Azure Database for PostgreSQL: redes de servidor flexible con Private Link
Azure Private Link permite crear puntos de conexión privados para el servidor flexible de Azure Database for PostgreSQL con el fin de incorporarlo a la instancia de Virtual Network (red virtual). Esa funcionalidad se introduce además de las funcionalidades de red ya existentes proporcionadas por la Integración con red virtual, que actualmente está en disponibilidad general con el servidor flexible de Azure Database for PostgreSQL. Con Private Link, el tráfico entre la red virtual y el servicio viaja por la red troncal de Microsoft. Ya no es necesario exponer el servicio a la red pública de Internet. Puede crear su propio servicio de vínculo privado en la red virtual y enviarlo a los clientes. La configuración y el consumo mediante Azure Private Link es coherente entre los servicios de asociados compartidos y propiedad del cliente de PaaS de Azure.
Private Link se expone a los usuarios a través de dos tipos de recursos de Azure:
- Puntos de conexión privados (Microsoft.Network/PrivateEndpoints)
- Servicios de Private Link (Microsoft.Network/PrivateLinkServices)
Puntos de conexión privados
Un punto de conexión privado agrega una interfaz de red a un recurso, lo que le proporciona una dirección IP privada asignada desde la VNet (red virtual). Una vez aplicado, puede comunicarse con este recurso exclusivamente a través de la red virtual (VNet). Para una lista de los servicios PaaS que admiten la funcionalidad Private Link, consulte la página de documentación de Private Link. Un punto de conexión privado es una dirección IP privada dentro de una red virtual y una subred específicas.
Se puede hacer referencia a la misma instancia de servicio pública mediante varios puntos de conexión privados en diferentes redes virtuales o subredes, incluso si tienen espacios de direcciones superpuestos.
Ventajas principales de Azure Private Link
Azure Private Link proporciona las ventajas siguientes:
Acceso privado a los servicios de la plataforma Azure: conecte una red virtual mediante puntos de conexión privados a todos los servicios que se pueden usar como componentes de aplicación en Azure. Los proveedores de servicios pueden representar los servicios en su propia red virtual y los consumidores pueden acceder a ellos en su red virtual local. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure.
Redes locales y emparejadas: acceda a los servicios que se ejecutan en Azure desde el entorno local a través del emparejamiento privado de ExpressRoute, los túneles VPN y las redes virtuales emparejadas mediante puntos de conexión privados. No es necesario configurar el emparejamiento de Microsoft para ExpressRoute ni atravesar Internet para llegar hasta el servicio. Private Link proporciona una manera segura de migrar cargas de trabajo a Azure.
Protección contra la pérdida de datos: un punto de conexión privado se asigna a una instancia de un recurso de PaaS en lugar de al servicio entero. Los consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a cualquier otro recurso del servicio. Este mecanismo proporciona protección contra los riesgos de pérdida de datos.
Alcance global: conéctese de forma privada a los servicios que se ejecutan en otras regiones. La red virtual del consumidor podría estar en la región A y puede conectarse a los servicios que hay detrás de Private Link en la región B.
Casos de uso de Private Link con el servidor flexible de Azure Database for PostgreSQL
Los clientes se pueden conectar al punto de conexión privado desde la misma red virtual, desde una red virtual emparejada de la misma región o a través de una conexión entre redes virtuales de distintas regiones. Además, los clientes pueden conectarse de forma local mediante ExpressRoute, emparejamiento privado o tunelización de VPN. A continuación, puede ver un diagrama simplificado que muestra los casos de uso habituales.
