Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Private Link servicio le ayuda a exponer de forma privada sus propias aplicaciones, como las que se ejecutan en máquinas virtuales (VM), dentro de una red virtual Azure. El servicio Private Link ayuda a clientes de Azure u otros clientes en las redes a conectarse de forma segura sin direcciones IP públicas, lo que garantiza que el tráfico permanezca dentro de la red de Azure.
Al usar Azure, relibilidad es una responsabilidad compartida. Microsoft proporciona una variedad de capacidades para admitir resiliencia y recuperación. Es responsable de comprender cómo funcionan esas funcionalidades dentro de todos los servicios que usa y de seleccionar las funcionalidades que necesita para cumplir los objetivos empresariales y los objetivos de tiempo de actividad.
Este artículo se centra en el servicio Private Link y los puntos de conexión privados asociados como mecanismo de conectividad. Describe el comportamiento del nivel de plataforma y del plano de control durante errores transitorios, interrupciones de zona de disponibilidad y interrupciones en toda la región.
Nota:
Este artículo se centra en el servicio Private Link, que facilita la conectividad privada con las aplicaciones que ejecutas en tus propias máquinas virtuales. Si usa puntos de conexión privados con otros servicios de Azure, por ejemplo, Azure Storage o Azure SQL Database, debe revisar en su lugar las guías de confiabilidad de esos servicios para obtener información de confiabilidad sobre sus puntos de conexión privados.
Importante
La confiabilidad de la solución general depende de la configuración de los servidores back-end a los que se conecta Private Link servicio. Estos servidores backend pueden ser máquinas virtuales de Azure, conjuntos de escalado de máquinas virtuales de Azure o puntos de conexión externos. La confiabilidad de la solución también depende de la configuración de equilibradores de carga y de otros componentes de red.
Los servidores back-end no están en el ámbito de este artículo, pero sus configuraciones de disponibilidad afectan directamente a la resistencia de la aplicación. Para comprender cómo cada servicio admite sus requisitos de confiabilidad, revise las guías de confiabilidad de todos los servicios Azure de la solución. Puede lograr la confiabilidad de un extremo a otro para la aplicación asegurándose de que los servidores back-end también están configurados para alta disponibilidad y redundancia de zona.
Introducción a la arquitectura de confiabilidad
El servicio Private Link ayuda a sus clientes a conectarse de forma privada a sus cargas de trabajo en Azure. Como proveedor de servicios, usted implementa un recurso de servicio Private Link. Los consumidores de servicios crean puntos de conexión privados en sus propias redes virtuales de Azure. Estos puntos de conexión se conectan de forma segura y privada a las aplicaciones a través de Azure Private Link. Esta configuración no expone direcciones IP públicas, incluso cuando un consumidor usa el punto de conexión privado desde un entorno local a través de Azure ExpressRoute u otro método de conectividad privado.
Normalmente, un servicio de Private Link se asocia a un equilibrador de carga de Azure que se coloca delante de los recursos de backend, como máquinas virtuales o conjuntos de escalado de máquinas virtuales. También puede usar Private Link servicio Direct Connect (versión preliminar), lo que facilita la conectividad a cualquier dirección IP enrutable privada dentro de la red virtual. Si usa Private Link servicio Direct Connect, revise la documentación cuidadosamente para comprender los requisitos, la disponibilidad de regiones y las limitaciones.
Importante
El servicio Private Link Direct Connect está actualmente en fase de vista previa.
Consulte los Términos Suplementarios de Uso para las Vistas Previas de Microsoft Azure para conocer los términos legales que se aplican a las funcionalidades de Azure que están en beta, en vista previa, o que de otro modo no están generalmente disponibles.
Resistencia a errores transitorios
Los errores transitorios son errores breves e intermitentes en los componentes. Se producen con frecuencia en un entorno distribuido como la nube y son una parte normal de las operaciones. Los errores transitorios se corrigen después de un breve período de tiempo. Es importante que las aplicaciones puedan controlar errores transitorios, normalmente mediante el reintento de solicitudes afectadas.
Todas las aplicaciones hospedadas en la nube deben seguir las instrucciones de control de errores transitorios Azure cuando se comunican con cualquier API, bases de datos y otros componentes hospedados en la nube. Para obtener más información, consulte Recomendaciones para controlar errores transitorios.
Al implementar un servicio de Private Link con Standard Load Balancer, revise las recomendaciones de control de errores transient para Azure Load Balancer y asegúrese de que el equilibrador de carga está configurado para controlar errores transitorios.
Resistencia a errores de zona de disponibilidad
El servicio de Private Link es automáticamente resistente a los fallos de zona de disponibilidad cuando se implementa en una región que admite zonas de disponibilidad. Los proveedores de servicios no necesitan configurar nada para habilitar este comportamiento.
Diagrama que muestra tres secciones verticales organizadas en paralelo que representan tres zonas de disponibilidad independientes. Un equilibrador de carga interno con redundancia de zona y el servicio Private Link abarcan las tres zonas. Cada zona tiene una instancia de backend. El servicio Private Link se conecta al equilibrador de carga, que se conecta a todas las instancias de backend.
Los puntos de conexión privados se distribuyen automáticamente entre zonas de disponibilidad en la región. Los consumidores de servicios no necesitan crear puntos de conexión privados independientes en distintas zonas.
