Uso de puntos de conexión privados con cuentas de Azure Batch

De forma predeterminada, las cuentas de Azure Batch tienen puntos de conexión públicos y son accesibles públicamente. El servicio Batch ofrece la posibilidad de crear un punto de conexión privado para las cuentas de Batch, lo que permite el acceso privado de red al servicio Batch.

Al usar Azure Private Link, puede conectarse a una cuenta de Azure Batch mediante un punto de conexión privado. El punto de conexión privado es un conjunto de direcciones IP privadas en una subred dentro de la red virtual. A continuación, puede limitar el acceso a una cuenta de Azure Batch a través de direcciones IP privadas.

Private Link permite a los usuarios obtener acceso a una cuenta de Azure Batch desde dentro de la red virtual o cualquier red virtual emparejada. También se puede acceder a los recursos asignados a Private Link en el entorno local a través de un emparejamiento privado a través de VPN o Azure ExpressRoute. Puede conectarse a una cuenta de Azure Bacth configurada con Private Link mediante el método de aprobación automático o manual.

En este artículo se describen los pasos para crear un punto de conexión privado para acceder a los puntos de conexión de cuentas de Batch.

Subrecursos de punto de conexión privado admitidos en cuentas de Batch

El recurso de cuenta de Batch tiene dos puntos de conexión que se admiten para el acceso con puntos de conexión privados:

• Punto de conexión de cuenta (subrecurso: batchAccount): este es el punto de conexión de la API REST del servicio Batch (plano de datos), por ejemplo, administrar grupos, nodos de ejecución, trabajos, tareas, etc.

• Punto de conexión de administración de nodos (subrecurso: nodeManagement): que usan los nodos del grupo de Batch para acceder al servicio de administración de nodos de Batch. Solo es aplicable cuando se usa la comunicación simplificada de nodos de ejecución. Esta característica se encuentra en su versión preliminar.

Importante

• Este subrecurso en versión preliminar se ofrece sin Acuerdo de Nivel de Servicio y no se recomienda para cargas de trabajo de producción. Es posible que algunas características no sean compatibles o que tengan sus funcionalidades limitadas.
• Para más información, consulte Términos de uso complementarios de las Versiones Preliminares de Microsoft Azure.

Azure portal

Siga estos pasos para crear un punto de conexión privado con la cuenta de Batch en Azure Portal:

1. Vaya a la cuenta de Batch en Azure Portal.
2. En Configuración, seleccione Redes y vaya a la pestaña Acceso privado. Seleccione +Punto de conexión privado.
3. En el panel Aspectos básicos, escriba o seleccione la suscripción, el grupo de recursos, el nombre del recurso de punto de conexión privado y los detalles de la región y, a continuación, seleccione Siguiente: Resource (Siguiente: Recurso).
4. En el panel Recurso, establezca Tipo de recurso en Microsoft.Batch/batchAccounts. Seleccione la cuenta de Batch a la que quiere acceder y, luego, elija Siguiente: Configuración.
5. En el panel Configuración, escriba o seleccione esta información:
   • En Red virtual, seleccione la red virtual.
   • Subred: seleccione la subred.
   • En Configuración de IP privada, seleccione Asignar dirección IP de forma dinámica.
   • En Integrar con la zona DNS privada, seleccione Sí. Para conectar de forma privada con el punto de conexión privado, necesita un registro DNS. Se recomienda integrar el punto de conexión privado con una zona DNS privada. También se pueden usar los servidores DNS propios o bien crear registros DNS con los archivos de host de las máquinas virtuales.
   • Zona DNS privada: seleccione privatelink.batch.azure.com. La zona DNS privada se determina automáticamente. No puede cambiarla con Azure Portal.

Importante

Si tiene puntos de conexión privados creados con la zona DNS privada anterior privatelink.<region>.batch.azure.com, siga Migración con puntos de conexión privados existentes de la cuenta de Batch.

6. Seleccione Revisar y crear y espere a que Azure valide la configuración.
7. Cuando reciba el mensaje Validación superada, seleccione Crear.

Nota

También puede crear el punto de conexión privado desde Private Link Center en Azure Portal o crear un recurso mediante la búsqueda de un punto de conexión privado.

Uso del punto de conexión privado

Después de aprovisionar el punto de conexión privado, puede acceder a la cuenta de Batch desde la misma red virtual mediante el punto de conexión privado.

• Punto de conexión privado para batchAccount: puede acceder al plano de datos de la cuenta de Batch para administrar grupos, trabajos o tareas.

• Punto de conexión privado para nodeManagement: los nodos de ejecución del grupo de Batch se pueden conectar y administrar mediante el servicio de administración de nodos de Batch.

