Compartir a través de

Configuración de redes privadas en FinOps Hubs

A medida que las organizaciones adoptan cada vez más servicios en la nube, garantizar un acceso seguro y eficaz a estos recursos es fundamental. Los centros de FinOps ofrecen opciones flexibles para admitir el acceso público o privado a las redes de datos, en función de sus necesidades. En esta guía se explica cómo funciona cada opción de acceso a datos y cómo configurar redes privadas para acceder de forma segura a los datos en los centros de FinOps.


Funcionamiento del acceso público

El acceso público en FinOps Hubs tiene los siguientes rasgos:

  • El acceso se controla a través del control de acceso basado en rol (RBAC) y las comunicaciones cifradas a través de la seguridad de la capa de transporte (TLS).
  • El almacenamiento es accesible a través de direcciones IP públicas (firewall establecido en público).
  • El Explorador de datos (si se implementa) es accesible a través de direcciones IP públicas (firewall configurado para público).
  • Key Vault es accesible a través de direcciones IP públicas (firewall establecido en público).
  • Azure Data Factory está configurado para usar el entorno de ejecución de integración público.

Captura de pantalla de implementaciones accesibles públicamente.


Funcionamiento del acceso privado

El acceso privado es una opción más segura que coloca los recursos de FinOps hubs en una red aislada y limita el acceso a través de redes privadas:

  • El acceso a la red pública está deshabilitado de forma predeterminada.
  • El almacenamiento es accesible a través de la dirección IP privada y los servicios de Azure de confianza: el firewall está configurado para denegar por defecto con excepción para los servicios de la lista de confianza.
  • Explorador de datos (si se implementa) es accesible a través de una dirección IP privada: el firewall se establece en denegación predeterminada sin excepciones.
  • El almacén de claves es accesible a través de una dirección IP privada y servicios de Azure de confianza; el firewall está configurado para denegar por defecto, permitiendo excepciones para los servicios en la lista de confianza.
  • Azure Data Factory está configurado para usar el entorno de ejecución de integración público, lo que ayuda a reducir los costos.
  • Se implementa una red virtual para garantizar que la comunicación entre todos los componentes durante la implementación y en tiempo de ejecución permanece privada.

Captura de pantalla de implementaciones accesibles de forma privada.

Tenga en cuenta que las redes privadas conllevan un costo adicional para los recursos de red, la conectividad y el proceso dedicado en Azure Data Factory. Para obtener una estimación detallada del costo, consulte la calculadora de precios de Azure.


Comparación de las opciones de acceso a la red

En la tabla siguiente se comparan las opciones de acceso a la red disponibles en FinOps Hubs:

Componente Público Privada Ventajas
Almacenamiento Accesible a través de Internet¹ Acceso restringido a la red del centro de FinOps, redes emparejadas (por ejemplo, red virtual corporativa) y servicios de Azure de confianza Solo se puede acceder a los datos cuando están en el trabajo o en la VPN corporativa
Explorador de Datos de Azure Accesible a través de Internet¹ Acceso restringido a la red del centro de FinOps, redes emparejadas (por ejemplo, red virtual corporativa) y servicios de Azure de confianza Solo se puede acceder a los datos cuando están en el trabajo o en la VPN corporativa
Almacén de claves Accesible a través de Internet¹ Acceso restringido a la red del centro de FinOps, redes emparejadas (por ejemplo, red virtual corporativa) y servicios de Azure de confianza Las claves y los secretos nunca son accesibles a través de la red abierta de Internet
Azure Data Factory Usa el grupo de cómputo público Entorno de ejecución de integración administrado en una red privada con el Explorador de datos, el almacenamiento y el almacén de claves Todo el procesamiento de datos se produce dentro de la red
Red virtual No se usa El tráfico del centro de FinOps se produce dentro de una red virtual aislada Todo permanece privado; ideal para entornos regulados

¹ Mientras que los recursos son accesibles a través de Internet, el acceso sigue protegido por el control de acceso basado en rol (RBAC).


Habilitación de redes privadas

Para habilitar las redes privadas al implementar una nueva o actualizar una instancia existente de FinOps Hub, establezca Acceso a privado en la pestaña Opciones avanzadas .

Captura de pantalla de implementaciones privadas seguras.

Antes de habilitar el acceso privado, revise los detalles de red de esta página para comprender la configuración adicional necesaria para conectarse a la instancia del centro. Una vez habilitada, la instancia del centro de FinOps no es accesible hasta que el acceso a la red se configura fuera de la instancia del centro de FinOps. Se recomienda compartirlo con los administradores de red para asegurarse de que el intervalo IP cumple los estándares de red y entiende cómo conectar la instancia del centro a la red existente.


Eliminación de redes privadas

Si necesita reducir los costos o simplificar la implementación de FinOps Hub, puede quitar las redes privadas y volver al acceso público. Este cambio hará lo siguiente:

  • Eliminación de la red virtual y los costos de red asociados
  • Deshabilitación de puntos de conexión privados y zonas DNS
  • Configuración del almacenamiento, el Explorador de datos y Key Vault para usar el acceso público
  • Volver a cambiar Azure Data Factory al entorno de ejecución de integración público

Advertencia

La eliminación de redes privadas es un cambio significativo que afectará a la forma de acceder al centro de FinOps. Asegúrese de que todas las partes interesadas comprendan las implicaciones de seguridad antes de continuar.

Pasos para quitar redes privadas

  1. Planee la transición:

    • Identificación de todos los usuarios y sistemas que actualmente acceden al centro a través de redes privadas
    • Coordinar con los administradores de red sobre el cambio
    • Ventana de mantenimiento de programación, ya que el centro será inaccesible temporalmente durante la transición

  2. Actualice la implementación de FinOps Hub:

    Tiene dos opciones para volver a implementar el centro de FinOps con acceso público:

    Opción 1: Volver a implementar desde la implementación existente

    • Vaya al grupo de recursos de FinOps Hub en Azure Portal.
    • Vaya a la pestaña Implementaciones del grupo de recursos.
    • Búsqueda y apertura de la implementación original de FinOps Hub
    • Haga clic en Volver a implementar.
    • En la pestaña Avanzadas, establezca Acceso a público.
    • Revise todas las demás configuraciones para asegurarse de que permanecen según lo deseado.
    • Implementación de la configuración actualizada

    Opción 2: Implementación de la versión más reciente del kit de herramientas

    • Instalación de la versión actual más reciente del kit de herramientas de FinOps
    • Use el mismo nombre del grupo de recursos, el nombre del centro y el nombre del clúster de Data Explorer que en su implementación existente.
    • Estos valores se pueden obtener de la plantilla de implementación original o del archivo config.json en la cuenta de almacenamiento del centro
    • En la pestaña Avanzadas, establezca Acceso a público.
    • Despliegue con la misma configuración para actualizar su hub existente

  3. Compruebe los cambios:

    • Confirme que las cuentas de almacenamiento, el Explorador de datos y Key Vault son accesibles a través de puntos de conexión públicos.
    • Prueba del acceso a datos desde Power BI y otros sistemas conectados
    • Compruebe que las canalizaciones de Azure Data Factory siguen ejecutándose correctamente

  4. Limpiar recursos de red (opcional):

    • Una vez que haya confirmado que el centro funciona correctamente con el acceso público, puede eliminar los recursos de red para dejar de incurrir en costos de red.
    • Elimine los recursos en el siguiente orden para evitar conflictos de dependencia:
      1. Puntos de conexión privados
      2. Zonas DNS privadas
      3. Red virtual y grupos de seguridad de red (NSG)
    • Tenga cuidado al eliminar los recursos manualmente: asegúrese de que otros sistemas no los usen.

