Tutorial: Conexión a un servidor SQL de Azure mediante un punto de conexión privado de Azure con Azure Portal

  • Artículo

Un punto de conexión privado de Azure es el bloque de creación fundamental para Private Link en Azure. Permite que los recursos de Azure, como las máquinas virtuales (VM), se comuniquen de manera privada y segura con los recursos de Private Link, como el servidor de Azure SQL.

Diagrama de los recursos creados en el inicio rápido del punto de conexión privado.

En este tutorial, aprenderá a:

  • Crear una red virtual y un host bastión.
  • Cree una máquina virtual.
  • Crear un servidor SQL de Azure y un punto de conexión privado.
  • Probar la conectividad con el punto de conexión privado del servidor SQL.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

  • Una suscripción de Azure

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Crear una red virtual y un host de Azure Bastion

El procedimiento siguiente crea una red virtual con una subred de recursos, una subred de Azure Bastion y un host de Bastion:

  1. En el portal, busque y seleccione Redes virtuales.

  2. En la página Redes virtuales, seleccione y Crear.

  3. En la pestaña Datos básicos de Crear una red virtual, introduzca o seleccione la siguiente información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione Crear nuevo.
    Escriba test-rg para el nombre.
    Seleccione Aceptar.
    Detalles de instancia
    Nombre Escriba vnet-1.
    Region Seleccione Este de EE. UU. 2.

    Captura de pantalla de la pestaña Aspectos básicos para crear una red virtual en Azure Portal.

  4. Seleccione Siguiente para ir a la pestaña Seguridad.

  5. En la sección Azure Bastion, seleccione Habilitar Bastion.

    Bastion usa el explorador para conectarse a las máquinas virtuales de la red virtual a través del shell seguro (SSH) o el protocolo de escritorio remoto (RDP) mediante sus direcciones IP privadas. Las máquinas virtuales no necesitan direcciones IP públicas, software cliente ni configuración especial. Para más información, consulte ¿Qué es Azure Bastion?.

    Nota:

    Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.

  6. En Azure Bastion, escriba o seleccione la información siguiente:

    Configuración Valor
    Nombre de host de Azure Bastion Escriba bastión.
    Dirección IP pública de Azure Bastion Seleccione Crear una dirección IP pública.
    Escriba public-ip-bastion en Nombre.
    Seleccione Aceptar.

    Captura de pantalla de las opciones para habilitar un host de Azure Bastion como parte de la creación de una red virtual en Azure Portal.

  7. Seleccione Siguiente para continuar a la pestaña Direcciones IP.

  8. En el cuadro espacio de direcciones de Subredes, seleccione la subred predeterminada.

  9. En Agregar subred, escriba o seleccione la información siguiente:

    Configuración Valor
    Detalles de subred
    Plantilla de subred Deje el valor predeterminado Predeterminado.
    Nombre Escriba subnet-1.
    Dirección inicial Deje el valor predeterminado de 10.0.0.0.
    Tamaño de la subred Deje el valor predeterminado de /24 (256 direcciones).

    Captura de pantalla de los detalles de configuración de una subred.

  10. Seleccione Guardar.

  11. En la parte inferior de la ventana, seleccione Revisar y crear. Cuando se supera la validación, seleccione Crear.

Creación de una máquina virtual de prueba

El procedimiento siguiente crea una máquina virtual (VM) de prueba denominada vm-1 en la red virtual.

  1. En el portal, busque y seleccione Máquinas virtuales.

  2. En Máquinas virtuales, seleccione + Crear y, después, Máquina virtual de Azure.

  3. En la pestaña Datos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de instancia
    Nombre de la máquina virtual Escriba vm-1.
    Region Seleccione Este de EE. UU. 2.
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Tipo de seguridad Deje el valor predeterminado Estándar.
    Imagen Seleccione Ubuntu Server 22.04 LTS: x64 Gen2.
    Arquitectura VM Deje el valor predeterminado, x64.
    Size Seleccione un tamaño.
    Cuenta de administrador
    Tipo de autenticación Seleccione Contraseña.
    Nombre de usuario escriba usuarioazure.
    Contraseña Escriba una contraseña.
    Confirmar contraseña Reescriba la contraseña.
    Reglas de puerto de entrada
    Puertos de entrada públicos Seleccione Ninguno.

