Usar puntos de conexión privados para el control de acceso
Puede usar puntos de conexión privados para el recurso de Azure Web PubSub para permitir que los clientes de una red virtual (VNet) accedan de forma segura a los datos a través de un vínculo privado. El punto de conexión privado usa una dirección IP del espacio de direcciones de la red virtual para el recurso de Web PubSub. El tráfico de red entre los clientes de la red virtual y el recurso de Web PubSub atraviesa un vínculo privado en la red de Microsoft, lo que elimina la exposición en la red pública de Internet.
El uso de puntos de conexión privados para el recurso de Web PubSub le ayuda a:
- Proteger el recurso de Web PubSub mediante el control de acceso de red para bloquear todas las conexiones en el punto de conexión público para Web PubSub.
- Aumentar la seguridad de la red virtual, ya que le permitirá bloquear la filtración de datos de la red virtual.
- Conectarse de forma segura a Web PubSub desde redes locales que se conecten a la red virtual mediante una VPN o Azure ExpressRoute con emparejamiento privado.
Usar puntos de conexión privados en una red virtual
Un punto de conexión privado es una interfaz de red especial para un servicio de Azure de una red virtual. Al crear un punto de conexión privado para el recurso de Web PubSub, este proporciona conectividad segura entre los clientes de la red virtual y el servicio. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de la red virtual. La conexión entre el punto de conexión privado y Web PubSub usa un vínculo privado seguro.
Las aplicaciones de la red virtual pueden conectarse a recursos de Web PubSub sin problemas mediante el punto de conexión privado. Las aplicaciones usan las mismas cadenas de conexión y mecanismos de autorización que usarían en caso contrario.
Los puntos de conexión privados se pueden usar con todos los protocolos que admite el recurso de Web PubSub, incluida la API de REST.
Al crear un punto de conexión privado para un recurso de Web PubSub en la red virtual, se envía una solicitud de consentimiento para su aprobación al propietario del recurso de Web PubSub. Si el usuario que solicita el punto de conexión privado también es propietario del recurso de Web PubSub, esta solicitud de consentimiento se aprueba automáticamente.
Puede administrar solicitudes de consentimiento y puntos de conexión privados para el recurso de Web PubSub en la pestaña Puntos de conexión privados de Azure Portal.
Sugerencia
Si desea restringir el acceso al recurso de Web PubSub solo a través del punto de conexión privado, configure el control de acceso de red para denegar o controlar el acceso a través del punto de conexión público.
Conexión a un punto de conexión privado
Los clientes de una red virtual que usa un punto de conexión privado deben usar la misma cadena de conexión para el recurso de Web PubSub que los clientes que se conectan a través de un punto de conexión público. Nos basamos en la resolución del sistema de nombres de dominio (DNS) para enrutar automáticamente las conexiones de la red virtual a Web PubSub a través de un vínculo privado.
Importante
Use la misma cadena de conexión para conectarse a Web PubSub mediante puntos de conexión privados que usaría para un punto de conexión público. No se conecte a Web PubSub mediante su dirección URL de subdominio privatelink
.
De forma predeterminada, se crea una zona DNS privada conectada a la red virtual con las actualizaciones necesarias para los puntos de conexión privados. Si usa su propio servidor DNS, es posible que tenga que realizar otros cambios en la configuración de DNS. En la sección siguiente se describen las actualizaciones necesarias para los puntos de conexión privados.
Cambios de DNS en puntos de conexión privados
Al crear un punto de conexión privado, el registro de recursos CNAME de DNS para el recurso de Web PubSub se actualiza a un alias de un subdominio que tiene el prefijo privatelink
. De forma predeterminada, también se crea una zona DNS privada, que se corresponde con el subdominio privatelink
, con los registros de recursos A de DNS para los puntos de conexión privados.
Al resolver el nombre de dominio del recurso de Web PubSub desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público del recurso de Web PubSub. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, el nombre de dominio se resuelve en la dirección IP de este.
Para el ejemplo ilustrado anteriormente, los registros de recursos DNS para el recurso de Web PubSub sample
cuando se resuelve desde fuera de la red virtual que hospeda el punto de conexión privado:
Nombre | Tipo | Value |
---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | <Dirección IP pública de Web PubSub> |
Puede denegar o controlar el acceso de los clientes fuera de la red virtual a través del punto de conexión público mediante el control de acceso a la red.
