¿Qué es un punto de conexión privado de Azure?What is Azure Private Endpoint?

Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link.Azure Private Endpoint is a network interface that connects you privately and securely to a service powered by Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual, colocando el servicio de manera eficaz en su red virtual.Private Endpoint uses a private IP address from your VNet, effectively bringing the service into your VNet. El servicio podría ser un servicio de Azure como Azure Storage, Azure Cosmos DB, SQL, etc. o su propio servicio Private Link.The service could be an Azure service such as Azure Storage, Azure Cosmos DB, SQL, etc. or your own Private Link Service.

Propiedades del punto de conexión privadoPrivate Endpoint properties

Un punto de conexión privado especifica las siguientes propiedades:A Private Endpoint specifies the following properties:

PropiedadProperty DescripciónDescription
NombreName Nombre único dentro del grupo de recursos.A unique name within the resource group.
SubnetSubnet Subred para implementar y asignar direcciones IP privadas de una red virtual.The subnet to deploy and allocate private IP addresses from a virtual network. Para conocer los requisitos de subred, consulte la sección Limitaciones de este artículo.For subnet requirements, see the Limitations section in this article.
Recurso de vínculo privadoPrivate Link Resource El recurso de vínculo privado al que conectarse mediante el identificador o el alias del recurso, de la lista de tipos disponibles.The private link resource to connect using resource ID or alias, from the list of available types. Se generará un identificador de red único para todo el tráfico enviado a este recurso.A unique network identifier will be generated for all traffic sent to this resource.
Subrecurso de destinoTarget subresource Subrecurso que se va a conectar.The subresource to connect. Cada tipo de recurso de vínculo privado tiene diferentes opciones para seleccionar según las preferencias.Each private link resource type has different options to select based on preference.
Método de aprobación de conexiónConnection approval method Automático o manual.Automatic or manual. Según los permisos del control de acceso basado en roles de Azure (Azure RBAC), el punto de conexión privado se puede aprobar automáticamente.Based on Azure role-based access control (Azure RBAC) permissions, your private endpoint can be approved automatically. Si intenta conectarse a un recurso de vínculo privado sin Azure RBAC, use el método manual para permitir que el propietario del recurso apruebe la conexión.If you try to connect to a private link resource without Azure RBAC, use the manual method to allow the owner of the resource to approve the connection.
Mensaje de solicitudRequest Message Puede especificar un mensaje para que las conexiones solicitadas se aprueben manualmente.You can specify a message for requested connections to be approved manually. Este mensaje se puede usar para identificar una solicitud específica.This message can be used to identify a specific request.
Estado de conexiónConnection status Propiedad de solo lectura que especifica si el punto de conexión privado está activo.A read-only property that specifies if the private endpoint is active. Solo los puntos de conexión privados en un estado aprobado se pueden usar para enviar tráfico.Only private endpoints in an approved state can be used to send traffic. Estados adicionales disponibles:Additional states available:
-Aprobado: La conexión se aprobó de forma automática o manual y está lista para usarse.-Approved: Connection was automatically or manually approved and is ready to be used.

-Pendiente: La conexión se creó manualmente y está pendiente de aprobación por parte del propietario del recurso de vínculo privado.-Pending: Connection was created manually and is pending approval by the private link resource owner.

-Rechazado: El propietario del recurso de vínculo privado rechazó la conexión.-Rejected: Connection was rejected by the private link resource owner.

-Desconectado: El propietario del recurso de vínculo privado quitó la conexión.-Disconnected: Connection was removed by the private link resource owner. El punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza.The private endpoint becomes informative and should be deleted for cleanup.

Estos son algunos detalles importantes acerca de los puntos de conexión privados:Here are some key details about private endpoints:

  • El punto de conexión privado permite la conectividad entre los consumidores de la misma red virtual, las redes virtuales emparejadas de forma regional, las redes virtuales emparejadas de forma global y las instalaciones locales que usan VPN o Express Route y servicios con la tecnología Private Link.Private endpoint enables connectivity between the consumers from the same VNet, regionally peered VNets, globally peered VNets and on premises using VPN or Express Route and services powered by Private Link.