  5. Quite el entorno de ejecución de integración administrado de Azure Data Factory (opcional):

    • Cuando se ha habilitado la red privada, Azure Data Factory puede haber creado un entorno de ejecución de integración administrado para el procesamiento seguro de datos.
    • Aunque dejar el entorno de ejecución de integración administrado no interrumpirá la funcionalidad, conlleva costos continuos.
    • Para la eliminación del entorno de ejecución de integración administrado:
      1. Vaya a la instancia de Azure Data Factory en Azure Portal.
      2. Vaya a Administración>de entornos de ejecución de integración.
      3. Identifique los runtimes de integración administrados que se crearon para redes privadas (normalmente denominados con su instancia de hub).
      4. Detenga y elimine el entorno de ejecución de integración administrado si ya no es necesario.
      5. Compruebe que las canalizaciones de datos siguen funcionando con el entorno de ejecución de integración público.
    • Quitar solo los entornos de ejecución de integración administrados creados específicamente para la configuración de redes privadas del centro de FinOps

Nota:

Después de quitar las redes privadas, los datos del centro de FinOps serán accesibles a través de Internet, aunque siguen protegidos por el control de acceso basado en rol (RBAC) y la seguridad de la capa de transporte (TLS). Revise las directivas de seguridad de su organización para asegurarse de que cumple sus requisitos.

Recomendaciones de seguridad:

  • Compruebe la configuración de seguridad en las cuentas de almacenamiento y los clústeres de Azure Data Explorer para asegurarse de que se alinean con los requisitos de seguridad.
  • Considere la posibilidad de usar grupos de seguridad de red (NSG) o reglas de firewall para restringir el acceso a direcciones IP conocidas, como el firewall corporativo, los puntos de conexión vpn o ubicaciones de oficina específicas.
  • Revise y configure las reglas de acceso de red de la cuenta de almacenamiento para limitar el acceso desde redes de confianza si es necesario.
  • Compruebe que la configuración de red del clúster de Azure Data Explorer está configurada correctamente para los requisitos de acceso.

Red virtual del centro de FinOps

Cuando se selecciona el acceso privado, la instancia del centro de FinOps incluye una red virtual para asegurarse de que la comunicación entre sus distintos componentes permanece privada.

  • La red virtual puede ser cualquier tamaño de subred de /8 a /26, con un mínimo de /26 (64 direcciones IP) necesarias. El valor predeterminado es /26 para conservar las direcciones IP al tiempo que proporciona los tamaños de subred mínimos necesarios para Container Services (que se usan durante las implementaciones para ejecutar scripts) y el Explorador de datos.
  • El intervalo IP se puede establecer en el momento de la implementación y el valor predeterminado es 10.20.30.0/26. Elija una subred más grande (como /24 o menor) si necesita espacio de direcciones adicional para servicios como Puerta de enlace de datos de red virtual de Power BI.

Si es necesario, puede crear la red virtual, las subredes y, opcionalmente, emparejarla con la red central antes de implementar centros de FinOps si sigue estos requisitos:

  • La red virtual debe tener un tamaño mínimo de /26 (64 direcciones IP), pero puede tener un tamaño de hasta /8 (16 777 216 direcciones IP).
  • El nombre debe ser <HubName>-vNet.
  • La red virtual debe dividirse en tres subredes con las delegaciones de servicio según se especifique:
    • private-endpoint-subnet (/28): sin delegaciones de servicio configuradas; hospeda punto de conexión privados para almacenamiento y almacén de claves.
    • script-subnet (/28): delegado a los servicios de contenedor para ejecutar scripts durante la implementación.
    • dataExplorer-subnet (/27): delegado en Azure Data Explorer.

Puntos de conexión privados y DNS

La comunicación entre los distintos componentes del centro de FinOps se cifra mediante TLS. Para que la validación de certificados TLS se realice correctamente al usar redes privadas, se requiere una resolución de nombres de sistema de nombres de dominio (DNS) confiable. Las zonas DNS, los puntos de conexión privados y las entradas DNS garantizan la resolución de nombres entre los componentes del centro de FinOps.

