación a través de un punto de conexión privado de una región distinta para acceder al recurso de destino. Para más información sobre cómo se administran los errores regionales en el servicio de destino, consulte la documentación del servicio sobre conmutación por error y recuperación. El tráfico de Private Link sigue la resolución de Azure DNS del punto de conexión de destino.

Los puntos de conexión privados son recursos de alta disponibilidad con un Acuerdo de Nivel de Servicio según el SLA para Azure Private Link. Los puntos de conexión privados son independientes de la zona: un error de zona de disponibilidad en la región del punto de conexión privado no afectará a la disponibilidad del punto de conexión privado.

El tráfico de TCP y UDP solo se admite para un punto de conexión privado. Para más información, consulte Limitaciones de Private Link.

Sus back-ends de servicio deben estar en una red virtual y detrás de una instancia de Standard Load Balancer.

Puede escalar su servicio Private Link de distintas formas:

• Agregando máquinas virtuales de back-end al grupo situado detrás de su instancia de Standard Load Balancer.
• Agregando una dirección IP al servicio Private Link. Permitimos hasta ocho direcciones IP por servicio Private Link.
• Agregando un nuevo servicio Private Link a Standard Load Balancer. Permitimos hasta ocho servicios Private Link por instancia de Standard Load Balancer.

• La configuración de IP de NAT garantiza que el espacio de direcciones de origen (consumidor) y destino (proveedor de servicios) no tenga conflictos de IP. La configuración proporciona NAT de origen para el tráfico de vínculo privado para el destino. La dirección IP de NAT se muestra como una IP de origen para todos los paquetes recibidos por su servicio e IP de destino para todos los paquetes enviados por su servicio. La IP de NAT se puede elegir desde cualquier subred de la red virtual de un proveedor de servicios.
• Cada IP de NAT proporciona 64 000 conexiones TCP (64 000 puertos) por máquina virtual detrás de Standard Load Balancer. Con el fin de escalar y aumentar las conexiones, puede agregar nuevas direcciones IP de NAT o más máquinas virtuales detrás de Standard Load Balancer. Al hacerlo, se escala la disponibilidad de puertos y se permiten más conexiones. Las conexiones se distribuyen entre las direcciones IP de NAT y las máquinas virtuales detrás de Standard Load Balancer.

Yes. Un servicio Private Link puede recibir conexiones de varios puntos de conexión privados. Sin embargo, un punto de conexión privado solo puede conectarse a un servicio Private Link.

Puede controlar la exposición mediante la configuración de visibilidad del servicio Private Link. La visibilidad admite tres configuraciones:

• None - Only subscriptions with role based access can locate the service.
• Restrictive - Only subscriptions that are approved and with role based access can locate the service.
• All - Everyone can locate the service.

No. No se admite ningún servicio Private Link mediante una instancia de Basic Load Balancer.

No. No se requiere una subred dedicada para el servicio Private Link. Puede elegir cualquier subred de su red virtual donde se implemente su servicio.

No. Azure Private Link proporciona esta funcionalidad automáticamente. No se le exige tener un espacio de direcciones que no se superponga con el espacio de direcciones de su cliente.

Next steps

• Obtenga información sobre Azure Private Link