Configuración del acceso privado en Azure App Configuration

En este artículo, aprenderá a configurar el acceso privado para el almacén de Azure App Configuration mediante la creación de un punto de conexión privado con Azure Private Link. Los puntos de conexión privados permiten el acceso al almacén de App Configuration mediante una dirección IP privada desde una red virtual.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita.
• Suponemos que ya dispone de un almacén de App Configuration. Si desea crear uno, cree un almacén de App Configuration.

Inicio de sesión en Azure

Primero deberá iniciar sesión en Azure para acceder al servicio App Configuration.

Portal

Inicie sesión en Azure Portal en https://portal.azure.com/ con su cuenta de Azure.

CLI de Azure

Inicie sesión en Azure con el comando az login en la CLI de Azure.

az login

Este comando solicitará al explorador web que inicie y cargue una página de inicio de sesión de Azure. Si no se puede abrir el explorador web, use el flujo de código del dispositivo con az login --use-device-code. Para más opciones de inicio de sesión, vaya a Iniciar sesión con la CLI de Azure.

Creación de un punto de conexión privado

Portal

1. En el almacén de App Configuration, en Configuración, seleccione Redes.

2. Seleccione la pestaña Acceso privado y, a continuación, Crear para empezar a configurar un nuevo punto de conexión privado.

   

3. Rellene el formulario con la siguiente información:

   Parámetro	Descripción	Ejemplo
   Suscripción	Seleccione una suscripción de Azure. El punto de conexión privado debe estar en la misma suscripción que la red virtual. Más adelante en esta guía paso a paso, seleccionará una red virtual.	MyAzureSubscription
   Resource group	seleccione un grupo de recursos o cree uno.	MyResourceGroup
   Nombre	Escriba un nombre para el nuevo punto de conexión privado para el almacén de App Configuration. Al usar Azure Portal, el nombre de la conexión del punto de conexión privado será el mismo que el nombre del punto de conexión privado. En los almacenes de App Configuration, los nombres de la conexión de los puntos de conexión privados deben ser únicos.	MyPrivateEndpoint
   Nombre de la interfaz de red	Este campo se completa automáticamente. Opcionalmente, edite el nombre de la interfaz de red.	MyPrivateEndpoint-nic
   Region	Seleccione una región. El punto de conexión privado debe estar en la misma región que la red virtual.	Centro de EE. UU.

   

4. Seleccione Siguiente: Recurso>. Private Link ofrece opciones para crear puntos de conexión privados para diferentes tipos de recursos de Azure, como servidores SQL Server, cuentas de almacenamiento de Azure o almacenes de App Configuration. El almacén de App Configuration actual se rellena automáticamente en el campo Recurso, ya que es el recurso al que se conecta el punto de conexión privado.

   1. El tipo de recurso Microsoft.AppConfiguration/configurationStores y el subrecurso de destino configurationStores indican que está creando un punto de conexión para un almacén de App Configuration.

   2. El nombre del almacén de configuración aparece en Recurso.

   

5. Seleccione Siguiente: Red virtual>.

   1. Seleccione una Red virtual existente en la que implementar el punto de conexión privado. Si no tiene una red virtual, cree una.

   2. Seleccione una Subred de la lista.

   3. Active la casilla Habilitar directivas de red para todos los puntos de conexión privados de esta subred.

   4. En Configuración de IP privada, seleccione la opción para asignar direcciones IP dinámicamente. Para obtener más información, consulte Direcciones IP privadas.

   5. Opcionalmente, puede seleccionar o crear un grupo de seguridad de la aplicación. Los grupos de seguridad de la aplicación permiten agrupar máquinas virtuales y definir directivas de seguridad de red basadas en dichos grupos.

   

6. Seleccione Siguiente: DNS> para configurar un registro DNS. Si no desea realizar cambios en la configuración predeterminada, puede avanzar a la pestaña siguiente.

   1. Para Integrar con la zona DNS privada, seleccione Sí para integrar el punto de conexión privado en una zona DNS privada. También se pueden usar los servidores DNS propios o bien crear registros DNS con los archivos de host de las máquinas virtuales.

   2. Se preselecciona una suscripción y un grupo de recursos para la zona DNS privada. Puede cambiarlos opcionalmente.

   

   Para más información sobre la configuración de DNS, vaya a Resolución de nombres para recursos en redes virtuales de Azure y Configuración de DNS para puntos de conexión privados.

7. Seleccione Siguiente: Etiquetas> y, opcionalmente, cree etiquetas. Las etiquetas son pares nombre-valor que permiten categorizar los recursos y ver una facturación consolidada mediante la aplicación de la misma etiqueta en varios recursos y grupos de recursos.

   

8. Seleccione Siguiente: Revisar y crear> para revisar la información sobre el almacén de App Configuration, el punto de conexión privado, la red virtual y DNS. También puede seleccionar Descargar una plantilla para la automatización para reutilizar los datos JSON de este formulario más adelante.

   

9. Seleccione Crear.

Una vez completada la implementación, recibirá una notificación de que se ha creado el punto de conexión. Si se aprueba automáticamente, puede empezar a acceder al almacén de configuración de la aplicación de forma privada; de lo contrario, tendrá que esperar la aprobación.

CLI de Azure

1. Para configurar el punto de conexión privado, necesita una red virtual. Si aún no tiene una, créela con az network vnet create. Reemplace los textos de marcador de posición <vnet-name>, <rg-name> y <subnet-name> por un nombre para la nueva red virtual, un nombre de grupo de recursos y un nombre de subred.

   az network vnet create --name <vnet-name> --resource-group <rg-name> --subnet-name <subnet-name> --location <vnet-location>
   

   Marcador de posición	Descripción	Ejemplo
   <vnet-name>	Escriba un nombre para la red virtual. Una red virtual permite que los recursos de Azure se comuniquen entre sí de forma privada y con Internet.	MyVNet
   <rg-name>	Escriba el nombre de un grupo de recursos existente para la red virtual.	MyResourceGroup
   <subnet-name>	Escriba un nombre para la nueva subred. Una subred es una red dentro de otra red. Aquí es donde se asigna la dirección IP privada.	MySubnet
   <vnet-location>	Escriba una región de Azure. La red virtual debe estar en la misma región que el punto de conexión privado.	centralus

2. Ejecute el comando az appconfig show para recuperar las propiedades del almacén de App Configuration para el que desea configurar el acceso privado. Reemplace el marcador de posición name por el nombre o el almacén de App Configuration.

   az appconfig show --name <name>
   

   Este comando genera una salida con información sobre el almacén de App Configuration. Anote el valor de id. Por ejemplo: /subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore.

3. Ejecute el comando az network private-endpoint create para crear un punto de conexión privado para el almacén de App Configuration. Sustituya los texto del marcador de posición <resource-group>, <private-endpoint-name>, <vnet-name>, <private-connection-resource-id>, <connection-name> y <location> por su propia información.

   az network private-endpoint create --resource-group <resource-group> --name <private-endpoint-name> --vnet-name <vnet-name> --subnet Default --private-connection-resource-id <private-connection-resource-id> --connection-name <connection-name> --location <location> --group-id configurationStores
   

   Marcador de posición	Descripción	Ejemplo
   <resource-group>	Escriba el nombre de un grupo de recursos existente para el punto de conexión privado.	MyResourceGroup
   <private-endpoint-name>	Escriba un nombre para el nuevo punto de conexión privado.	MyPrivateEndpoint
   <vnet-name>	Escriba el nombre de una red virtual existente.	Myvnet
   <private-connection-resource-id>	Escriba el identificador de recurso de conexión privada del almacén de App Configuration. Este es el identificador que guardó de la salida del paso anterior.	/subscriptions/123/resourceGroups/MyResourceGroup/providers/Microsoft.AppConfiguration/configurationStores/MyAppConfigStore
   <connection-name>	Escriba un nombre de conexión. En los almacenes de App Configuration, los nombres de la conexión de los puntos de conexión privados deben ser únicos.	MyConnection
   <location>	Escriba una región de Azure. El punto de conexión privado debe estar en la misma región que la red virtual.	centralus

