Configuración de puntos de conexión privados para cuentas de Device Update for IoT Hub

Artículo
06/01/2023

Puede usar puntos de conexión privados para permitir que el tráfico viaje directamente desde la red virtual a la cuenta, de forma segura, mediante el uso de un vínculo privado y sin tener que usar la red pública de Internet. El punto de conexión privado asigna una de las direcciones IP del espacio de direcciones de la VNet a la cuenta. Para más información conceptual, consulte Seguridad de las redes.

En este artículo se describe cómo configurar los puntos de conexión privados para las cuentas.

Puede usar Azure Portal o la CLI de Azure a fin de crear un punto de conexión privado para una cuenta.

No hay requisitos previos para Azure Portal.

Un entorno de la CLI de Azure:

Use el entorno de Bash en Azure Cloud Shell.
O bien, si prefiere ejecutar comandos de referencia de la CLI localmente, instale la CLI de Azure.
- Inicie sesión en la CLI de Azure mediante el comando az login.
- Ejecute az version para buscar cuál es la versión y las bibliotecas dependientes que están instaladas. Para realizar la actualización a la versión más reciente, ejecute az upgrade.
- Cuando se le solicite, instale las extensiones de la CLI de Azure la primera vez que lo use. Los comandos de este artículo usan la extensión azure-iot. Ejecute az extension update --name azure-iot para asegurarse de usar la versión más reciente de la extensión.

Configuración de puntos de conexión privados desde la cuenta de Device Update

En Azure Portal, puede crear un punto de conexión privado desde la cuenta de Device Update. Estas conexiones de punto de conexión privado se aprueban automáticamente y no necesitan los pasos adicionales de revisión y aprobación descritos en el resto de este artículo.

Inicie sesión en Azure Portal y vaya a la cuenta o al dominio.
Abra la pestaña Redes de la página de la cuenta. Si desea limitar el acceso para que solo pueda usarse el punto de conexión privado, deshabilite el Acceso de red público.
Abra la pestaña Acceso privado y, en la barra de herramientas, seleccione + Agregar.
En la página Aspectos básicos, proporcione la información siguiente para el punto de conexión privado:
- Suscripción: la suscripción de Azure donde quiere crear el punto de conexión privado.
- Grupo de recursos: un grupo de recursos existente o nuevo para el punto de conexión privado.
- Nombre: un nombre para el punto de conexión. Este valor se usa para generar automáticamente el nombre de la interfaz de red.
- Región: una región de Azure para el punto de conexión. Aunque el punto de conexión privado debe ubicarse en la misma región que la red virtual, sí que puede ubicarse en una región distinta de la cuenta de Device Update.
La página Recurso se rellena automáticamente.
En la página Red virtual, seleccione la subred y la red virtual en la que quiera implementar el punto de conexión privado.
- Red virtual: en la lista desplegable, solo se muestran las redes virtuales de la suscripción y la ubicación seleccionadas actualmente.
- Subred: seleccione una subred de la red virtual que ha seleccionado.
En la página DNS, a menos que vaya a usar un DNS personalizado, use los valores que se han rellenado previamente.
En la página Etiquetas, cree cualquier etiqueta (nombres y valores) que desee asociar al recurso de punto de conexión privado.
En la página Revisar y crear, revise toda la configuración y seleccione Crear para crear el punto de conexión privado.

Configuración de puntos de conexión privados desde Private Link Center

Si no tiene acceso a la cuenta de Device Update, puede crear puntos de conexión privados desde Private Link Center. En caso de que el usuario que cree la conexión no tenga la capacidad de aprobarla, la conexión se creará en un estado pendiente.

Puede usar Azure Portal o la CLI de Azure para crear puntos de conexión privados.