Limitaciones y características admitidas para Private Link con el servidor flexible de Azure Database for PostgreSQL
Matriz de disponibilidad entre características para punto de conexión privado en el servidor flexible de Azure Database for PostgreSQL.
| Característica | Disponibilidad | Notas |
|---|---|---|
| Alta disponibilidad (HA) | Sí | Funciona según lo diseñado |
| Réplica de lectura | Sí | Funciona según lo diseñado |
| Réplica de lectura con puntos de conexión virtuales | Sí | Funciona según lo diseñado |
| Restauración a un momento dado | Sí | Funciona según lo diseñado |
| Permitir también el acceso público o a Internet con reglas de firewall | Sí | Funciona según lo diseñado |
| Actualización de la versión principal (MVU) | Sí | Funciona según lo diseñado |
| Autenticación de Microsoft Entra (Entra Auth) | Sí | Funciona según lo diseñado |
| Agrupación de conexiones con PGBouncer | Sí | Funciona según lo diseñado |
| DNS de punto de conexión privado | Sí | Funciona según lo diseñado y documentado. |
| Cifrado con claves administradas por el cliente (CMK) | Sí | Funciona según lo diseñado |
Conexión desde una máquina virtual de Azure en una red virtual emparejada
Configure el emparejamiento de red virtual para establecer la conectividad con el servidor flexible de Azure Database for PostgreSQL desde una máquina virtual de Azure en una red virtual emparejada.
Conexión desde una máquina virtual de Azure en un entorno de red virtual a red virtual
Configure una conexión de VPN Gateway de red virtual a red virtual para establecer la conectividad con una instancia de servidor flexible de Azure Database for PostgreSQL desde una máquina virtual de Azure en una región o suscripción diferente.
Conexión desde un entorno local a través de VPN
Para establecer la conectividad desde un entorno local a la instancia de servidor flexible de Azure Database for PostgreSQL, elija e implemente una de las opciones:
Seguridad de red y Private Link
Cuando se usan puntos de conexión privados, el tráfico se protege en un recurso de vínculo privado. La plataforma valida las conexiones de red, lo que permite solo las conexiones que llegan al recurso de vínculo privado especificado. Para acceder a más subrecursos dentro del mismo servicio Azure, se necesitan más puntos de conexión privados con sus correspondientes destinos. En el caso de Azure Storage, por ejemplo, se necesitarán puntos de conexión privados independientes para acceder a los subrecursos archivo y blob.
Los puntos de conexión privados proporcionan una dirección IP de acceso privado para el servicio de Azure, pero no restringen necesariamente el acceso de red pública al servicio. Sin embargo, todos los demás servicios de Azure requieren otros controles de acceso. Estos controles proporcionan una capa de seguridad de red adicional a los recursos, que ofrece protección para evitar el acceso al servicio de Azure asociado con el recurso de vínculo privado.
Los puntos de conexión privados admiten directivas de red. Las directivas de red permiten la compatibilidad con grupos de seguridad de red (NSG), rutas definidas por el usuario (UDR) y grupos de seguridad de aplicaciones (ASG). Para más información sobre la habilitación de directivas de red para un punto de conexión privado, consulte Administración de directivas de red para puntos de conexión privados. Para usar un grupo de seguridad de aplicaciones con un punto de conexión privado, consulte Configuración de un grupo de seguridad de aplicaciones (ASG) con un punto de conexión privado.
Private Link y DNS
Al usar un punto de conexión privado, debe conectarse al mismo servicio de Azure, pero usar la dirección IP del punto de conexión privado. La conexión del punto de conexión privado requiere una configuración independiente de Sistema de nombres de dominio (DNS) para resolver la dirección IP privada al nombre del recurso. Las zonas de DNS privado proporcionan resolución de nombres de dominio dentro de una red virtual sin una solución DNS personalizada. Puede vincular las zonas de DNS privado a cada red virtual para proporcionar servicios DNS a esa red.
Las zonas de DNS privado proporcionan nombres de zona DNS independientes para cada servicio de Azure. Por ejemplo, si configuró una zona DNS privada para el servicio de blobs de la cuenta de almacenamiento en la imagen anterior, el nombre de las zonas DNS es privatelink.blob.core.windows.net. Consulte la documentación de Microsoft aquí para ver más nombres de zona DNS privadas para todos los servicios de Azure.