Administración de una conexión de vínculo privado

Portal

Vaya a Redes>Acceso privado en el almacén de App Configuration para acceder a los puntos de conexión privados vinculados a su almacén de App Configuration.

1. Compruebe el estado de conexión de la conexión de vínculo privado. Cuando se crea un punto de conexión privado, se debe aprobar la conexión. Si el recurso para el que va a crear un punto de conexión privado está en el directorio y tiene permisos suficientes, la solicitud de conexión se aprobará automáticamente. De lo contrario, deberá esperar a que el propietario de ese recurso apruebe su solicitud de conexión. Para más información sobre los modelos de aprobación de conexión, vaya a Administración de puntos de conexión privados de Azure.

2. Para aprobar, rechazar o quitar manualmente una conexión, active la casilla situada junto al punto de conexión que desea editar y seleccione un elemento de acción en el menú superior.

   

3. Seleccione el nombre del punto de conexión privado para abrir el recurso de punto de conexión privado y obtener acceso a más información o para editar el punto de conexión privado.

CLI de Azure

Revisión de los detalles de la conexión del punto de conexión privado

Ejecute el comando az network private-endpoint-connection list para revisar todas las conexiones de punto de conexión privado vinculadas al almacén de App Configuration y comprobar su estado de conexión. Reemplace los textos del marcador de posición resource-group y <app-config-store-name> por el nombre del grupo de recursos y el nombre del almacén.

az network private-endpoint-connection list --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Opcionalmente, para obtener los detalles de un punto de conexión privado específico, use el comando az network private-endpoint-connection show. Reemplace los textos del marcador de posición resource-group y app-config-store-name por el nombre del grupo de recursos y el nombre del almacén.

az network private-endpoint-connection show --resource-group <resource-group> --name <app-config-store-name> --type Microsoft.AppConfiguration/configurationStores

Obtención de la aprobación de la conexión

Cuando se crea un punto de conexión privado, se debe aprobar la conexión. Si el recurso para el que va a crear un punto de conexión privado está en el directorio y tiene permisos suficientes, la solicitud de conexión se aprobará automáticamente. De lo contrario, deberá esperar a que el propietario de ese recurso apruebe su solicitud de conexión.

Para aprobar una conexión de punto de conexión privado, use el comando az network private-endpoint-connection approve. Reemplace los textos del marcador de posición resource-group, private-endpoint y <app-config-store-name> por el nombre del grupo de recursos, el nombre del punto de conexión privado y el nombre del almacén.

az network private-endpoint-connection approve --resource-group <resource-group> --name <private-endpoint> --type Microsoft.AppConfiguration/configurationStores --resource-name <app-config-store-name>

Para más información sobre los modelos de aprobación de conexión, vaya a Administración de puntos de conexión privados de Azure.

Elimina una conexión de punto de conexión privado.

Para eliminar una conexión de punto de conexión privado, use el comando az network private-endpoint-connection delete. Reemplace los textos del marcador de posición resource-group y private-endpoint por el nombre del grupo de recursos y el nombre del punto de conexión privado.

az network private-endpoint-connection delete --resource-group <resource-group> --name <private-endpoint>

Para más comandos de la CLI, vaya a az network private-endpoint-connection.

Si tiene problemas con un punto de conexión privado, consulte la siguiente guía: Solución de problemas de conectividad del punto de conexión privado de Azure.

Pasos siguientes

Uso de puntos de conexión privados para Azure App Configuration

Deshabilitar el acceso público en Azure App Configuration