Inicio rápido: Creación de un punto de conexión privado con la CLI de Azure

Comience a trabajar con Azure Private Link mediante el uso de un punto de conexión privado para conectarse de forma segura a una aplicación web de Azure.

En este inicio rápido, creará un punto de conexión privado para una aplicación web de Azure y, a continuación, creará e implementará una máquina virtual (VM) para probar la conexión privada.

Puede crear puntos de conexión privados para varios servicios de Azure, como Azure SQL y Azure Storage.

Prerrequisitos

• Una cuenta de Azure con una suscripción activa. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.

  Para asegurarse de que la suscripción está activa, inicie sesión en Azure Portal y, a continuación, compruebe la versión mediante la ejecución de az login.

• Una aplicación web de Azure con un plan de servicio de aplicaciones de nivel PremiumV2 o superior implementado en la suscripción de Azure.

  • Para más información y ver un ejemplo, consulte Inicio rápido: Creación de una aplicación web ASP.NET Core en Azure.

  • La aplicación web de ejemplo de este artículo se llama myWebApp1979. Reemplace el ejemplo por el nombre de la aplicación web.

• La versión más reciente de la CLI de Azure instalada.

  Compruebe la versión de la CLI de Azure en una ventana de terminal o de comandos, para lo que debe ejecutar az --version. Para saber cuál es la versión más reciente, consulte las notas de la versión más reciente.

  Si no tiene la versión más reciente de la CLI de Azure, actualícela, para lo que debe seguir las instrucciones que encontrará en la guía de instalación del sistema operativo o de la plataforma.

Crear un grupo de recursos

Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

En primer lugar, cree un grupo de recursos mediante az group create:

az group create \
    --name CreatePrivateEndpointQS-rg \
    --location eastus

Creación de una red virtual y un host bastión

Se requieren una red virtual y una subred para hospedar la dirección IP privada del punto de conexión privado. Creará un host bastión para conectarse de forma segura a la máquina virtual para probar el punto de conexión privado. Creará la máquina virtual en una sección posterior.

Cree una red virtual con az network vnet create.

az network vnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --location eastus \
    --name myVNet \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name myBackendSubnet \
    --subnet-prefixes 10.0.0.0/24

Cree una subred bastión con az network vnet subnet create.

az network vnet subnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name AzureBastionSubnet \
    --vnet-name myVNet \
    --address-prefixes 10.0.1.0/27

Cree una dirección IP pública para el host bastión con az network public-ip create.

az network public-ip create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myBastionIP \
    --sku Standard \
    --zone 1 2 3

Cree el host bastión con az network bastion create.

az network bastion create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myBastionHost \
    --public-ip-address myBastionIP \
    --vnet-name myVNet \
    --location eastus

El host de Azure Bastion tarda unos minutos en implementarse.

Creación de un punto de conexión privado

Se requiere un servicio de Azure que admita puntos de conexión privados para configurar el punto de conexión privado y la conexión a la red virtual. En los ejemplos de este artículo, usará la aplicación web de Azure de los requisitos previos. Para más información sobre los servicios de Azure que admiten un punto de conexión privado, consulte Disponibilidad de Azure Private Link.

Un punto de conexión privado puede tener una dirección IP estática o asignada dinámicamente.

Importante

Debe tener una aplicación web de Azure implementada previamente para continuar con los pasos de este artículo. Para más información, consulte Requisitos previos.

Coloque el identificador de recurso de la aplicación web que creó anteriormente en una variable del shell con az webapp list. Cree el punto de conexión privado con az network private-endpoint create.

