Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Puede usar private endpoints para las cuentas de Azure Storage para permitir que los clientes de un Azure Virtual Network accedan de forma segura a los datos a través de un Private Link. El punto de conexión privado usa una dirección IP independiente del espacio de direcciones de la red virtual para cada servicio de cuenta de almacenamiento. El tráfico de red entre los clientes de la red virtual y la cuenta de almacenamiento atraviesa la red virtual y un vínculo privado en la red troncal de Microsoft, lo que elimina la exposición de la red pública de Internet.
Nota:
Los puntos de conexión privados no están disponibles para cuentas de almacenamiento v1 de uso general.
El uso de puntos de conexión privados en una cuenta de almacenamiento permite:
- Proteja la cuenta de almacenamiento mediante un vínculo privado. Puede configurar manualmente el firewall de almacenamiento para bloquear las conexiones en el punto de conexión público del servicio de almacenamiento. La creación de un vínculo privado no bloquea automáticamente las conexiones en el punto de conexión público.
- Aumentar la seguridad de la red virtual, ya que permite bloquear la filtración de datos de la red virtual.
- Conéctese de forma segura a cuentas de almacenamiento desde redes locales que se conecten a la red virtual mediante VPN o ExpressRoutes con emparejamiento privado.
Información general conceptual
Un punto de conexión privado es una interfaz de red especial para un servicio de Azure en el Virtual Network. Al crear un punto de conexión privado para la cuenta de almacenamiento, proporciona conectividad segura entre los clientes de la red virtual y el almacenamiento. Al punto de conexión privado se le asigna una dirección IP del intervalo de direcciones IP de su red virtual. La conexión entre el punto de conexión privado y el servicio de almacenamiento usa un vínculo privado seguro.
Las aplicaciones de la red virtual pueden conectarse al servicio de almacenamiento a través del punto de conexión privado sin problemas, mediante las mismas cadenas de conexión y mecanismos de autorización que usarían de lo contrario. Los puntos de conexión privados se pueden usar con todos los protocolos que admita la cuenta de almacenamiento, incluidos REST y SMB.
Los puntos de conexión privados se pueden crear en subredes que usan puntos de conexión de servicio. Por lo tanto, los clientes de una subred pueden conectarse a una cuenta de almacenamiento mediante un punto de conexión privado, al mismo tiempo que usan puntos de conexión de servicio para acceder a otras.
Al crear un punto de conexión privado para un servicio de almacenamiento en la red virtual, se envía una solicitud de consentimiento para su aprobación al propietario de la cuenta de almacenamiento. Si el usuario que solicita la creación del punto de conexión privado también es propietario de la cuenta de almacenamiento, esta solicitud de consentimiento se aprueba automáticamente.
Los propietarios de cuentas de almacenamiento pueden administrar solicitudes de consentimiento y los puntos de conexión privados a través de la pestaña "Private" de la cuenta de almacenamiento en el portal Azure portal.
Sugerencia
Si desea restringir el acceso a una cuenta de almacenamiento de modo que solo se pueda realizar mediante el punto de conexión privado, configure el firewall de almacenamiento para denegar o controlar todo acceso que se realice mediante el punto de conexión público.
Puede proteger la cuenta de almacenamiento para que solo acepte conexiones de la red virtual mediante la configuración del firewall de almacenamiento para denegar el acceso a través de su punto de conexión público de forma predeterminada. No necesita una regla de firewall para permitir el tráfico desde una red virtual que tenga un punto de conexión privado, ya que el firewall de almacenamiento solo controla el acceso a través del punto de conexión público. En su lugar, los puntos de conexión privados usan el flujo de consentimiento para conceder el acceso de las subredes al servicio de almacenamiento.
Además, cuando se configura un punto de conexión privado, siempre se permite el tráfico desde la red virtual asociada, incluso si el acceso a la red pública está deshabilitado en la cuenta de almacenamiento.
Nota:
Cuando se copian blobs entre cuentas de almacenamiento, el cliente debe tener acceso a redes en ambas cuentas. Por consiguiente, si elige usar un vínculo privado para una sola cuenta (ya sea el origen o el destino), asegúrese de que el cliente tiene acceso a redes en la otra cuenta. Para obtener información sobre otras formas de configurar el acceso a la red, consulte Configure Azure Storage firewalls y redes virtuales.
Creación de un punto de conexión privado
Para crear un punto de conexión privado mediante el portal de Azure, consulte Conéctese de forma privada a una cuenta de almacenamiento desde la experiencia de la Cuenta de Almacenamiento en el portal de Azure.
Para crear un punto de conexión privado mediante PowerShell o el CLI de Azure, consulte cualquiera de estos artículos. Ambos incluyen una aplicación web Azure como servicio de destino, pero los pasos para crear un vínculo privado son los mismos para una cuenta de Azure Storage.
Al crear un punto de conexión privado, debe especificar la cuenta de almacenamiento y el servicio de almacenamiento al que se conecta.
Necesita un punto de conexión privado independiente para cada recurso de almacenamiento al que necesite acceder, es decir, Blobs, Data Lake StorageFiles, Queues, Tables o Static Websites. En el punto de conexión privado, estos servicios de almacenamiento se definen como el recurso secundario de destino de la cuenta de almacenamiento asociada.
Si crea un punto de conexión privado para el recurso de almacenamiento de Data Lake Storage, también debe crear uno para el recurso de Blob Storage. Esto se debe a que las operaciones que tienen como destino el punto de conexión de Data Lake Storage podrían redirigirse al punto de conexión de Blob. Del mismo modo, si agrega un punto de conexión privado solo para Blob Storage y no para Data Lake Storage, algunas operaciones (como Administrar ACL, Crear directorio, Eliminar directorio, etc.) producirán un error, ya que las API requieren un punto de conexión privado DFS. Al crear un punto de conexión privado para ambos recursos, se asegura de que todas las operaciones se puedan completar correctamente.
Sugerencia
Cree un punto de conexión privado independiente para la instancia secundaria del servicio de almacenamiento para mejorar el rendimiento de lectura en las cuentas de almacenamiento con redundancia geográfica con acceso de lectura. Asegúrese de crear una cuenta de almacenamiento de uso general v2 (Estándar o Premium).
Para obtener acceso de lectura a la región secundaria con una cuenta de almacenamiento configurada para el almacenamiento con redundancia geográfica se necesitan puntos de conexión privados para las instancias principal y secundaria del servicio. No es preciso crear un punto de conexión privado para la instancia secundaria para la conmutación por error. El punto de conexión privado se conectará automáticamente a la nueva instancia principal después de la conmutación por error. Para obtener más información sobre las opciones de redundancia de almacenamiento, consulte Azure Storage redundancia.
Conexión a un punto de conexión privado
Los clientes de una red virtual que usan el punto de conexión privado deben usar el mismo cadena de conexión para la cuenta de almacenamiento que los clientes que se conectan al punto de conexión público. Nos basamos en la resolución DNS para enrutar automáticamente las conexiones de la red virtual a la cuenta de almacenamiento a través de un vínculo privado.
Importante
Use la misma cadena de conexión para conectarse a la cuenta de almacenamiento mediante puntos de conexión privados, tal como la usaría en otras ocasiones. No se conecte a la cuenta de almacenamiento mediante su URL de subdominio .
De forma predeterminada, creamos una zona DNS privada conectada a la red virtual con las actualizaciones necesarias para los puntos de conexión privados. Sin embargo, si usa su propio servidor DNS, puede que tenga que realizar cambios adicionales en la configuración de DNS. En la sección Cambios de DNS que aparece a continuación se describen las actualizaciones necesarias para los puntos de conexión privados.
Cambios de DNS en puntos de conexión privados
Nota:
Para obtener más información sobre cómo configurar la configuración de DNS para puntos de conexión privados, consulte Azure Private Endpoint DNS configuration.
Al crear un punto de conexión privado, el registro del recurso CNAME de DNS de la cuenta de almacenamiento se actualiza a un alias de un subdominio con el prefijo . De forma predeterminada, también se crea una zona DNS privada, que se corresponde con el subdominio , con los registros de recursos D de DNS para los puntos de conexión privados.
Cuando se resuelve la dirección URL del punto de conexión de almacenamiento desde fuera de la red virtual con el punto de conexión privado, se resuelve en el punto de conexión público del servicio de almacenamiento. Cuando se resuelve desde la red virtual que hospeda el punto de conexión privado, la dirección URL del punto de conexión de almacenamiento se resuelve en la dirección IP del punto de conexión privado.
Para el ejemplo ilustrado anterior, los registros de recursos DNS de la cuenta de almacenamiento "StorageAccountA", cuando se resuelvan desde fuera de la red virtual que hospeda el punto de conexión privado, serán:
| Nombre | Tipo | Importancia |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
CNAME | Punto de conexión público del servicio Storage |
| Punto de conexión público del servicio Storage | A | Dirección IP pública del servicio Storage |
Como se mencionó anteriormente, puede denegar o controlar el acceso de los clientes fuera de la red virtual a través del punto de conexión público mediante el firewall de almacenamiento.
Los registros de recursos DNS de StorageAccountA, cuando lo resuelva un cliente de la red virtual que hospeda el punto de conexión privado, serán:
| Nombre | Tipo | Importancia |
|---|---|---|
StorageAccountA.blob.core.windows.net |
CNAME | StorageAccountA.privatelink.blob.core.windows.net |
StorageAccountA.privatelink.blob.core.windows.net |
A | 10.1.1.5 |
Este enfoque permite el acceso a la cuenta de almacenamiento mediante la misma cadena de conexión para los clientes de la red virtual que hospeda los puntos de conexión privados y los clientes que están fuera de la red virtual.
Si va a usar un servidor DNS personalizado en la red, los clientes deben ser capaces de resolver el FQDN del punto de conexión de la cuenta de almacenamiento en la dirección IP del punto de conexión privado. Debe configurar el servidor DNS para delegar el subdominio private link a la zona DNS privada de la red virtual o configurar los registros A para con la dirección IP del punto de conexión privado.
Sugerencia
Cuando use un servidor DNS personalizado o local, debe configurarlo para resolver el nombre de la cuenta de almacenamiento del subdominio en la dirección IP del punto de conexión privado. Para ello, delega el subdominio a la zona DNS privada de la red virtual o configure la zona DNS en el servidor DNS y agregue los registros A de DNS.
Los nombres de zona DNS recomendados para los puntos de conexión privados para los servicios de almacenamiento y los recursos secundarios de destino del punto de conexión asociados son:
| Servicio de Storage | Recurso secundario de destino | Nombre de zona |
|---|---|---|
| Blob service | blob | privatelink.blob.core.windows.net |
| Almacenamiento de Lago de Datos | DFS | privatelink.dfs.core.windows.net |
| Servicio de archivos | archivo | privatelink.file.core.windows.net |
| Queue service | cola | privatelink.queue.core.windows.net |
| Servicio de mesa | table | privatelink.table.core.windows.net |
| Sitios web estáticos | web | privatelink.web.core.windows.net |
Para más información sobre cómo configurar su propio servidor DNS para que admita puntos de conexión privados, consulte los siguientes artículos:
- Resolución de nombres para recursos en redes virtuales de Azure
- Configuración de DNS para puntos de conexión privados
Precios
Para obtener más información sobre los precios, consulte precios Azure Private Link.
Problemas conocidos
Tenga en cuenta los siguientes problemas conocidos sobre los puntos de conexión privados para Azure Storage.
Restricciones de acceso de almacenamiento para clientes en redes virtuales con puntos de conexión privados
Los clientes de redes virtuales con puntos de conexión privados existentes enfrentan restricciones al acceder a otras cuentas de almacenamiento que tienen puntos de conexión privados. Por ejemplo, supongamos que una red virtual N1 tiene un punto de conexión privado para una cuenta de almacenamiento A1 para Blob Storage. Si la cuenta de almacenamiento A2 tiene un punto de conexión privado en una red virtual N2 para Blob Storage, los clientes de la red virtual N1 también deben acceder a Blob Storage en la cuenta A2 mediante un punto de conexión privado. Si la cuenta de almacenamiento A2 no tiene ningún punto de conexión privado para Blob Storage, los clientes de la red virtual N1 pueden acceder a Blob Storage en esa cuenta sin un punto de conexión privado.
Esta restricción es el resultado de los cambios de DNS realizados cuando la cuenta A2 crea un punto de conexión privado.
Copia de blobs entre cuentas de almacenamiento
Solo puede copiar blobs entre cuentas de almacenamiento mediante puntos de conexión privados si usa la API REST de Azure o las herramientas que usan la API REST. Estas herramientas incluyen AzCopy, Explorador de Storage, Azure PowerShell, CLI de Azure y los SDK de Azure Blob Storage.
Solo se admiten los puntos de conexión privados que tienen como destino el punto de conexión de recursos de almacenamiento de o . Esto incluye llamadas a la API REST en cuentas de Data Lake Storage en las que se hace referencia explícita o implícitamente al punto de conexión de recursos /blob. Todavía no se admiten los puntos de conexión privados que tienen como destino el punto de conexión de recursos Data Lake Storage dfs. Todavía no se admite la copia entre cuentas de almacenamiento mediante el protocolo Network File System (NFS).
Pasos siguientes
- Configuración de DNS de Azure para punto de conexión privado
- Configurar firewalls y redes virtuales de Azure Storage
- Recomendaciones de seguridad para Blob Storage