Compartir a través de


Inicio rápido: Creación de un punto de conexión privado con la CLI de Azure

Comience a trabajar con Azure Private Link creando y usando un punto de conexión privado para conectarse de forma segura a una aplicación web de Azure.

En este inicio rápido, creará un punto de conexión privado para una aplicación web de Azure App Services y, a continuación, creará e implementará una máquina virtual (VM) para probar la conexión privada.

Puede crear puntos de conexión privados para varios servicios de Azure, como Azure SQL y Azure Storage.

Diagrama de los recursos creados en el inicio rápido del punto de conexión privado.

Requisitos previos

  • Una cuenta de Azure con una suscripción activa. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.

  • Una aplicación web de Azure con un plan de servicio de aplicaciones de nivel PremiumV2 o superior implementado en la suscripción de Azure.

Crear un grupo de recursos

Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

En primer lugar, cree un grupo de recursos mediante az group create:

az group create \
    --name test-rg \
    --location eastus2

Creación de una red virtual y un host bastión

Se requieren una red virtual y una subred para hospedar la dirección IP privada del punto de conexión privado. Se crea un host bastión para conectarse de forma segura a la máquina virtual para probar el punto de conexión privado. La máquina virtual se crea en una sección posterior.

Nota:

Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

Cree una red virtual con az network vnet create.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Cree una subred bastión con az network vnet subnet create.

az network vnet subnet create \
    --resource-group test-rg \
    --name AzureBastionSubnet \
    --vnet-name vnet-1 \
    --address-prefixes 10.0.1.0/26

Cree una dirección IP pública para el host bastión con az network public-ip create.

az network public-ip create \
    --resource-group test-rg \
    --name public-ip \
    --sku Standard \
    --zone 1 2 3

Cree el host bastión con az network bastion create.

az network bastion create \
    --resource-group test-rg \
    --name bastion \
    --public-ip-address public-ip \
    --vnet-name vnet-1 \
    --location eastus2

El host de Azure Bastion tarda unos minutos en implementarse.

Creación de un punto de conexión privado

Se requiere un servicio de Azure que admita puntos de conexión privados para configurar el punto de conexión privado y la conexión a la red virtual. Para los ejemplos de este artículo, utilice la Azure WebApp de los requisitos previos. Para más información sobre los servicios de Azure que admiten un punto de conexión privado, consulte Disponibilidad de Azure Private Link.

Un punto de conexión privado puede tener una dirección IP estática o asignada dinámicamente.

Importante

Debe tener una Azure App Services WebApp previamente implementada para continuar con los pasos de este artículo. Para más información, consulte Requisitos previos.

Coloque el identificador de recurso de la aplicación web que creó anteriormente en una variable del shell con az webapp list. Cree el punto de conexión privado con az network private-endpoint create.

id=$(az webapp list \
    --resource-group test-rg \
    --query '[].[id]' \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $id \
    --resource-group test-rg \
    --subnet subnet-1 \
    --group-id sites \
    --vnet-name vnet-1    

Configuración de la zona DNS privada

Se usa una zona DNS privada para resolver el nombre DNS del punto de conexión privado en la red virtual. En este ejemplo, se usa la información de DNS para una aplicación web de Azure. Para más información sobre la configuración DNS de los puntos de conexión privados, consulte Configuración de DNS del punto de conexión privado de Azure.

Cree una nueva zona DNS privada de Azure con az network private-dns zone create.

az network private-dns zone create \
    --resource-group test-rg \
    --name "privatelink.azurewebsites.net"

Vincule la zona DNS a la red virtual que creó anteriormente con az network private-dns link vnet create.

az network private-dns link vnet create \
    --resource-group test-rg \
    --zone-name "privatelink.azurewebsites.net" \
    --name dns-link \
    --virtual-network vnet-1 \
    --registration-enabled false

Cree un grupo de zona DNS con az network private-endpoint dns-zone-group create.

az network private-endpoint dns-zone-group create \
    --resource-group test-rg \
    --endpoint-name private-endpoint \
    --name zone-group \
    --private-dns-zone "privatelink.azurewebsites.net" \
    --zone-name webapp

Creación de una máquina virtual de prueba

Para comprobar la dirección IP estática y la funcionalidad del punto de conexión privado, se requiere una máquina virtual de prueba conectada a la red virtual.

Cree la máquina virtual con az vm create.

az vm create \
    --resource-group test-rg \
    --name vm-1 \
    --image Win2022Datacenter \
    --public-ip-address "" \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --admin-username azureuser

Nota

Las máquinas virtuales de una red virtual con un host bastión no necesitarán direcciones IP públicas. Bastion proporcionará la dirección IP pública y las máquinas virtuales usarán direcciones IP privadas para comunicarse dentro de la red. Es posible quitar las direcciones IP públicas de cualquier máquina virtual en redes virtuales hospedadas por Bastion. Para obtener más información, consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Prueba de la conectividad con el punto de conexión privado

Use la máquina virtual que creó anteriormente para conectarse a la aplicación web a través del punto de conexión privado.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. Seleccione Máquinas virtuales.

  2. Seleccione vm-1.

  3. En la página de información general para vm-1, seleccione Conectar y, luego, la pestaña Bastion.

  4. Seleccione Usar Bastion.

  5. Escriba el nombre de usuario y la contraseña que usó al crear la máquina virtual.

  6. Seleccione Conectar.

  7. Después de haberse conectado, abra PowerShell en el servidor.

  8. Escriba nslookup webapp-1.azurewebsites.net. Recibirá un mensaje similar al siguiente ejemplo:

    Server:  UnKnown
    Address:  168.63.129.16
    
    Non-authoritative answer:
    Name:    webapp-1.privatelink.azurewebsites.net
    Address:  10.0.0.10
    Aliases:  webapp-1.azurewebsites.net
    

    Se devuelve una dirección IP privada de 10.0.0.10 para el nombre de la aplicación web si eligió una dirección IP estática en los pasos anteriores. Esta dirección se encuentra en la subred de la red virtual que creó anteriormente.

  9. En la conexión de bastión a vm-1, abra el explorador web.

  10. Escriba la dirección URL de la aplicación web, https://webapp-1.azurewebsites.net.

    Si la aplicación web no se ha implementado, aparecerá la siguiente página predeterminada de la aplicación web:

    Captura de pantalla de la página de la aplicación web predeterminada en un navegador.

  11. Cierre la conexión con vm-1.

Limpieza de recursos

Cuando ya no se necesiten, use el comando az group delete para quitar el grupo de recursos, el servicio de vínculo privado, el equilibrador de carga y todos los recursos relacionados.

  az group delete \
    --name test-rg

Pasos siguientes

Para más información sobre los servicios que admiten puntos de conexión privados, consulte: