Inicio rápido: Creación de un punto de conexión privado mediante Azure Portal

  • Artículo

Comience a trabajar con Azure Private Link creando y usando un punto de conexión privado para conectarse de forma segura a una aplicación web de Azure.

En este inicio rápido, creará un punto de conexión privado para una aplicación web de Azure App Services y, a continuación, creará e implementará una máquina virtual (VM) para probar la conexión privada.

Puede crear puntos de conexión privados para varios servicios de Azure, como Azure SQL y Azure Storage.

Diagrama de los recursos creados en el inicio rápido del punto de conexión privado.

Requisitos previos

  • Una cuenta de Azure con una suscripción activa. Si aún no tiene una cuenta de Azure, cree una de forma gratuita.

  • Una aplicación web de Azure App Services con un plan de App Service Básico, Estándar, PremiumV2, PremiumV3, IsolatedV2, Functions Premium (a veces denominado plan Elastic Premium), implementado en la suscripción de Azure.

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Crear una red virtual y un host de Azure Bastion

El procedimiento siguiente crea una red virtual con una subred de recursos, una subred de Azure Bastion y un host de Bastion:

  1. En el portal, busque y seleccione Redes virtuales.

  2. En la página Redes virtuales, seleccione y Crear.

  3. En la pestaña Datos básicos de Crear una red virtual, introduzca o seleccione la siguiente información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione Crear nuevo.
    Escriba test-rg para el nombre.
    Seleccione Aceptar.
    Detalles de instancia
    Nombre Escriba vnet-1.
    Region Seleccione Este de EE. UU. 2.

    Captura de pantalla de la pestaña Aspectos básicos para crear una red virtual en Azure Portal.

  4. Seleccione Siguiente para ir a la pestaña Seguridad.

  5. En la sección Azure Bastion, seleccione Habilitar Bastion.

    Bastion usa el explorador para conectarse a las máquinas virtuales de la red virtual a través del shell seguro (SSH) o el protocolo de escritorio remoto (RDP) mediante sus direcciones IP privadas. Las máquinas virtuales no necesitan direcciones IP públicas, software cliente ni configuración especial. Para más información, consulte ¿Qué es Azure Bastion?.

    Nota:

    Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

  6. En Azure Bastion, escriba o seleccione la información siguiente:

    Configuración Valor
    Nombre de host de Azure Bastion Escriba bastión.
    Dirección IP pública de Azure Bastion Seleccione Crear una dirección IP pública.
    Escriba public-ip-bastion en Nombre.
    Seleccione Aceptar.

    Captura de pantalla de las opciones para habilitar un host de Azure Bastion como parte de la creación de una red virtual en Azure Portal.

  7. Seleccione Siguiente para continuar a la pestaña Direcciones IP.

  8. En el cuadro espacio de direcciones de Subredes, seleccione la subred predeterminada.

  9. En Agregar subred, escriba o seleccione la información siguiente:

    Configuración Valor
    Detalles de subred
    Plantilla de subred Deje el valor predeterminado Predeterminado.
    Nombre Escriba subnet-1.
    Dirección inicial Deje el valor predeterminado de 10.0.0.0.
    Tamaño de la subred Deje el valor predeterminado de /24 (256 direcciones).

    Captura de pantalla de los detalles de configuración de una subred.

  10. Seleccione Guardar.

  11. En la parte inferior de la ventana, seleccione Revisar y crear. Cuando se supera la validación, seleccione Crear.

Creación de un punto de conexión privado

A continuación, creará un punto de conexión privado para la aplicación web que creó en la sección Requisitos previos.

Importante

Debe tener una aplicación web de Azure App Services implementada previamente para continuar con los pasos de este artículo. Para más información, consulte Requisitos previos.

  1. En el cuadro de búsqueda de la parte superior del portal, escriba Punto de conexión privado. Seleccione Puntos de conexión privados.

  2. Seleccione + Crear en Puntos de conexión privados.

  3. En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información.

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de instancia
    Nombre Introduzca private-endpoint.
    Nombre de la interfaz de red Deje el valor predeterminado de private-endpoint-nic.
    Region Seleccione Este de EE. UU. 2.

  4. Seleccione Siguiente: Resource (Siguiente: Recurso).

  5. En el panel Recurso, escriba o seleccione la siguiente información.

    Configuración Value
    Método de conexión Deje el valor predeterminado de Conectarse a un recurso de Azure en mi directorio.
    Subscription Seleccione su suscripción.
    Tipo de recurso Seleccione Microsoft.Web/sites.
    Recurso Seleccione webapp-1.
    Subrecurso de destino Seleccione sitios.

  6. Seleccione Siguiente: Máquinas virtuales.

  7. En Red virtual, escriba o seleccione la siguiente información.

    Configuración Value
    Redes
    Virtual network Seleccione vnet-1 (test-rg).
    Subnet Seleccione subnet-1.
    Directiva de red para los puntos de conexión privados Seleccione Editar para aplicar la Directiva de red para los puntos de conexión privados.
    En Editar directiva de red de subred, active la casilla situada junto a Grupos de seguridad de red y Tablas de rutas en el menú desplegable Configuración de directivas de red para todos los puntos de conexión privados de esta subred .
    Seleccione Guardar.