Los registros de recursos DNS del recurso de Web PubSub sample
cuando se resuelven mediante un cliente de la red virtual que hospeda el punto de conexión privado es similar a este ejemplo:
Nombre | Tipo | Value |
---|---|---|
sample.webpubsub.azure.com |
CNAME | sample.privatelink.webpubsub.azure.com |
sample.privatelink.webpubsub.azure.com |
A | 10.1.1.5 |
Este enfoque proporciona acceso a Web PubSub mediante la misma cadena de conexión para clientes en la red virtual que hospeda el punto de conexión privado y para clientes fuera de la red virtual.
Si usa un servidor DNS personalizado en la red, los clientes deben ser capaces de resolver el nombre de dominio completo (FQDN) del punto de conexión del recurso de Web PubSub en la dirección IP del punto de conexión privado. Debe configurar el servidor DNS para delegar el subdominio del vínculo privado en la zona DNS privada de la red virtual, o bien configurar los registros D para sample.privatelink.webpubsub.azure.com
para usar la dirección IP del punto de conexión privado.
Sugerencia
Si usa un servidor DNS personalizado o local, debe configurarlo para resolver el nombre del recurso de Web PubSub en el subdominio privatelink
en la dirección IP del punto de conexión privado. Para ello, puede delegar el subdominio privatelink
en la zona DNS privada de la red virtual, o bien configurar la zona DNS en el servidor DNS y, a continuación, agregar los registros D de DNS.
Se recomienda usar privatelink.webpubsub.azure.com
para el nombre de zona DNS para los puntos de conexión privados en un recurso de Web PubSub.
Para más información sobre cómo configurar su propio servidor DNS para que admita puntos de conexión privados, consulte los artículos siguientes:
- Resolución de nombres de recursos en redes virtuales de Azure
- Configuración de DNS para puntos de conexión privados
Creación de un punto de conexión privado
En las secciones siguientes se describe cómo crear un punto de conexión privado y una nueva instancia de Web PubSub y cómo crear un punto de conexión privado para una instancia existente de Web PubSub.
Crear un punto de conexión privado en una nueva instancia de Web PubSub
En Azure Portal, cree una nueva instancia de Azure Web PubSub. En la pestaña Redes, en Método de conectividad, seleccione Punto de conexión privado.
Seleccione Agregar. Seleccione o escriba la suscripción, el nombre del grupo de recursos, la región de Azure y un nombre para el nuevo punto de conexión privado. Elija una red virtual y una subred para usar.
Seleccione Revisar + crear.
Crear un punto de conexión privado para un recurso de Web PubSub existente
En Azure Portal, vaya al recurso de Web PubSub.
En el menú de la izquierda, en Configuración, seleccione Conexiones de punto de conexión privado.
Seleccione Punto de conexión privado.
Seleccione o introduzca valores para la suscripción, el grupo de recursos, el nombre del recurso y la región para el nuevo punto de conexión privado.
Seleccione el recurso de Web PubSub de destino.
Seleccione la red virtual de destino.
Seleccione Revisar + crear.
Precios
Para más información sobre los precios, consulte Precios de Azure Private Link.
Problemas conocidos
Tenga en cuenta los siguientes problemas conocidos sobre el uso de puntos de conexión privados en Web PubSub.
Restricciones de nivel Gratis
Una instancia de Azure Web PubSub que se crea mediante el nivel Gratis no se puede integrar con un punto de conexión privado.
Restricciones de acceso para los clientes de redes virtuales con puntos de conexión privados
Los clientes de redes virtuales que tienen puntos de conexión privados existentes tienen restricciones cuando acceden a otras instancias de Web PubSub que tienen puntos de conexión privados. Por ejemplo, una red virtual N1 tiene un punto de conexión privado para una instancia de Web PubSub W1. Si la instancia de Web PubSub W2 tiene un punto de conexión privado en una red virtual N2, los clientes de la red virtual N1 también deben acceder a la instancia de Web PubSub W2 mediante un punto de conexión privado.
Si la instancia de Web PubSub W2 no tiene ningún punto de conexión privado, los clientes de la red virtual N1 pueden acceder al recurso Web PubSub de esa cuenta sin usar un punto de conexión privado. Esta restricción es el resultado de los cambios de DNS realizados cuando la instancia de Web PubSub W2 crea un punto de conexión privado.