  • Las conexiones de red solo pueden ser iniciadas por clientes que se conecten al punto de conexión privado. Los proveedores de servicios no tienen ninguna configuración de enrutamiento para iniciar conexiones en los consumidores del servicio.Network connections can only be initiated by clients connecting to the Private endpoint, Service providers do not have any routing configuration to initiate connections into service consumers. Las conexiones solo se pueden establecer en una dirección.Connections can only be establish in a single direction.

  • Al crear un punto de conexión privado, también se crea una interfaz de red de solo lectura para el ciclo de vida del recurso.When creating a private endpoint, a read-only network interface is also created for the lifecycle of the resource. A la interfaz se le asigna una dirección IP privada desde la subred que se corresponde con el recurso de Private Link.The interface is assigned dynamically private IP addresses from the subnet that maps to the private link resource. El valor de la dirección IP privada no cambia durante todo el ciclo de vida del punto de conexión privado.The value of the private IP address remains unchanged for the entire lifecycle of the private endpoint.

  • El punto de conexión privado debe implementarse en la misma región que la red virtual.The private endpoint must be deployed in the same region as the virtual network.

  • El recurso de vínculo privado se puede implementar en una región distinta a la de la red virtual y el punto de conexión privado.The private link resource can be deployed in a different region than the virtual network and private endpoint.

  • Se pueden crear varios puntos de conexión privados mediante el mismo recurso de vínculo privado.Multiple private endpoints can be created using the same private link resource. En el caso de una sola red que use una configuración de servidor DNS común, el procedimiento recomendado es usar un único punto de conexión privado para un recurso de vínculo privado determinado para evitar entradas duplicadas o conflictos en la resolución de DNS.For a single network using a common DNS server configuration, the recommended practice is to use a single private endpoint for a given private link resource to avoid duplicate entries or conflicts in DNS resolution.

  • Se pueden crear varios puntos de conexión privados en la misma subred o en subredes diferentes dentro de la misma red virtual.Multiple private endpoints can be created on the same or different subnets within the same virtual network. Existen límites en cuanto al número de puntos de conexión privados que se pueden crear en una suscripción.There are limits to the number of private endpoints you can create in a subscription. Para más información, consulte el artículo acerca de los  límites de Azure.For details, see Azure limits.

  • La suscripción del recurso de vínculo privado también se debe registrar con el proveedor de recursos Micosoft.Network.The subscription from the private link resource must also be registered with Micosoft.Network resource provider. Para más información, consulte  Proveedores de recursos de Azure.For details, see Azure Resource Providers.

Un recurso de vínculo privado es el destino de un punto de conexión privado determinado.A private link resource is the destination target of a given private endpoint. A continuación se muestra una lista de los tipos de recursos de vínculo privado disponibles:The following is a list of available private link resource types:

Nombre del recurso de vínculo privadoPrivate link resource name Tipo de recursoResource type SubrecursosSubresources
Servicio Private Link (su propio servicio)Private Link Service (Your own service) Microsoft.Network/privateLinkServicesMicrosoft.Network/privateLinkServices emptyempty
Azure AutomationAzure Automation Microsoft.Automation/automationAccountsMicrosoft.Automation/automationAccounts Webhook, DSCAndHybridWorkerWebhook, DSCAndHybridWorker
Azure SQL DatabaseAzure SQL Database Microsoft.Sql/serversMicrosoft.Sql/servers Sql Server (sqlServer)Sql Server (sqlServer)
Azure Synapse AnalyticsAzure Synapse Analytics Microsoft.Sql/serversMicrosoft.Sql/servers Sql Server (sqlServer)Sql Server (sqlServer)
Almacenamiento de AzureAzure Storage Microsoft.Storage/storageAccountsMicrosoft.Storage/storageAccounts Blob (blob, blob_secondary)Blob (blob, blob_secondary)
Tabla (table, table_secondary)Table (table, table_secondary)
Cola (queue, queue_secondary)Queue (queue, queue_secondary)
Archivo (file, file_secondary)File (file, file_secondary)
Web (web, web_secondary)Web (web, web_secondary)
Azure Data Lake Storage Gen2Azure Data Lake Storage Gen2 Microsoft.Storage/storageAccountsMicrosoft.Storage/storageAccounts Blob (blob, blob_secondary)Blob (blob, blob_secondary)
Sistema de archivos Data Lake Gen2 (dfs, dfs_secondary)Data Lake File System Gen2 (dfs, dfs_secondary)
Azure Cosmos DBAzure Cosmos DB Microsoft.AzureCosmosDB/databaseAccountsMicrosoft.AzureCosmosDB/databaseAccounts Sql, MongoDB, Cassandra, Gremlin, TableSql, MongoDB, Cassandra, Gremlin, Table
Azure Database for PostgreSQL: servidor únicoAzure Database for PostgreSQL -Single server Microsoft.DBforPostgreSQL/serversMicrosoft.DBforPostgreSQL/servers postgresqlServerpostgresqlServer
Azure Database for MySQLAzure Database for MySQL Microsoft.DBforMySQL/serversMicrosoft.DBforMySQL/servers mysqlServermysqlServer
Azure Database for MariaDBAzure Database for MariaDB Microsoft.DBforMariaDB/serversMicrosoft.DBforMariaDB/servers mariadbServermariadbServer
Azure IoT HubAzure IoT Hub Microsoft.Devices/IotHubsMicrosoft.Devices/IotHubs iotHubiotHub
Azure Key VaultAzure Key Vault Microsoft.KeyVault/vaultsMicrosoft.KeyVault/vaults almacénvault
Azure Kubernetes Service: API de KubernetesAzure Kubernetes Service - Kubernetes API Microsoft.ContainerService/managedClustersMicrosoft.ContainerService/managedClusters managementmanagement
Azure SearchAzure Search Microsoft.Search/searchServiceMicrosoft.Search/searchService searchServicesearchService
Azure Container RegistryAzure Container Registry Microsoft.ContainerRegistry/registriesMicrosoft.ContainerRegistry/registries Registroregistry
Azure App ConfigurationAzure App Configuration Microsoft.Appconfiguration/configurationStoresMicrosoft.Appconfiguration/configurationStores configurationStoresconfigurationStores
Azure BackupAzure Backup Microsoft.RecoveryServices/vaultsMicrosoft.RecoveryServices/vaults almacénvault
Centro de eventos de AzureAzure Event Hub Microsoft.EventHub/namespacesMicrosoft.EventHub/namespaces espacio de nombresnamespace
Azure Service BusAzure Service Bus Microsoft.ServiceBus/namespacesMicrosoft.ServiceBus/namespaces espacio de nombresnamespace
Azure RelayAzure Relay Microsoft.Relay/namespacesMicrosoft.Relay/namespaces espacio de nombresnamespace
Azure Event GridAzure Event Grid Microsoft.EventGrid/topicsMicrosoft.EventGrid/topics topictopic
Azure Event GridAzure Event Grid Microsoft.EventGrid/domainsMicrosoft.EventGrid/domains dominiodomain
Azure App ServiceAzure App Service Microsoft.Web/sitesMicrosoft.Web/sites sitessites
Azure Machine LearningAzure Machine Learning Microsoft.MachineLearningServices/workspacesMicrosoft.MachineLearningServices/workspaces amlworkspaceamlworkspace
SignalRSignalR Microsoft.SignalRService/SignalRMicrosoft.SignalRService/SignalR signalRsignalR
Azure MonitorAzure Monitor Microsoft.Insights/privateLinkScopesMicrosoft.Insights/privateLinkScopes azuremonitorazuremonitor
Cognitive ServicesCognitive Services (Microsoft.CognitiveServices/accounts(Microsoft.CognitiveServices/accounts accountaccount
Azure File SyncAzure File Sync Microsoft.StorageSync/storageSyncServicesMicrosoft.StorageSync/storageSyncServices AfsAfs

Seguridad de red de los puntos de conexión privadosNetwork security of private endpoints

Cuando se usan puntos de conexión privados para los servicios de Azure, el tráfico se protege en un recurso de vínculo privado específico.When using private endpoints for Azure services, traffic is secured to a specific private link resource. La plataforma realiza un control de acceso para validar las conexiones de red que solo alcanzan el recurso de vínculo privado especificado.The platform performs an access control to validate network connections reaching only the specified private link resource. Para acceder a recursos adicionales dentro del mismo servicio de Azure, se requieren puntos de conexión privados adicionales.To access additional resources within the same Azure service, additional private endpoints are required.