Requisitos
Compatibilidad de la región: Puede implementar servicios de Private Link con redundancia de zona en cualquier región que admita zonas de disponibilidad.
Dependencia del equilibrador de carga: Si usa el servicio Private Link con un equilibrador de carga en el backend, configure también el equilibrador de carga con redundancia de zona para garantizar la resistencia de la zona de un extremo a otro. Para obtener más información, consulte Reliability in Load Balancer.
Cost
No hay ningún costo adicional asociado a la compatibilidad con las zonas de disponibilidad para el servicio Private Link.
Configurar soporte de zonas de disponibilidad
La compatibilidad con las zonas de disponibilidad se habilita automáticamente al implementar el servicio Private Link en una región que admita zonas de disponibilidad.
Comportamiento cuando todas las zonas están en buen estado
En esta sección se describe qué esperar cuando los servicios Private Link y los puntos de conexión privados admiten zonas de disponibilidad y todas las zonas están operativas.
Operación entre zonas: El tráfico a través de un punto de conexión privado y un servicio de "Private Link" puede enrutarse a través de cualquier zona de disponibilidad.
Replicación de datos entre zonas: Private Link no realiza la replicación de datos entre zonas porque es un servicio sin estado para la conectividad.
Comportamiento durante un fallo de zona
En esta sección se describe qué esperar cuando los servicios de Private Link y los puntos de conexión privados admiten zonas de disponibilidad y hay una interrupción en una de las zonas.
- Detección y respuesta: Microsoft es responsable de detectar errores de zona de disponibilidad y administrar la respuesta del servicio.
- Notification: Microsoft no le notifica automáticamente cuando una zona está inactiva. Sin embargo, puede usar Azure Service Health para comprender el estado general del servicio, incluidos los errores de zona, y puede configurar alertas de Service Health para notificarle problemas.
Solicitudes activas: Es posible que las solicitudes activas se finalicen durante un error de zona de disponibilidad. Los consumidores del servicio deben reintentar las solicitudes con errores después de interrupciones transitorias, de forma similar a otros errores transitorios.
Pérdida de datos esperada: No se produce ninguna pérdida de datos porque Private Link es un servicio sin estado para la conectividad.
Tiempo de inactividad esperado: Es posible que se produzca un error en las conexiones existentes que se conectan a través de la zona con errores. Si los componentes backend, como el equilibrador de carga y los servidores de aplicaciones, siguen estando disponibles, los consumidores del servicio pueden reintentar inmediatamente la conexión y las solicitudes se enrutan a través de la infraestructura de otra zona.
Redistribución: Cuando se produce un error en una sola zona de disponibilidad, el servicio enruta el tráfico nuevo a través de zonas correctas, lo que continúa funcionando.
Es poco probable que las máquinas virtuales de la zona de disponibilidad afectada permanezcan operativas durante una interrupción de zona. Sin embargo, si un error de zona parcial hace que Private Link no esté disponible en la zona afectada mientras las máquinas virtuales de esa zona siguen funcionando, las conexiones salientes a las máquinas virtuales de la zona afectada se redirigen a través de la infraestructura de Private Link en otra zona.
El tiempo de inactividad de la aplicación también puede producirse si los componentes dependientes, como equilibradores de carga o máquinas virtuales de back-end, no son resilientes a la zona.
Recuperación de zona
Cuando se recupera la zona de disponibilidad afectada, Microsoft administra automáticamente el proceso de conmutación inversa. No se requiere ninguna acción del cliente.
Prueba de fallos de zona
La plataforma Private Link administra el enrutamiento del tráfico, la conmutación por error y la conmutación por recuperación para los servicios de Private Link y puntos de conexión privados en zonas de disponibilidad. Dado que esta característica está totalmente administrada, no es necesario validar los procesos de error de zona de disponibilidad.
Resistencia a errores en toda la región
El servicio Private Link es un servicio regional único. El servicio no incluye funciones nativas multirregionales ni recuperación automática frente a errores entre regiones. Si una región de Azure deja de estar disponible, Private Link servicios de esa región tampoco están disponibles.
Soluciones personalizadas de varias regiones para la resistencia
Si diseña un enfoque de red que abarca varias regiones, debe implementar servicios de Private Link independientes en cada región. Es responsable de la implementación y administración del servicio Private Link. Los consumidores de servicios son responsables de la configuración del punto de conexión privado en los servicios Private Link de cada región. Los consumidores del servicio también son responsables de enrutar el tráfico al servicio Private Link adecuado.
Copias de seguridad y restauración
Private Link servicio no almacena los datos del cliente y no requiere copia de seguridad ni restauración. Para volver a crear configuraciones, considere la posibilidad de mantener plantillas de infraestructura como código (IaC) para los recursos de red. Los servicios Private Link son de solo configuración y no almacenan datos de clientes, por lo que los esfuerzos de respaldo deben centrarse en las plantillas de IaC para reimplementación rápida.
Acuerdo de nivel de servicio
El acuerdo de nivel de servicio (SLA) para Azure servicios describe la disponibilidad esperada de cada servicio y las condiciones que la solución debe cumplir para lograr esa expectativa de disponibilidad. Para obtener más información, vea SLAs for servicios en línea.