Configuración de un grupo de seguridad de aplicaciones con un punto de conexión privado

Los puntos de conexión privados de Azure Private Link admiten grupos de seguridad de aplicaciones (ASG) para la seguridad de red. Puede asociar puntos de conexión privados a un ASG existente en la infraestructura actual junto con máquinas virtuales y otros recursos de red.

Requisitos previos

• Una cuenta de Azure con una suscripción activa. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.

• Una aplicación web de Azure con un plan de App Service Premium V2 o superior implementado en su suscripción de Azure.

  • Para más información y ver un ejemplo, consulte Inicio rápido: Creación de una aplicación web ASP.NET Core en Azure.
  • La aplicación web de ejemplo de este artículo se denomina myWebApp1979. Reemplace el ejemplo por el nombre de la aplicación web.

• Un ASG existente en la suscripción. Para más información sobre los grupos de seguridad de aplicaciones, consulte Grupos de seguridad de aplicaciones.

  • El ejemplo de ASG que se usa en este artículo se denomina myASG. Reemplace el ejemplo por su grupo de seguridad de aplicaciones.

• Una red virtual de Azure y una subred existentes en la suscripción. Para más información sobre cómo crear una red virtual, consulte Inicio rápido: Creación de una red virtual con Azure Portal.

  • El ejemplo de red virtual que se usa en este artículo se denomina myVNet. Reemplace el ejemplo por su red virtual.

• La versión más reciente de la CLI de Azure instalada.

  • Compruebe la versión de la CLI de Azure en una ventana de terminal o de comandos, para lo que debe ejecutar az --version. Para saber cuál es la versión más reciente, consulte las notas de la versión más reciente.
  • Si no tiene la versión más reciente de la CLI de Azure, actualícela, para lo que debe seguir las instrucciones que encontrará en la guía de instalación del sistema operativo o de la plataforma.

Si decide instalar y usar PowerShell localmente, en este artículo se requiere la versión 5.4.1 o posterior del módulo de Azure PowerShell. Ejecute Get-Module -ListAvailable Az para ver cuál es la versión instalada. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell. Si PowerShell se ejecuta localmente, también debe ejecutar Connect-AzAccount para crear una conexión con Azure.

Creación de un punto de conexión privado con un ASG

Puede asociar un ASG a un punto de conexión privado cuando se crea. En los procedimientos siguientes se muestra cómo asociar un ASG a un punto de conexión privado cuando se crea.

Portal

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior del portal, escriba Punto de conexión privado. Seleccione Puntos de conexión privados en los resultados de la búsqueda.

3. Seleccione + Crear en Puntos de conexión privados.

4. En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información:

   Value	Configuración
   Detalles del proyecto
   Subscription	Seleccione su suscripción.
   Grupos de recursos	Seleccione el grupo de recursos que necesite. En este ejemplo, es myResourceGroup.
   Detalles de instancia
   Nombre	Escriba myPrivateEndpoint.
   Region	Seleccione Este de EE. UU.

5. Seleccione Siguiente: Recurso en la parte inferior de la página.

6. En la pestaña Recurso , escriba o seleccione la siguiente información:

   Value	Configuración
   Método de conexión	Seleccione Conectarse a un recurso de Azure en mi directorio.
   Subscription	Seleccione su suscripción.
   Tipo de recurso	Seleccione Microsoft.Web/sites.
   Resource	Seleccione mywebapp1979.
   Subrecurso de destino	Seleccione sitios.

7. Seleccione Siguiente: Virtual Network en la parte inferior de la página.

8. En la pestaña Red virtual, escriba o seleccione la siguiente información:

   Value	Configuración
   Redes
   Virtual network	Seleccione myVNet.
   Subnet	Seleccione la subred. En este ejemplo, es myVNet/myBackendSubnet(10.0.0.0/24).
   Habilite las directivas de red para todos los puntos de conexión privados de esta subred.	Deje el valor predeterminado seleccionado.
   Grupo de seguridad de aplicaciones
   Grupo de seguridad de aplicaciones	Seleccione myASG.

   

9. Seleccione Siguiente: DNS en la parte inferior de la página.

10. Seleccione Siguiente: Etiquetas en la parte inferior de la página.

11. Seleccione Siguiente: Review + create (Revisar y crear).

12. Seleccione Crear.

PowerShell

## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979

## Create the private endpoint connection. ## 
$pec = @{
    Name = 'myConnection'
    PrivateLinkServiceId = $webapp.ID
    GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec

## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'

## Place the application security group you created previously into a variable. ##
$asg = Get-AzApplicationSecurityGroup -ResourceGroupName 'myResourceGroup' -Name 'myASG'

## Create the private endpoint. ##
$pe = @{
    ResourceGroupName = 'myResourceGroup'
    Name = 'myPrivateEndpoint'
    Location = 'eastus'
    Subnet = $vnet.Subnets[0]
    PrivateLinkServiceConnection = $privateEndpointConnection
    ApplicationSecurityGroup = $asg
}
New-AzPrivateEndpoint @pe

CLI

id=$(az webapp list \
    --resource-group myResourceGroup \
    --query '[].[id]' \
    --output tsv)

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection \
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group myResourceGroup \
    --subnet myBackendSubnet \
    --asg id=$asgid \
    --group-id sites \
    --vnet-name myVNet    

Asociación de un ASG con un punto de conexión privado existente

Puede asociar un ASG a un punto de conexión privado existente. En los procedimientos siguientes se muestra cómo asociar un ASG a un punto de conexión privado existente.

Importante

Debe tener un punto de conexión privado implementado previamente para continuar con los pasos de esta sección. El ejemplo de punto de conexión usado en esta sección se denomina myPrivateEndpoint. Reemplace el ejemplo por el punto de conexión privado.

Portal

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda de la parte superior del portal, escriba Punto de conexión privado. Seleccione Puntos de conexión privados en los resultados de la búsqueda.

3. En Puntos de conexión privados, seleccione myPrivateEndpoint.

4. En myPrivateEndpoint, en Configuración, seleccione Grupos de seguridad de aplicaciones.

5. En Grupos de seguridad de aplicaciones, seleccione myASG en el cuadro desplegable.

   

6. Seleccione Guardar.

PowerShell

Actualmente no se admite la asociación de un ASG que use un punto de conexión privado existente con Azure PowerShell.

CLI

asgid=$(az network asg show \
    --name myASG \
    --resource-group myResourceGroup \
    --query id \
    --output tsv)

az network private-endpoint asg add \
    --resource-group myResourceGroup \
    --endpoint-name myPrivateEndpoint \
    --asg-id $asgid

Pasos siguientes

Para más información sobre Azure Private Link, consulte:

• ¿Qué es Azure Private Link?