Inicio rápido: Creación de un servicio Private Link mediante la CLI de Azure

Empiece por crear un servicio Private Link que se refiere a su servicio. Proporcione acceso de Private Link a su servicio o recurso implementado detrás de un equilibrador de carga estándar de Azure. Los usuarios del servicio tienen acceso privado desde su red virtual.

Si no tiene una cuenta de Azure, cree una cuenta gratuita antes de comenzar.

Prerrequisitos

• Use el entorno de Bash en Azure Cloud Shell. Para más información, consulte Introducción a Azure Cloud Shell.

  

• Si prefieres ejecutar comandos de referencia CLI localmente, instala la CLI de Azure. Si estás utilizando Windows o macOS, considera ejecutar Azure CLI en un contenedor Docker. Para obtener más información, consulte Cómo ejecutar el Azure CLI en un contenedor de Docker.

  • Si estás utilizando una instalación local, inicia sesión en Azure CLI utilizando el comando az login. Para finalizar el proceso de autenticación, siga los pasos que se muestran en el terminal. Para ver otras opciones de inicio de sesión, consulte Autenticación en Azure mediante la CLI de Azure.

  • Cuando se le solicite, instale la extensión de la CLI de Azure en el primer uso. Para obtener más información sobre las extensiones, consulte Uso y administración de extensiones con la CLI de Azure.

  • Ejecute az version para ver la versión y las bibliotecas dependientes que están instaladas. Para actualizar a la versión más reciente, ejecute az upgrade.

• Para realizar este inicio rápido es necesaria la versión 2.0.28 o superior de la CLI de Azure. Si usa Azure Cloud Shell, la versión más reciente ya está instalada.

Creación de un grupo de recursos

Un grupo de recursos de Azure es un contenedor lógico en el que se implementan y se administran los recursos de Azure.

Cree un grupo de recursos con az group create:

• Denominado test-rg.

• En la ubicación eastus2.

az group create \
    --name test-rg \
    --location eastus2

Crear un equilibrador de carga interno

En esta sección, creará una red virtual y una instancia interna de Azure Load Balancer.

Red de área virtual

En esta sección, creará una red virtual y una subred para hospedar el equilibrador de carga que accede al servicio Private Link.

Cree una red virtual mediante az network vnet create:

• Denominado vnet-1.

• Con el prefijo de dirección 10.0.0.0/16.

• Subred denominada subnet-1.

• Con el prefijo de subred 10.0.0.0/24.

• En el grupo de recursos test-rg.

• Ubicación de eastus2.

• Deshabilite la directiva de red para el servicio de enlace privado en la subred.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-1 \
    --address-prefixes 10.0.0.0/16 \
    --subnet-name subnet-1 \
    --subnet-prefixes 10.0.0.0/24

Creación de un equilibrador de carga estándar

En esta sección se detalla cómo se pueden crear y configurar los componentes siguientes del equilibrador de carga:

• Grupo de direcciones IP de front-end que recibe el tráfico de red entrante en el equilibrador de carga.

• Un grupo de direcciones IP de back-end al que el grupo de servidores front-end envía el tráfico de red de carga equilibrada.

• Sonda de salud que determina el estado de las instancias de máquina virtual del backend.

• Regla del equilibrador de carga que define cómo se distribuye el tráfico a las máquinas virtuales.

Creación del recurso del equilibrador de carga

Cree un equilibrador de carga público con az network lb create:

• Denominado load-balancer.

• Un grupo de front-end denominado frontend.

• Un grupo de back-end denominado backend-pool.

• Asociado a la red virtual vnet-1.

• Asociado a la subred de back-end subnet-1.

az network lb create \
    --resource-group test-rg \
    --name load-balancer \
    --sku Standard \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool

Creación del sondeo de estado

Los sondeos de estado comprueban todas las instancias de máquina virtual para asegurarse de que pueden enviar tráfico de red.

Una máquina virtual con una comprobación de sondeo con errores se quita del equilibrador de carga. La máquina virtual se agrega de nuevo al equilibrador de carga cuando se resuelve el error.

Cree un sondeo de estado con az network lb probe create:

• Supervisa el estado de las máquinas virtuales.

• Denominado health-probe.

• Protocolo TCP.

• Puerto 80 de supervisión.

az network lb probe create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name health-probe \
    --protocol tcp \
    --port 80

Creación de la regla de equilibrador de carga

Una regla de equilibrador de carga define:

• La configuración de IP del front-end para el tráfico entrante.