Azure Portal
CLI de Azure

En Azure Portal, vaya a Private Link Center>Puntos de conexión privados y seleccione +Crear.
En la página Aspectos básicos, proporcione la información siguiente para el punto de conexión privado:
- Suscripción: la suscripción de Azure donde quiere crear el punto de conexión privado.
- Grupo de recursos: un grupo de recursos existente o nuevo para el punto de conexión privado.
- Nombre: un nombre para el punto de conexión. Este valor se usa para generar automáticamente el nombre de la interfaz de red.
- Región: una región de Azure para el punto de conexión. Aunque el punto de conexión privado debe ubicarse en la misma región que la red virtual, sí que puede ubicarse en una región distinta de la cuenta de Device Update.
Rellene todos los campos obligatorios de la pestaña Recurso.
- Método de conexión: seleccione Connect to an Azure resource by resource ID or alias (Conectarse a un recurso de Azure por id. de recurso o alias).
- Id. de recurso o alias: escriba el id. de recurso de la cuenta de Device Update. Puede recuperar el id. de recurso de una cuenta de Device Update desde Azure Portal; para ello, seleccione Vista JSON en la página Información general. O bien, puede recuperarlo mediante el comando az iot device-update account show y la consulta del valor de identificador az iot du account show -n <account_name> --query id.
- Subrecurso de destino: su valor debe ser DeviceUpdate.
En la página Red virtual, seleccione la subred y la red virtual en la que quiera implementar el punto de conexión privado.
- Red virtual: en la lista desplegable, solo se muestran las redes virtuales de la suscripción y la ubicación seleccionadas actualmente.
- Subred: seleccione una subred de la red virtual que ha seleccionado.
En la página DNS, a menos que vaya a usar un DNS personalizado, use los valores que se han rellenado previamente.
En la página Etiquetas, cree cualquier etiqueta (nombres y valores) que desee asociar al recurso de punto de conexión privado.
En la página Revisar y crear, revise toda la configuración y seleccione Crear para crear el punto de conexión privado.

Use el comando az network private-endpoint create para crear un punto de conexión privado.

Reemplace los marcadores de posición siguientes por su propia información:

RESOURCE_GROUP_NAME: nombre del grupo de recursos.
PRIVATE_ENDPOINT_NAME: nombre del punto de conexión privado.
PRIVATE_LINK_CONNECTION_NAME: nombre de la conexión del servicio de vínculo privado.
VIRTUAL_NETWORK_NAME: nombre de una red virtual existente asociada a la subred.
SUBNET_NAME: nombre o id. de una subred existente. Si usa un nombre de subred, también debe incluir el nombre de la red virtual. Si usa un id. de subred, puede omitir el parámetro --vnet-name.
DEVICE_UPDATE_RESOURCE_ID: puede recuperar el id. de recurso de una cuenta de Device Update desde Azure Portal; para ello, seleccione Vista JSON en la página Información general. O bien, puede recuperarlo mediante el comando az iot device-update account show y la consulta del valor de identificador az iot du account show -n <account_name> --query id.
LOCATION: nombre de la región de Azure. Aunque el punto de conexión privado debe ubicarse en la misma región que la red virtual, sí que puede ubicarse en una región distinta de la cuenta de Device Update.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

Puede eliminar un punto de conexión privado con el comando az network private-endpoint delete.

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Administración de conexiones de vínculo privado

Si crea un punto de conexión privado que deba esperar una aprobación manual, la conexión deberá aprobarse antes de poder usarse. Si el recurso para el que va a crear un punto de conexión privado está en el directorio, puede aprobar la solicitud de conexión siempre que tenga permisos suficientes. Si se va a conectar a un recurso de Azure en otro directorio, debe esperar a que el propietario de ese recurso apruebe la solicitud de conexión.

Hay cuatro estados de aprovisionamiento:

Acción del servicio	Estado de punto de conexión privado del consumidor del servicio	Descripción
None	Pending	La conexión se crea manualmente y está pendiente de aprobación por parte del propietario del recurso de Private Link.
Aprobación	Aprobado	La conexión se aprobó de forma automática o manual y está lista para usarse.
Reject	Rechazada	El propietario del recurso de vínculo privado rechazó la conexión.
Remove	Escenario desconectado	El propietario del recurso del vínculo privado quitó la conexión, el punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza.

Azure Portal
CLI de Azure

Revisión de una conexión pendiente desde la cuenta de Device Update

En Azure Portal, vaya a la cuenta de Device Update que quiere administrar.
Seleccione la pestaña Redes.
Si hay alguna conexión pendiente, verá una conexión que aparece con el estado Pendiente como estado de aprovisionamiento.
Use la casilla para seleccionar la conexión pendiente y, después, seleccione Aprobar o Rechazar.

Revisión de una conexión pendiente desde Private Link Center

En Azure Portal, vaya a Private Link Center>Conexiones pendientes.
Use la casilla para seleccionar la conexión pendiente y, después, seleccione Aprobar o Rechazar.

Use el comando az iot du account private-endpoint-connection set para administrar la conexión del punto de conexión privado.

Reemplace los marcadores de posición siguientes por su propia información:

ACCOUNT_NAME: nombre de la cuenta de Device Update.
PRIVATE_LINK_CONNECTION_NAME: nombre de la conexión del servicio de vínculo privado.
STATUS: Approved o Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Pasos siguientes

Obtenga información acerca de los conceptos de seguridad de red.

Share via