Qué es un Private Link en Azure

Última actualización: 10/07/2024 – Oscar Fernandez

La seguridad y eficiencia en la gestión de datos son cruciales en la nube. Azure Private Link permite acceder de forma privada a servicios PaaS y SaaS. Este enfoque mejora la seguridad al enrutar todo el tráfico a través del backbone de Azure, evitando la exposición a Internet.

Azure Private Link

¿Qué es un Azure Private Link?

Un private link en Azure nos permite acceder a servicios PaaS o SaaS, por ejemplo Databricks o Snowflake mediante una interfaz de red con una IP privada en tu red virtual. Esta interfaz de red se llama Private Endpoint, y se encarga de conectar de forma privada a estos servicios.

Todo el tráfico entre tu red privada y el servicio (que también se encuentra en Azure) se enruta por el backbone de Azure, por lo que no se expone a internet, incrementando la seguridad y protegiendo contra filtraciones de datos.

Private Link también se integra con Azure Monitor, donde podrás encontrar los logs y datos asociados a los dos componentes.

Es posible crear varios Private Endpoints en la misma red de Azure, uno por cada servicio al que se quiera conectar. También es posible conectar varios Private Endpoints a un único Private Link.

Aunque no es necesario, es una buena idea disponer de una red dedicada en la que crear los Private Endpoint que necesitemos. De esta forma, podemos simplificar los controles de tráfico de red y firewalls hacia servicios externos.

Ejemplo 1: Databricks

En Databricks existen varios tipos de Private Link:

1. Back End Private Link

Nos asegura la conectividad privada entre la subnet donde residen los clústers de Databricks y el Control Plane.

Los clusters Databricks se comunican con el Control Plane para tareas de administración, telemetría, etc. Cuando se activa la opción SCC (Secure Cluster Connectivity), los recursos de cómputo de Databricks no tienen IPs públicas.

Para conectar con el Control Plane, los cluster inician una conexión HTTPS contra el componente llamado SCC Relay en una IP diferente a la que expone para la interfaz web y la API REST. Este tráfico de datos viaja también por el Backbone de Microsoft.

2. Front End Private Link

Nos permite acceder a los servicios que proporciona el control plane de databricks con conectividad privada:

  • Interfaz web (Notebooks, SQL Editor, …)
  • API REST y Databricks Connect API
  • Endpoints JDBC/ODBC e integración con Power BI
Diagrama Private Link Databricks
Diagrama Private Link Databricks

Databricks también permite configurar la autenticación del navegador, para poder hacer login a Databricks desde Entra ID para clientes sin conectividad pública a internet. Si los clientes tienen conectividad a internet, esta funcionalidad está recomendada pero no es necesaria.

3. DBFS Private Link

Permite conectar las storage account con el filesystem de Databricks. Este private link también se usa al hacer consultas SQL que devuelven más de 1 MB de datos. En este caso, el conector recupera la información de DBFS mediante la funcionalidad llamada Cloud Fetch, que aumenta el rendimiento en consultas con gran volumetría.

Ejemplo 2: Snowflake

Snowflake también dispone de dos Private Links disponibles en Azure. Por un lado, el de acceso al servicio y a la cuenta y, por otro lado, el de las Internal Stage, que no es más que una Storage Account de apoyo para almacenar resultados.

Diagrama Private Link Snowflake
Diagrama Private Link Snowflake

El uso de estos Private Links permite bloquear el acceso público al tenant de Snowflake. Mediante políticas de tráfico de red, podemos limitar que solamente las direcciones IP de un rango pueden acceder.

Preguntas Frecuentes

¿Cuál es la diferencia entre Private Link y Private Endpoint?

La diferencia principal es que es posible conectar un servicio de Private Link con varios Private Endpoints, pero un Private Endpoint solo puede conectar a un Private Link.

El Private Endpoint es la interfaz de red con IP privada que se encuentra en tu red. Un Private Link es un servicio proporcionado por Azure que gestiona la conexión con el destino.

Formación Recomendada en Azure

Complementa tu formación de Azure con el examen AZ-900. Estos cursos contienen tutoriales y explicaciones en vídeo que te facilitarán mucho el aprendizaje.

Curso oficial microsoft az-900

Microsoft Azure Fundamentals AZ-900 Preparación al examen

Este es el curso de especialización ofrecido por Microsoft directamente en Coursera para prepararte la certificación AZ-900. Repasa todo el temario a través de 4 módulos: servicios cloud en Azure, soluciones de gestión y seguridad, servicios y ciclos de vida y por último preparación para el examen.

Implementación de soluciones en Microsoft Azure

Implementación de soluciones en Microsoft Azure

Este curso disponible en Udemy en español te ayudará a aprender desde cero a implementar soluciones en Azure. Contiene más de 31 horas de vídeo de contenido.

Microsoft Azure - Guía para principiantes + AZ-900 - 2021

Microsoft Azure – Guía para principiantes + AZ-900 – 2024

Este curso es similar anterior pero en inglés. Te ayudará a preparar la certificación además de proporcionarte más de 240 preguntas para que puedas practicar.

Deja una respuesta