• El grupo de IP de back-end para recibir el tráfico.

• Los puertos de origen y de destino requeridos.

Cree una regla de equilibrador de carga con az network lb rule create:

• Denominado http-rule

• Que escuche en el puerto 80 en el grupo de front-end frontend.

• Que envíe el tráfico de red con equilibrio de carga al grupo de direcciones de back-end backend-pool a través del puerto 80.

• Uso del sondeo de estado health-probe.

• Protocolo TCP.

• Tiempo de espera de inactividad de 15 minutos.

• Habilite el restablecimiento de TCP.

az network lb rule create \
    --resource-group test-rg \
    --lb-name load-balancer \
    --name http-rule \
    --protocol tcp \
    --frontend-port 80 \
    --backend-port 80 \
    --frontend-ip-name frontend \
    --backend-pool-name backend-pool \
    --probe-name health-probe \
    --idle-timeout 15 \
    --enable-tcp-reset true

Deshabilitar la directiva de red

Para poder crear un servicio de vínculo privado en la red virtual, la configuración privateLinkServiceNetworkPolicies debe deshabilitarse.

• Desactive la política de red con az network vnet subnet update.

az network vnet subnet update \
    --name subnet-1 \
    --vnet-name vnet-1 \
    --resource-group test-rg \
    --disable-private-link-service-network-policies yes

Creación de un servicio Private Link

En esta sección, cree un servicio private link que use Azure Load Balancer creado en el paso anterior.

Cree un servicio de vínculo privado con la configuración IP de front-end de una instancia de Standard Load Balancer con az network private-link-service create:

• Denominado private-link-service.

• En la red virtual vnet-1.

• Asociado con la instancia load-balancer de Standard Load Balancer y una configuración de front-end frontend.

• En la ubicación eastus2.

az network private-link-service create \
    --resource-group test-rg \
    --name private-link-service \
    --vnet-name vnet-1 \
    --subnet subnet-1 \
    --lb-name load-balancer \
    --lb-frontend-ip-configs frontend \
    --location eastus2

Se crea el servicio de vínculo privado, que puede recibir tráfico. Si desea ver los flujos de tráfico, configure su aplicación detrás de su balanceador de carga estándar.

Creación de un punto de conexión privado

En esta sección, asignará el servicio de vínculo privado a un punto de conexión privado. Una red virtual contiene el punto de conexión privado para el servicio de vínculo privado. Esta red virtual contiene los recursos que acceden al servicio Private Link.

Creación de una red virtual de punto de conexión privado

Cree una red virtual mediante az network vnet create:

• Con nombre vnet-pe.

• Prefijo de dirección 10.1.0.0/16.

• Subred denominada subnet-pe.

• Prefijo de subred de 10.1.0.0/24.

• En el grupo de recursos test-rg.

• Ubicación de eastus2.

az network vnet create \
    --resource-group test-rg \
    --location eastus2 \
    --name vnet-pe \
    --address-prefixes 10.1.0.0/16 \
    --subnet-name subnet-pe \
    --subnet-prefixes 10.1.0.0/24

Creación de un punto de conexión y una conexión

• Utilice az network private-link-service show para obtener el identificador de recurso del private link service. El comando coloca el identificador de recurso en una variable para su uso posterior.

• Use az network private-endpoint create para crear el punto de conexión privado en la red virtual que creó anteriormente.

• Denominado private-endpoint.

• En el grupo de recursos test-rg.

• Nombre de conexión connection-1.

• Ubicación de eastus2.

• En la red virtual vnet-pe y la subred subnet-pe.

export resourceid=$(az network private-link-service show \
    --name private-link-service \
    --resource-group test-rg \
    --query id \
    --output tsv)

az network private-endpoint create \
    --connection-name connection-1 \
    --name private-endpoint \
    --private-connection-resource-id $resourceid \
    --resource-group test-rg \
    --subnet subnet-pe \
    --manual-request false \
    --vnet-name vnet-pe 

Limpieza de recursos

Cuando ya no se necesiten, use el comando az group delete para quitar el grupo de recursos, el servicio de vínculo privado, el equilibrador de carga y todos los recursos relacionados.

az group delete \
    --name test-rg 

Pasos siguientes

En esta guía de inicio rápido:

• Ha creado una red virtual y una instancia interna de Azure Load Balancer.

• Creación de un servicio de vínculo privado

Para más información sobre el punto de conexión privado de Azure, continúe a

Inicio rápido: Creación de un punto de conexión privado mediante la CLI de Azure