Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
A medida que las organizaciones adoptan cada vez más servicios en la nube, garantizar un acceso seguro y eficaz a estos recursos es fundamental. Los centros de FinOps ofrecen opciones flexibles para admitir el acceso público o privado a las redes de datos, en función de sus necesidades. En esta guía se explica cómo funciona cada opción de acceso a datos y cómo configurar redes privadas para acceder de forma segura a los datos en los centros de FinOps.
Funcionamiento del acceso público
El acceso público en FinOps Hubs tiene los siguientes rasgos:
- El acceso se controla a través del control de acceso basado en rol (RBAC) y las comunicaciones cifradas a través de la seguridad de la capa de transporte (TLS).
- El almacenamiento es accesible a través de direcciones IP públicas (firewall establecido en público).
- El Explorador de datos (si se implementa) es accesible a través de direcciones IP públicas (firewall configurado para público).
- Key Vault es accesible a través de direcciones IP públicas (firewall establecido en público).
- Azure Data Factory está configurado para usar el entorno de ejecución de integración público.
Funcionamiento del acceso privado
El acceso privado es una opción más segura que coloca los recursos de FinOps hubs en una red aislada y limita el acceso a través de redes privadas:
- El acceso a la red pública está deshabilitado de forma predeterminada.
- El almacenamiento es accesible a través de la dirección IP privada y los servicios de Azure de confianza: el firewall está configurado para denegar por defecto con excepción para los servicios de la lista de confianza.
- Explorador de datos (si se implementa) es accesible a través de una dirección IP privada: el firewall se establece en denegación predeterminada sin excepciones.
- El almacén de claves es accesible a través de una dirección IP privada y servicios de Azure de confianza; el firewall está configurado para denegar por defecto, permitiendo excepciones para los servicios en la lista de confianza.
- Azure Data Factory está configurado para usar el entorno de ejecución de integración público, lo que ayuda a reducir los costos.
- Se implementa una red virtual para garantizar que la comunicación entre todos los componentes durante la implementación y en tiempo de ejecución permanece privada.
Tenga en cuenta que las redes privadas conllevan un costo adicional para los recursos de red, la conectividad y el proceso dedicado en Azure Data Factory. Para obtener una estimación detallada del costo, consulte la calculadora de precios de Azure.
Comparación de las opciones de acceso a la red
En la tabla siguiente se comparan las opciones de acceso a la red disponibles en FinOps Hubs:
| Componente | Público | Privada | Ventajas |
|---|---|---|---|
| Almacenamiento | Accesible a través de Internet¹ | Acceso restringido a la red del centro de FinOps, redes emparejadas (por ejemplo, red virtual corporativa) y servicios de Azure de confianza | Solo se puede acceder a los datos cuando están en el trabajo o en la VPN corporativa |
| Explorador de Datos de Azure | Accesible a través de Internet¹ | Acceso restringido a la red del centro de FinOps, redes emparejadas (por ejemplo, red virtual corporativa) y servicios de Azure de confianza | Solo se puede acceder a los datos cuando están en el trabajo o en la VPN corporativa |
| Almacén de claves | Accesible a través de Internet¹ | Acceso restringido a la red del centro de FinOps, redes emparejadas (por ejemplo, red virtual corporativa) y servicios de Azure de confianza | Las claves y los secretos nunca son accesibles a través de la red abierta de Internet |
| Azure Data Factory | Usa el grupo de cómputo público | Entorno de ejecución de integración administrado en una red privada con el Explorador de datos, el almacenamiento y el almacén de claves | Todo el procesamiento de datos se produce dentro de la red |
| Red virtual | No se usa | El tráfico del centro de FinOps se produce dentro de una red virtual aislada | Todo permanece privado; ideal para entornos regulados |
¹ Mientras que los recursos son accesibles a través de Internet, el acceso sigue protegido por el control de acceso basado en rol (RBAC).
Habilitación de redes privadas
Para habilitar las redes privadas al implementar una nueva o actualizar una instancia existente de FinOps Hub, establezca Acceso a privado en la pestaña Opciones avanzadas .
Antes de habilitar el acceso privado, revise los detalles de red de esta página para comprender la configuración adicional necesaria para conectarse a la instancia del centro. Una vez habilitada, la instancia del centro de FinOps no es accesible hasta que el acceso a la red se configura fuera de la instancia del centro de FinOps. Se recomienda compartirlo con los administradores de red para asegurarse de que el intervalo IP cumple los estándares de red y entiende cómo conectar la instancia del centro a la red existente.
Red virtual del centro de FinOps
Cuando se selecciona el acceso privado, la instancia del centro de FinOps incluye una red virtual para asegurarse de que la comunicación entre sus distintos componentes permanece privada.
- La red virtual debe tener un tamaño /26 (64 direcciones IP). Esta configuración habilita los tamaños de subred mínimos necesarios para Container Services (que se usan durante las implementaciones para ejecutar scripts) y el Explorador de datos.
- El intervalo IP se puede establecer en el momento de la implementación y el valor predeterminado es 10.20.30.0/26.