Puede impedir por completo que las cargas de trabajo accedan a puntos de conexión públicos para conectarse a un servicio de Azure admitido.You can completely lock down your workloads from accessing public endpoints to connect to a supported Azure service. Este control brinda una capa de seguridad de red adicional a los recursos al proporcionar una protección integrada de filtración que impide el acceso a otros recursos hospedados en el mismo servicio de Azure.This control provides an additional network security layer to your resources by providing a built-in exfiltration protection that prevents access to other resources hosted on the same Azure service.

Puede conectarse a un recurso de vínculo privado mediante los siguientes métodos de aprobación de la conexión:You can connect to a private link resource using the following connection approval methods:

  • Aprobación automática cuando posee el recurso de vínculo privado específico o tiene permisos sobre él.Automatically approved when you own or have permission on the specific private link resource. El permiso necesario se basa en el tipo de recurso de vínculo privado con el siguiente formato: Microsoft.<Provider>/<tipo_recurso>/privateEndpointConnectionApproval/actionThe permission required is based on the private link resource type in the following format: Microsoft.<Provider>/<resource_type>/privateEndpointConnectionApproval/action
  • Solicitud manual si no tiene el permiso necesario y desea solicitar acceso.Manual request when you don't have the permission required and would like to request access. Se iniciará un flujo de trabajo de aprobación.An approval workflow will be initiated. El punto de conexión privado y la conexión de punto de conexión privado subsiguiente se crearán en un estado "Pendiente".The private endpoint and subsequent private endpoint connection will be created in a "Pending" state. El propietario del recurso de vínculo privado es responsable de aprobar la conexión.The private link resource owner is responsible to approve the connection. Una vez aprobada, el punto de conexión privado se habilita para enviar el tráfico normalmente, como se muestra en el siguiente diagrama de flujo de trabajo de aprobación.After it's approved, the private endpoint is enabled to send traffic normally, as shown in the following approval workflow diagram.

aprobación de flujo de trabajo

El propietario del recurso de vínculo privado puede realizar las siguientes acciones a través de una conexión de punto de conexión privado:The private link resource owner can perform the following actions over a private endpoint connection:

  • Revisar todos los detalles de las conexiones de los puntos de conexión privados.Review all private endpoint connections details.
  • Aprobar una conexión de punto de conexión privado.Approve a private endpoint connection. El punto de conexión privado correspondiente se habilitará para enviar tráfico al recurso de vínculo privado.The corresponding private endpoint will be enabled to send traffic to the private link resource.
  • Rechazar una conexión de punto de conexión privado.Reject a private endpoint connection. El punto de conexión privado correspondiente se actualizará para reflejar el estado.The corresponding private endpoint will be updated to reflect the status.
  • Eliminar una conexión de punto de conexión privado en cualquier estado.Delete a private endpoint connection in any state. El punto de conexión privado correspondiente se actualizará con un estado desconectado para reflejar la acción. El propietario del punto de conexión privado solo puede eliminar el recurso en este momento.The corresponding private endpoint will be updated with a disconnected state to reflect the action, the private endpoint owner can only delete the resource at this point.

Nota

Solo un punto de conexión privado en un estado aprobado puede enviar tráfico a un recurso de vínculo privado determinado.Only a private endpoint in an approved state can send traffic to a given private link resource.