    Para más información, consulte Administración de directivas de red para puntos de conexión privados.
    Configuración Value
    Configuración de IP privada Seleccione Asignar dinámicamente la dirección IP.

    Captura de pantalla de la selección de la dirección IP dinámica.

  8. Seleccione Next: DNS (Siguiente: DNS).

  9. Deje los valores predeterminados en DNS. Seleccione Siguiente: Etiquetas y Siguiente: Revisar y crear.

  10. Seleccione Crear.

Creación de una máquina virtual de prueba

El procedimiento siguiente crea una máquina virtual (VM) de prueba denominada vm-1 en la red virtual.

  1. En el portal, busque y seleccione Máquinas virtuales.

  2. En Máquinas virtuales, seleccione + Crear y, después, Máquina virtual de Azure.

  3. En la pestaña Datos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de instancia
    Nombre de la máquina virtual Escriba vm-1.
    Region Seleccione Este de EE. UU. 2.
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Tipo de seguridad Deje el valor predeterminado Estándar.
    Imagen Seleccione Windows Server 2022 Datacenter - x64 Gen2.
    Arquitectura VM Deje el valor predeterminado, x64.
    Size Seleccione un tamaño.
    Cuenta de administrador
    Tipo de autenticación Seleccione Contraseña.
    Nombre de usuario escriba usuarioazure.
    Contraseña Escriba una contraseña.
    Confirmar contraseña Reescriba la contraseña.
    Reglas de puerto de entrada
    Puertos de entrada públicos Seleccione Ninguno.

  4. Seleccione la pestaña Redes en la parte superior de la página.

  5. En la pestaña Redes, escriba o seleccione la siguiente información:

    Parámetro Valor
    Interfaz de red
    Virtual network Seleccione vnet-1.
    Subnet Seleccione subnet-1 (10.0.0.0/24).
    Dirección IP pública Seleccione Ninguno.
    Grupo de seguridad de red de NIC Seleccione Advanced (Avanzadas).
    Configuración del grupo de seguridad de red Seleccione Crear nuevo.
    Escriba nsg-1 como nombre.
    Deje el resto de los valores predeterminados y seleccione Aceptar.

  6. Deje el resto de las opciones en sus valores predeterminados y luego seleccione Revisar + crear.

  7. Revise la configuración y seleccione Crear.

Nota

Las máquinas virtuales de una red virtual con un host bastión no necesitarán direcciones IP públicas. Bastion proporcionará la dirección IP pública y las máquinas virtuales usarán direcciones IP privadas para comunicarse dentro de la red. Es posible quitar las direcciones IP públicas de cualquier máquina virtual en redes virtuales hospedadas por Bastion. Para obtener más información, consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la sub red de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Prueba de la conectividad con el punto de conexión privado

Use la máquina virtual que creó anteriormente para conectarse a la aplicación web a través del punto de conexión privado.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. Seleccione Máquinas virtuales.

  2. Seleccione vm-1.

  3. En la página de información general para vm-1, seleccione Conectar y, luego, la pestaña Bastion.

  4. Seleccione Usar Bastion.

  5. Escriba el nombre de usuario y la contraseña que usó al crear la máquina virtual.

  6. Seleccione Conectar.

  7. Después de haberse conectado, abra PowerShell en el servidor.

  8. Escriba nslookup webapp-1.azurewebsites.net. Recibirá un mensaje similar al siguiente ejemplo:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    webapp-1.privatelink.azurewebsites.net
Address:  10.0.0.10
Aliases:  webapp-1.azurewebsites.net

    Se devuelve una dirección IP privada de 10.0.0.10 para el nombre de la aplicación web si eligió una dirección IP estática en los pasos anteriores. Esta dirección se encuentra en la subred de la red virtual que creó anteriormente.

  9. En la conexión de bastión a vm-1, abra el explorador web.

  10. Escriba la dirección URL de la aplicación web, https://webapp-1.azurewebsites.net.

    Si la aplicación web no se ha implementado, aparecerá la siguiente página predeterminada de la aplicación web:

    Captura de pantalla de la página de la aplicación web predeterminada en un navegador.

  11. Cierre la conexión con vm-1.

Limpieza de recursos

Cuando haya terminado de utilizar los recursos creados, puede eliminar el grupo de recursos y todos sus recursos:

  1. En Azure Portal, busque y seleccione Grupos de recursos.

  2. En la página Grupos de recursos, seleccione el grupo de recursos test-rg.

  3. En la página test-rg, elija Eliminar grupo de recursos.

  4. Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.

Pasos siguientes

En este inicio rápido, ha creado lo siguiente:

  • Una red virtual y un host bastión

  • Una máquina virtual

  • Un punto de conexión privado para una aplicación web de Azure

Usó la máquina virtual para probar la conectividad a la aplicación web a través del punto de conexión privado.

Para más información sobre los servicios que admiten puntos de conexión privados, consulte:

¿Qué es Azure Private Link?