Nota:
Las configuraciones de zona DNS privada del punto de conexión privado solo se generarán automáticamente si usa el esquema de nomenclatura recomendado: privatelink.postgres.database.azure.com En los servidores de acceso público recién aprovisionados (no insertados en la red virtual) hay un cambio temporal de diseño DNS. El FQDN del servidor ahora será un CName, resolviendo en un registro A, en formato servername.privatelink.postgres.database.azure.com. En el futuro próximo, este formato solo se aplicará cuando se creen puntos de conexión privados en el servidor.
DNS híbrido para Azure y recursos locales
El sistema de nombres de dominio (DNS) es un tema de diseño fundamental en la arquitectura general de la zona de aterrizaje. Es posible que algunas organizaciones quieran usar sus inversiones existentes en DNS, mientras que otras pueden querer adoptar funcionalidades nativas de Azure para todas sus necesidades de DNS. Puede usar el servicio Azure DNS Private Resolver junto con zonas DNS privadas de Azure para la resolución de nombres entre locales. DNS Private Resolver puede reenviar la solicitud DNS a otro servidor DNS y también proporciona una dirección IP que puede ser usada por el servidor DNS externo para reenviar las solicitudes. Por lo tanto, los servidores DNS locales externos pueden resolver el nombre ubicado en una zona DNS privada.
Para más información sobre cómo usar Private DNS Resolver con el reenviador de DNS local para reenviar el tráfico DNS a Azure DNS consulte este documento, así como este documento . Las soluciones descritas permiten ampliar la red local que ya tiene una solución DNS para resolver los recursos de Azure. Arquitectura de Microsoft.
Integración de Private Link y DNS en las arquitecturas de red en estrella tipo hub-and-spoke
Las zonas de DNS privadas se suelen hospedar de manera centralizada en la misma suscripción a Azure en que se implementa la red virtual del centro de conectividad. Esta práctica de hospedaje central se rige por la resolución de nombres DNS entre entornos locales y otras necesidades de resolución de DNS central, como Active Directory. En la mayoría de los casos, solo los administradores de redes o identidades tienen permisos para administrar registros DNS en las zonas.
En esta arquitectura se configura lo siguiente:
- Los servidores DNS locales tienen reenviadores condicionales configurados para cada zona DNS pública de punto de conexión privado que apuntan al solucionador DNS privado hospedado en la red virtual del concentrador.
- El solucionador DNS privado hospedado en la red virtual del concentrador usa un DNS proporcionado por Azure (168.63.129.16) como reenviador.
- La red virtual del centro de conectividad debe estar vinculada a los nombres de zona de DNS privado para los servicios de Azure (como privatelink.postgres.database.azure.com, para el servidor flexible de Azure Database for PostgreSQL).
- Todas las redes virtuales de Azure usan DNS Private Resolver hospedado en la red virtual del centro de conectividad.
- Como DNS Private Resolver no es autoritativo para los dominios corporativos del cliente, ya que es solo un reenviador, (por ejemplo, nombres de dominio de Active Directory), debería tener reenviadores de punto de conexión salientes a los dominios corporativos del cliente, apuntando a los servidores DNS locales o a los servidores DNS implementados en Azure que son autoritativos para dichas zonas.
Private Link y grupos de seguridad de red
De forma predeterminada, las directivas de red están deshabilitadas para una subred de una red virtual. Para usar directivas de red como el soporte de rutas definidas por el usuario y grupos de seguridad de red, el soporte de directivas de red debe estar habilitado para la subred. Esta configuración solo se aplica a los puntos de conexión privados dentro de la subred. Esta configuración se aplica a todos los puntos de conexión privados dentro de la subred. Para otros recursos de la subred, el acceso se controla en función de las reglas de seguridad del grupos de seguridad de red.
Las directivas de red solo se pueden habilitar para grupos de seguridad de red, solo para User-Defined rutas o para ambos. Para más información, puede ver los documentos de Azure.
Las limitaciones de los grupos de seguridad de red (NSG) y los puntos de conexión privados se enumeran aquí.
Importante
Protección contra la pérdida de datos: un punto de conexión privado se asigna a una instancia de un recurso de PaaS en lugar de al servicio entero. Los consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a cualquier otro recurso del servicio. Este mecanismo proporciona protección básica contra los riesgos de pérdida de datos.
Combinación de Private Link con las reglas de firewall
Las situaciones y resultados que se muestran a continuación son posibles cuando se usa Private Link en combinación con las reglas de firewall:
Si no configura ninguna regla de firewall, ningún tráfico puede tener acceso de forma predeterminada a la instancia del servidor flexible de Azure Database for PostgreSQL.
Si configura el tráfico público o un punto de conexión de servicio y crea puntos de conexión privados, los distintos tipos de tráfico entrante estarán autorizados por el tipo de regla de firewall correspondiente.
Si no configura ningún tráfico público ni punto de conexión de servicio y crea puntos de conexión privados, la instancia del servidor flexible de Azure Database for PostgreSQL solo será accesible a través de los puntos de conexión privados. Si no configura ningún tráfico público ni punto de conexión de servicio, después de que se rechacen o eliminen todos los puntos de conexión privados aprobados, ningún tráfico podrá tener acceso a la instancia del servidor flexible de Azure Database for PostgreSQL.
Solución de problemas de conectividad con redes basadas en puntos de conexión privados
A continuación se muestran las áreas básicas para comprobar si tiene problemas de conectividad mediante redes basadas en puntos de conexión privados:
- Comprobar las asignaciones de direcciones IP: compruebe que el punto de conexión privado tiene asignada la dirección IP correcta y que no haya ningún conflicto con otros recursos. Para más información sobre el punto de conexión privado y la dirección IP, consulte este documento
- Comprobar los grupos de seguridad de red (NSG): revise las reglas del grupo de seguridad de red de la subred del punto de conexión privado para asegurarse de que se permite el tráfico necesario y no tiene reglas en conflicto. Para más información sobre el grupo de seguridad de red, consulte esta documentación.
- Validar la configuración de la tabla de enrutamiento: asegúrese de que las tablas de enrutamiento asociadas a la subred del punto de conexión privado y los recursos conectados están configurados correctamente con las rutas adecuadas.
- Usar la supervisión y el diagnóstico de red: use Azure Network Watcher para supervisar y diagnosticar el tráfico de red mediante herramientas como Connection Monitor o Packet Capture. Para más información sobre los diagnósticos de red, consulte este documento
Encontrará más detalles sobre la solución de problemas en esta guía
Solución de problemas de resolución de DNS con redes basadas en puntos de conexión privados
A continuación se muestran las áreas básicas para comprobar si tiene problemas de resolución de DNS mediante redes basadas en puntos de conexión privados:
- Validar resolución de DNS: compruebe si el servidor DNS o el servicio usado por el punto de conexión privado y los recursos conectados funcionan correctamente. Asegúrese de que la configuración de DNS del punto de conexión privado es adecuada. Para más información sobre los puntos de conexión y la configuración de la zona DNS, consulte este documento.
- Borrar caché DNS: borre la caché DNS en el punto de conexión privado o la máquina cliente para asegurarse de que se recupera la información de DNS más reciente y evitar errores de incoherencias.
- Analizar registros DNS: revise los registros DNS de los mensajes de error o patrones inusuales, como errores de consulta de DNS, errores de servidor o agotamiento de tiempos de espera. Para más información sobre las métricas de DNS, consulte este documento
Pasos siguientes
- Aprenda a crear una instancia del servidor flexible de Azure Database for PostgreSQL mediante la opción Acceso privado (integración con red virtual) en Azure Portal o la CLI de Azure.