Conexión mediante aliasConnecting using Alias

El alias es un moniker único que se genera cuando el propietario del servicio crea el servicio de vínculo privado detrás de un equilibrador de carga estándar.Alias is a unique moniker that is generated when the service owner creates the private link service behind a standard load balancer. El propietario del servicio puede compartir este alias con sus consumidores sin conexión.Service owner can share this Alias with their consumers offline. Los consumidores pueden solicitar una conexión al servicio de vínculo privado mediante el URI de recurso o el alias.Consumers can request a connection to private link service using either the resource URI or the Alias. Si desea conectarse mediante el alias, debe crear un punto de conexión privado mediante el método de aprobación de conexión manual.If you want to connect using Alias, you must create private endpoint using manual connection approval method. Para usar el método de aprobación de conexión manual, establezca el parámetro solicitud manual en true durante el flujo de creación del punto de conexión privado.For using manual connection approval method, set manual request parameter to true during private endpoint create flow. Consulte New-AzPrivateEndpoint y az network private-endpoint create para obtener más información.Look at New-AzPrivateEndpoint and az network private-endpoint create for details.

Configuración de DNSDNS configuration

Al conectarse a un recurso de vínculo privado mediante un nombre de dominio completo (FQDN) como parte de la cadena de conexión, es importante establecer correctamente la configuración de DNS para que se resuelva en la dirección IP privada asignada.When connecting to a private link resource using a fully qualified domain name (FQDN) as part of the connection string, it's important to correctly configure your DNS settings to resolve to the allocated private IP address. Es posible que los servicios de Azure existentes ya tengan una configuración de DNS que usar al conectarse a través de un punto de conexión público.Existing Azure services might already have a DNS configuration to use when connecting over a public endpoint. Este se debe invalidar para conectarse con el punto de conexión privado.This needs to be overridden to connect using your private endpoint.

La interfaz de red asociada con el punto de conexión privado contiene el conjunto completo de información necesaria para configurar el DNS, incluidos el FQDN y las direcciones IP privadas asignadas a un recurso de vínculo privado determinado.The network interface associated with the private endpoint contains the complete set of information required to configure your DNS, including FQDN and private IP addresses allocated for a given private link resource.

Para obtener información detallada y completa acerca de los procedimientos recomendados y las recomendaciones para configurar DNS para puntos de conexión privados, consulte el artículo sobre la configuración de DNS en puntos de conexión privados.For complete detailed information about best practices and recommendations to configure DNS for Private Endpoints, please review Private Endpoint DNS configuration article.

LimitacionesLimitations

En la tabla siguiente se incluye una lista de las limitaciones conocidas al usar puntos de conexión privados:The following table includes a list of known limitations when using private endpoints:

LimitaciónLimitation DescripciónDescription MitigaciónMitigation
Las reglas de grupo de seguridad de red (NSG) y las rutas definidas por el usuario no se aplican al punto de conexión privado.Network Security Group (NSG) rules and User Defined Routes do not apply to Private Endpoint El grupo de seguridad de red no se admite en los puntos de conexión privados.NSG is not supported on private endpoints. Si bien las subredes que contienen el punto de conexión privado pueden tener un grupo de seguridad de red asociado, las reglas no serán efectivas en el tráfico procesado por el punto de conexión privado.While subnets containing the private endpoint can have NSG associated with it, the rules will not be effective on traffic processed by the private endpoint. Debe tener la aplicación de directivas de red deshabilitada para implementar puntos de conexión privados en una subred.You must have network policies enforcement disabled to deploy private endpoints in a subnet. El grupo de seguridad de red se sigue aplicando en otras cargas de trabajo hospedadas en la misma subred.NSG is still enforced on other workloads hosted on the same subnet. Las rutas de cualquier subred de cliente utilizarán un prefijo /32, lo que cambia el comportamiento de enrutamiento predeterminado requiere un UDR similar.Routes on any client subnet will be using an /32 prefix, changing the default routing behavior requires a similar UDR Controle el tráfico mediante el uso de reglas del grupo de seguridad de red para el tráfico saliente en los clientes de origen.Control the traffic by using NSG rules for outbound traffic on source clients. Implementación de rutas individuales con un prefijo /32 para invalidar rutas de punto de conexión privado.Deploy individual routes with /32 prefix to override private endpoint routes. Todavía se admiten los registros de flujo de NSG y la información de supervisión de las conexiones salientes y se pueden usar.NSG Flow logs and monitoring information for outbound connections are still supported and can be used

Pasos siguientesNext steps