  • privatelink.blob.core.windows.net : para el Explorador de datos y el almacenamiento que usan los scripts de implementación
  • privatelink.dfs.core.windows.net: para Data Explorer y el lago de datos que hospedan la configuración de canalización y datos de FinOps
  • privatelink.table.core.windows.net : para Data Explorer
  • privatelink.queue.core.windows.net : para Data Explorer
  • privatelink.vaultcore.azure.net : para Azure Key Vault
  • privatelink. {location}.kusto.windows.net : para Data Explorer

Importante

No se recomienda modificar la configuración DNS de la red virtual del centro de FinOps. Los componentes de FinOps Hub requieren una resolución de nombres confiable para que las implementaciones y las actualizaciones se realicen correctamente. Las canalizaciones de Data Factory también requieren una resolución de nombres confiable entre componentes.


Emparejamiento de red, enrutamiento y resolución de nombres

Cuando se selecciona el acceso privado, la instancia del centro de FinOps se implementa en una red virtual de radio aislada. Existen varias opciones para habilitar la conectividad privada a la red virtual del centro de FinOps, entre las que se incluyen:

  • Emparejamiento de la red del centro de FinOps con otra red virtual de Azure.
  • Emparejamiento de la red del centro de FinOps con un centro de vWAN de Azure.
  • Extensión del espacio de direcciones de red del centro de FinOps e implementación de una puerta de enlace de VPN.
  • Extensión del espacio de direcciones de red de FinOps Hub e implementación de una puerta de enlace de datos de Power BI.
  • Permitir el acceso de los rangos de IP del firewall corporativo y VPN a través de la red pública de Internet mediante el almacenamiento y los firewalls de Data Explorer.

Para acceder a los datos del centro de FinOps desde una red virtual existente, configure registros A en la red virtual existente para acceder al almacenamiento o al Explorador de datos. Los registros CNAME también pueden ser necesarios en función de la solución DNS.

Obligatorio Nombre Descripción
Obligatorio < >storage_account_name.privatelink.dfs.core.windows.net Un registro para acceder al almacenamiento
Opcional < >storage_account_name.dfs.core.windows.net CNAME al registro A de almacenamiento
Obligatorio <data_explorer_name>.privatelink.<azure_location>.kusto.windows.net Un registro para acceder al Explorador de datos
Opcional < >data_explorer_name.<>azure_location.kusto.windows.net CNAME al registro A de Data Explorer

Importante

Al usar puntos de conexión privados junto con una puerta de enlace de datos de Power BI, asegúrese de usar el nombre de dominio completo (FQDN) del clúster de Azure Data Explorer (como clustername.region.kusto.windows.net) en lugar de la versión abreviada (como clustername.region). Esto garantiza la correcta resolución de nombres para que las funciones del punto de conexión privado funcionen según lo previsto.


Ejemplo de emparejamiento de red

En este ejemplo:

  • La red virtual del centro de FinOps está emparejada con un centro de red.
  • Azure Firewall actúa como núcleo del enrutador.
  • Las entradas DNS para el almacenamiento y el Explorador de datos se agregan a Azure DNS Resolver para garantizar una resolución de nombres fiable.
  • Una tabla de rutas está conectada a la subred de puerta de enlace de red para asegurarse de que el tráfico desde el entorno local puede enrutarse a la red virtual emparejada.

Captura de pantalla de la configuración de emparejamiento de red.

Esta topología de red sigue las instrucciones de arquitectura de red de Hub-Spoke que se describen en Cloud Adoption Framework para Azure y en el Centro de arquitectura de Azure.


Proporcionar comentarios

Déjanos saber cómo lo estamos haciendo con una breve revisión. Usamos estas revisiones para mejorar y expandir herramientas y recursos de FinOps.

Enviar comentarios

Si busca algo específico, vote por una idea existente o cree una idea nueva. Comparta ideas con otros usuarios para obtener más votos. Nos centramos en las ideas con la mayoría de los votos.

Votar o sugerir ideas


Contenido relacionado


  • Last updated on