Si es necesario, puede crear la red virtual, las subredes y, opcionalmente, emparejarla con la red central antes de implementar centros de FinOps si sigue estos requisitos:
- La red virtual debe ser /26 (tamaño de 64 direcciones IP).
- El nombre debe ser
<HubName>-vNet. - La red virtual debe dividirse en tres subredes con las delegaciones de servicio según se especifique:
- private-endpoint-subnet (/28): sin delegaciones de servicio configuradas; hospeda punto de conexión privados para almacenamiento y almacén de claves.
- script-subnet (/28): delegado a los servicios de contenedor para ejecutar scripts durante la implementación.
- dataExplorer-subnet (/27): delegado en Azure Data Explorer.
Puntos de conexión privados y DNS
La comunicación entre los distintos componentes del centro de FinOps se cifra mediante TLS. Para que la validación de certificados TLS se realice correctamente al usar redes privadas, se requiere una resolución de nombres de sistema de nombres de dominio (DNS) confiable. Las zonas DNS, los puntos de conexión privados y las entradas DNS garantizan la resolución de nombres entre los componentes del centro de FinOps.
- privatelink.blob.core.windows.net : para el Explorador de datos y el almacenamiento que usan los scripts de implementación
- privatelink.dfs.core.windows.net: para Data Explorer y el lago de datos que hospedan la configuración de canalización y datos de FinOps
- privatelink.table.core.windows.net : para Data Explorer
- privatelink.queue.core.windows.net : para Data Explorer
- privatelink.vaultcore.azure.net : para Azure Key Vault
- privatelink. {location}.kusto.windows.net : para Data Explorer
Importante
No se recomienda modificar la configuración DNS de la red virtual del centro de FinOps. Los componentes de FinOps Hub requieren una resolución de nombres confiable para que las implementaciones y las actualizaciones se realicen correctamente. Las canalizaciones de Data Factory también requieren una resolución de nombres confiable entre componentes.
Emparejamiento de red, enrutamiento y resolución de nombres
Cuando se selecciona el acceso privado, la instancia del centro de FinOps se implementa en una red virtual de radio aislada. Existen varias opciones para habilitar la conectividad privada a la red virtual del centro de FinOps, entre las que se incluyen:
- Emparejamiento de la red del centro de FinOps con otra red virtual de Azure.
- Emparejamiento de la red del centro de FinOps con un centro de vWAN de Azure.
- Extensión del espacio de direcciones de red del centro de FinOps e implementación de una puerta de enlace de VPN.
- Extensión del espacio de direcciones de red de FinOps Hub e implementación de una puerta de enlace de datos de Power BI.
- Permitir el acceso de los rangos de IP del firewall corporativo y VPN a través de la red pública de Internet mediante el almacenamiento y los firewalls de Data Explorer.
Para acceder a los datos del centro de FinOps desde una red virtual existente, configure registros A en la red virtual existente para acceder al almacenamiento o al Explorador de datos. Los registros CNAME también pueden ser necesarios en función de la solución DNS.
| Obligatorio | Nombre | Descripción |
|---|---|---|
| Obligatorio | < >storage_account_name.privatelink.dfs.core.windows.net | Un registro para acceder al almacenamiento |
| Opcional | < >storage_account_name.dfs.core.windows.net | CNAME al registro A de almacenamiento |
| Obligatorio | < >data_explorer_name.privatelink.<>azure_location.kusto.windows.net | Un registro para acceder al Explorador de datos |
| Opcional | < >data_explorer_name.<>azure_location.kusto.windows.net | CNAME al registro A de Data Explorer |
Importante
Al usar puntos de conexión privados junto con una puerta de enlace de datos de Power BI, asegúrese de usar el nombre de dominio completo (FQDN) del clúster de Azure Data Explorer (como clustername.region.kusto.windows.net) en lugar de la versión abreviada (como clustername.region). Esto garantiza la correcta resolución de nombres para que las funciones del punto de conexión privado funcionen según lo previsto.
Ejemplo de emparejamiento de red
En este ejemplo:
- La red virtual del centro de FinOps está emparejada con un centro de red.
- Azure Firewall actúa como núcleo del enrutador.
- Las entradas DNS para el almacenamiento y el Explorador de datos se agregan a Azure DNS Resolver para garantizar una resolución de nombres fiable.
- Una tabla de rutas está conectada a la subred de puerta de enlace de red para asegurarse de que el tráfico desde el entorno local puede enrutarse a la red virtual emparejada.
Esta topología de red sigue las instrucciones de arquitectura de red de Hub-Spoke que se describen en Cloud Adoption Framework para Azure y en el Centro de arquitectura de Azure.
Proporcionar comentarios
Déjanos saber cómo lo estamos haciendo con una breve revisión. Usamos estas revisiones para mejorar y expandir herramientas y recursos de FinOps.
Si busca algo específico, vote por una idea existente o cree una idea nueva. Comparta ideas con otros usuarios para obtener más votos. Nos centramos en las ideas con la mayoría de los votos.