IP dinámica

id=$(az webapp list \
    --resource-group CreatePrivateEndpointQS-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name myConnection
    --name myPrivateEndpoint \
    --private-connection-resource-id $id \
    --resource-group CreatePrivateEndpointQS-rg \
    --subnet myBackendSubnet \
    --group-id sites \
    --vnet-name myVNet    

IP estática

id=$(az webapp list \
   --resource-group CreatePrivateEndpointQS-rg \
   --query '[].[id]' \
   --output tsv)

az network private-endpoint create \
   --connection-name myConnection \
   --name myPrivateEndpoint \
   --private-connection-resource-id $id \
   --resource-group CreatePrivateEndpointQS-rg \
   --subnet myBackendSubnet \
   --group-id sites \
   --ip-config name=myIPconfig group-id=sites member-name=sites private-ip-address=10.0.0.10 \
   --vnet-name myVNet

Configuración de la zona DNS privada

Se usa una zona DNS privada para resolver el nombre DNS del punto de conexión privado en la red virtual. En este ejemplo, se usa la información de DNS para una aplicación web de Azure. Para más información sobre la configuración DNS de los puntos de conexión privados, consulte Configuración de DNS del punto de conexión privado de Azure.

Cree una nueva zona DNS privada de Azure con az network private-dns zone create.

az network private-dns zone create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name "privatelink.azurewebsites.net"

Vincule la zona DNS a la red virtual que creó anteriormente con az network private-dns link vnet create.

az network private-dns link vnet create \
    --resource-group CreatePrivateEndpointQS-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name MyDNSLink \
    --virtual-network myVNet \
    --registration-enabled false

Cree un grupo de zona DNS con az network private-endpoint dns-zone-group create.

az network private-endpoint dns-zone-group create \
    --resource-group CreatePrivateEndpointQS-rg \
    --endpoint-name myPrivateEndpoint \
    --name MyZoneGroup \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

Creación de una máquina virtual de prueba

Para comprobar la dirección IP estática y la funcionalidad del punto de conexión privado, se requiere una máquina virtual de prueba conectada a la red virtual.

Cree la máquina virtual con az vm create.

az vm create \
    --resource-group CreatePrivateEndpointQS-rg \
    --name myVM \
    --image Win2019Datacenter \
    --public-ip-address "" \
    --vnet-name myVNet \
    --subnet myBackendSubnet \
    --admin-username azureuser

Nota

Azure proporciona una dirección IP de acceso de salida predeterminado para las máquinas virtuales que no tienen asignada una dirección IP pública o que se encuentran en el grupo de back-end de una instancia de Azure Load Balancer del nivel Básico interna. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La IP de acceso de salida predeterminada está deshabilitada cuando se asigna una IP pública a la máquina virtual, la máquina virtual se coloca en el grupo de back-end de un equilibrador de carga estándar (con o sin reglas de salida) o si se asigna un recurso de puerta de enlace de Azure Virtual Network NAT a la subred de la máquina virtual.

Las máquinas virtuales creadas por conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para obtener más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Prueba de la conectividad con el punto de conexión privado

Use la máquina virtual que creó en el paso anterior para conectarse a la aplicación web mediante el punto de conexión privado.

1. Inicie sesión en Azure Portal.

2. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. Seleccione Máquinas virtuales.

3. Seleccione myVM.

4. En la página de información general para myVM, seleccione Conectar y, luego, Bastion.

5. Escriba el nombre de usuario y la contraseña que usó al crear la máquina virtual. Seleccione Conectar.

6. Después de haberse conectado, abra PowerShell en el servidor.

7. Escriba nslookup mywebapp1979.azurewebsites.net. Reemplace mywebapp1979 por el nombre de la aplicación web que creó anteriormente. Recibirá un mensaje similar al siguiente ejemplo:

   Server:  UnKnown
   Address:  168.63.129.16
   
   Non-authoritative answer:
   Name:    mywebapp1979.privatelink.azurewebsites.net
   Address:  10.0.0.10
   Aliases:  mywebapp1979.azurewebsites.net
   

8. En la conexión de bastión a myVM, abra el explorador web.

9. Escriba la dirección URL de la aplicación web, https://mywebapp1979.azurewebsites.net.

   Si la aplicación web no se ha implementado, aparecerá la siguiente página predeterminada de la aplicación web:

   

10. Cierre la conexión con myVM.

Limpieza de recursos

Cuando ya no se necesiten, use el comando az group delete para quitar el grupo de recursos, el servicio de vínculo privado, el equilibrador de carga y todos los recursos relacionados.

  az group delete \
    --name CreatePrivateEndpointQS-rg

Pasos siguientes

Para más información sobre los servicios que admiten puntos de conexión privados, consulte:

¿Qué es Azure Private Link?