Importante

Si el acceso público a la red está deshabilitado con la cuenta de Batch, realizar operaciones de cuenta (por ejemplo, grupos, trabajos) fuera de la red virtual donde se aprovisiona el punto de conexión privado dará como resultado un mensaje "AuthorizationFailure" para la cuenta de Batch en Azure Portal.

Para ver las direcciones IP del punto de conexión privado desde Azure Portal:

1. Seleccione Todos los recursos.
2. Busque el punto de conexión privado que creó anteriormente.
3. Seleccione la pestaña Configuración DNS para ver la configuración DNS y las direcciones IP.

Configuración de zonas DNS

Use una zona DNS privada dentro de la subred en la que ha creado el punto de conexión privado. Configure los puntos de conexión de modo que cada dirección IP privada se asigne a una entrada DNS

Al crear el punto de conexión privado, puede integrarlo con una zona DNS privada en Azure. Si, en su lugar, elige usar un dominio personalizada, debe configurarlo para agregar registros DNS para todas las direcciones IP privadas reservadas para el punto de conexión privado.

Migración con puntos de conexión privados existentes de la cuenta de Batch

Con la introducción del nuevo subrecurso nodeManagement de punto de conexión privado para el punto de conexión de administración de nodos de Batch, la zona DNS privada predeterminada para la cuenta de Batch se simplifica de privatelink.<region>.batch.azure.com a privatelink.batch.azure.com. Los puntos de conexión privados existentes para el subrecurso batchAccount seguirán funcionando; no es necesario hacer nada.

Sin embargo, si ya tiene puntos de conexión privados batchAccount habilitados con la integración automática de DNS privado mediante la zona DNS privada anterior, se necesita configuración adicional para que el nuevo punto de conexión privado batchAccount se cree en la misma red virtual:

• Si ya no necesita el punto de conexión privado anterior, elimínelo. Desvincule también la zona DNS privada anterior de la red virtual. No se necesita ninguna configuración adicional del nuevo punto de conexión privado.

• En caso contrario, después de crear el nuevo punto de conexión privado:

  1. Asegúrese de que la integración automática de DNS privado tenga un registro D de DNS creado en la nueva zona DNS privada privatelink.batch.azure.com. Por ejemplo, myaccount.<region> A <IPv4 address>.

  2. Vaya a la zona DNS privada anterior privatelink.<region>.batch.azure.com.

  3. Agregue manualmente un registro CNAME de DNS. Por ejemplo, myaccount CNAME => myaccount.<region>.privatelink.batch.azure.com.

Importante

Esta mitigación manual solo es necesaria cuando se crea un nuevo punto de conexión privado batchAccount con integración de DNS privado en la misma red virtual que ya tiene puntos de conexión privados.

Precios

Para más información sobre los costos relacionados con los puntos de conexión privados, consulte Precios de Azure Private Link.

Limitaciones actuales y procedimientos recomendados

Cuando cree un punto de conexión privado con la cuenta de Batch, recuerde lo siguiente:

• Los recursos del punto de conexión privado con el subrecurso batchAccount deben crearse en la misma suscripción que la cuenta de Batch.
• El movimiento de recursos no se admite para puntos de conexión privados con cuentas de Batch.
• Si un recurso de cuenta de Batch se mueve a otro grupo de recursos o suscripción, los puntos de conexión privados pueden seguir funcionando, pero la asociación a la cuenta de Batch se interrumpe. Si elimina el recurso de punto de conexión privado, su conexión de punto de conexión privado asociada sigue existiendo en la cuenta de Batch. Puede quitar manualmente la conexión de la cuenta de Batch.
• Para eliminar la conexión privada, elimine el recurso de punto de conexión privado o elimine la conexión privada en la cuenta de Batch (esta acción desconecta el recurso de punto de conexión privado relacionado).
• Los registros DNS de la zona DNS privada no se quitan automáticamente cuando se elimina una conexión de punto de conexión privado de la cuenta de Batch. Debe quitar manualmente los registros DNS antes de agregar un nuevo punto de conexión privado vinculado a esta zona DNS privada. Si no limpia los registros DNS, pueden producirse problemas de acceso inesperados.

Pasos siguientes

• Obtenga información sobre cómo crear grupos de Batch en redes virtuales.
• Aprenda a crear grupos de Batch sin direcciones IP públicas.
• Aprenda a configurar el acceso público a la red en las cuentas de Batch.
• Aprenda a administrar conexiones de punto de conexión privado en cuentas de Batch.
• Obtenga información sobre Azure Private Link.