Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo usar Private Link para restringir el acceso a la administración de recursos en las suscripciones. Los vínculos privados permiten acceder a los servicios de Azure a través de un punto de conexión privado en la red virtual. Esto evita la exposición del servicio a la red pública de Internet.
En este artículo se describe el proceso de configuración de Private Link mediante Azure Portal.
Importante
Puede habilitar esta característica en categorías, por una tarifa adicional.
Nota:
La capacidad de usar vínculos privados con Azure Notification Hubs está actualmente en versión preliminar. Si tiene interés en usar esta característica, póngase en contacto con el administrador del equipo de éxito del cliente de Microsoft o cree una incidencia de soporte técnico de Azure.
Creación de un punto de conexión privado junto con un nuevo centro de notificaciones en el portal
El procedimiento siguiente crea un punto de conexión privado junto con un nuevo centro de notificaciones mediante Azure Portal:
Cree un centro de notificaciones y seleccione la pestaña Redes .
Seleccione Acceso privado y, después, Crear.
Rellene la suscripción, el grupo de recursos, la ubicación y un nombre para el nuevo punto de conexión privado. Elija una red virtual y una subred. En Integrar con zona DNS privada, seleccione Sí y escriba privatelink.notificationhub.windows.net en el cuadro Zona DNS privada .
Seleccione Aceptar para ver la confirmación del espacio de nombres y la creación del centro con un punto de conexión privado.
Seleccione Crear para crear el centro de notificación con un punto de conexión privado.
Creación de un punto de conexión privado para un centro de notificaciones existente en el portal
En el portal, en el lado izquierdo de la sección Seguridad y redes, seleccione Notification Hubs y, a continuación, redes.
Seleccione la pestaña Acceso privado.
Rellene la suscripción, el grupo de recursos, la ubicación y un nombre para el nuevo punto de conexión privado. Elija una red virtual y una subred. Selecciona Crear.
Creación de un punto de conexión privado mediante la CLI
Inicie sesión en la CLI de Azure y establezca una suscripción:
az login az account set --subscription <azure_subscription_id>Cree un nuevo grupo de recursos:
az group create -n <resource_group_name> -l <azure_region>Registre Microsoft.NotificationHubs como proveedor:
az provider register -n Microsoft.NotificationHubsCree un nuevo espacio de nombres y un centro de Notification Hubs:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>Cree una red virtual con una subred:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>Deshabilitar directivas de red virtual:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies trueAgregue zonas DNS privadas y vincúlelas a una red virtual:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notificationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled trueCree un punto de conexión privado (aprobado automáticamente):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>Creación de un punto de conexión privado (con aprobación de solicitud manual):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-requestMostrar el estado de conexión:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Administración de puntos de conexión privados mediante el portal
Cuando se crea un punto de conexión privado, se debe aprobar la conexión. Si el recurso para el que va a crear un punto de conexión privado está en el directorio, puede aprobar la solicitud de conexión, siempre que tenga permisos suficientes. Si se va a conectar a un recurso de Azure en otro directorio, debe esperar a que el propietario de ese recurso apruebe la solicitud de conexión.
Hay cuatro estados de aprovisionamiento:
| Acción del servicio | Estado de punto de conexión privado del consumidor del servicio | Descripción |
|---|---|---|
| Ninguno | Pendiente | La conexión se crea manualmente y está pendiente de aprobación por el propietario del recurso de Private Link. |
| Aprobar | Aprobado | La conexión se aprobó de forma automática o manual y está lista para usarse. |
| Rechazar | Rechazado | El propietario del recurso de vínculo privado rechazó la conexión. |
| Eliminar | Desconectado | El propietario del recurso de vínculo privado quitó la conexión. El punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza. |
Aprobación, rechazo o eliminación de una conexión de punto de conexión privado
- Inicie sesión en Azure Portal.
- En la barra de búsqueda, escriba Notification Hubs.
- Seleccione el espacio de nombres que desea administrar.
- Seleccione la pestaña Redes.
- Vaya a la sección adecuada en función de la operación que desea aprobar, rechazar o quitar.
Aprobar una conexión de punto de conexión privado
Si hay conexiones pendientes, se muestra una conexión con Pendiente en el estado de aprovisionamiento.
Seleccione el punto de conexión privado que quiere aprobar.
Seleccione Aprobar.
En la página Aprobar conexión , escriba un comentario opcional y seleccione Sí. Si selecciona No, no ocurrirá nada.
Debería ver el estado de la conexión en la lista cambiar a Aprobado.
Rechazar una conexión de punto de conexión privado
Si hay alguna conexión de punto de conexión privado que quiera rechazar, ya sea una solicitud pendiente o una conexión existente aprobada anteriormente, seleccione el icono de conexión del punto de conexión y seleccione Rechazar.
En la página Rechazar conexión , escriba un comentario opcional y seleccione Sí. Si selecciona No, no ocurrirá nada.
Debería ver el estado de la conexión en la lista cambiar a Rechazado.
Eliminar una conexión de punto de conexión privado
Para quitar una conexión de punto de conexión privado, selecciónela en la lista y seleccione Quitar en la barra de herramientas:
En la página Eliminar conexión, seleccione Sí para confirmar la eliminación del punto de conexión privado. Si selecciona No, no ocurrirá nada.
Debería ver el estado de la conexión en la lista cambiar a Desconectado. Después, el punto de conexión desaparece de la lista.
Validación de que la conexión de vínculo privado funciona
Debe validar que los recursos dentro de la red virtual del punto de conexión privado se conecten a su espacio de nombres de Notification Hubs a través de una dirección IP privada, y que tengan la correcta integración de la zona DNS privada.
En primer lugar, cree una máquina virtual siguiendo los pasos descritos en Creación de una máquina virtual Windows en Azure Portal.
Haga clic en la pestaña Redes:
- Especifique la red virtual y la subred. Debe seleccionar la instancia de Virtual Network en la que implementó el punto de conexión privado.
- Especifique un recurso de dirección IP pública.
- En Grupo de seguridad de red de NIC, seleccione Ninguno.
- En Equilibrio de carga, seleccione No.
Conéctese a la máquina virtual, abra una línea de comandos y ejecute el siguiente comando:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
Cuando el comando se ejecuta desde la máquina virtual, devuelve la dirección IP de la conexión del punto de conexión privado. Cuando se ejecuta desde una red externa, devuelve la dirección IP pública de uno de los clústeres de Notification Hubs.
Limitaciones y consideraciones de diseño
Limitaciones: esta característica está disponible en todas las regiones públicas de Azure. Número máximo de puntos de conexión privados por espacio de nombres de Notification Hubs: 200
Para más información, consulte Servicio Azure Private Link: Limitaciones.