  4. Seleccione la pestaña Redes en la parte superior de la página.

  5. En la pestaña Redes, escriba o seleccione la siguiente información:

    Parámetro Valor
    Interfaz de red
    Virtual network Seleccione vnet-1.
    Subnet Seleccione subnet-1 (10.0.0.0/24).
    Dirección IP pública Seleccione Ninguno.
    Grupo de seguridad de red de NIC Seleccione Advanced (Avanzadas).
    Configuración del grupo de seguridad de red Seleccione Crear nuevo.
    Escriba nsg-1 como nombre.
    Deje el resto de los valores predeterminados y seleccione Aceptar.

  6. Deje el resto de las opciones en sus valores predeterminados y luego seleccione Revisar + crear.

  7. Revise la configuración y seleccione Crear.

Nota

Las máquinas virtuales de una red virtual con un host bastión no necesitarán direcciones IP públicas. Bastion proporcionará la dirección IP pública y las máquinas virtuales usarán direcciones IP privadas para comunicarse dentro de la red. Es posible quitar las direcciones IP públicas de cualquier máquina virtual en redes virtuales hospedadas por Bastion. Para obtener más información, consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.

Nota:

Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:

  • Se asigna una dirección IP pública a la máquina virtual.
  • La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
  • Se asigna un recurso de Azure NAT Gateway a la sub red de la máquina virtual.

Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.

Creación de un servidor SQL de Azure y un punto de conexión privado

En esta sección, creará un servidor SQL Server en Azure.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba SQL. Seleccione Bases de datos SQL en los resultados de la búsqueda.

  2. En Bases de datos SQL, seleccione + Crear.

  3. En la pestaña Aspectos básicos de Crear base de datos SQL, escriba o seleccione la información siguiente:

    Configuración Value
    Detalles del proyecto
    Subscription Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Detalles de la base de datos
    Nombre de la base de datos Escriba sql-db.
    Servidor Seleccione Crear nuevo.
    Escriba sql-server-1 en Nombre del servidor (los nombres de servidor deben ser únicos, reemplace sql-server-1 por un valor único).
    Seleccione (US) Este de EE. UU. 2 en Ubicación.
    Seleccione Uso de la autenticación de SQL.
    Escriba un inicio de sesión y una contraseña de administrador del servidor.
    Seleccione Aceptar.
    ¿Quiere usar un grupo elástico de SQL? así que seleccione No.
    Entorno de la carga de trabajo Deje el valor predeterminado de Producción.
    Redundancia del almacenamiento de copia de seguridad
    Redundancia del almacenamiento de copia de seguridad Seleccione Almacenamiento de copias de seguridad con redundancia local.

  4. Seleccione Siguiente: Redes.

  5. En la pestaña Redes de Crear base de datos SQL, escriba o seleccione la información siguiente:

    Configuración Valor
    Conectividad de red
    Método de conectividad Seleccione Punto de conexión privado.
    Puntos de conexión privados
    Seleccione +Agregar punto de conexión privado.
    Cree un punto de conexión privado
    Suscripción Seleccione su suscripción.
    Resource group Seleccione test-rg.
    Location Seleccione Este de EE. UU. 2.
    Nombre Escriba private-endpoint-sql.
    Subrecurso de destino Seleccione SqlServer.
    Redes
    Virtual network Seleccione vnet-1.
    Subnet Seleccione subnet-1.
    Integración de DNS privado
    Integración con una zona DNS privada Seleccione .
    Zona DNS privada Deje el valor predeterminado privatelink.database.windows.net.

  6. Seleccione Aceptar.

  7. Seleccione Revisar + crear.

  8. Seleccione Crear.

Importante

Al agregar una conexión de punto de conexión privado, el enrutamiento público al servidor de Azure SQL no está bloqueado de forma predeterminada. La opción "Deny public network access" (Denegar el acceso a la red pública) en la hoja "Firewall y redes virtuales" se deja desactivada de forma predeterminada. Para deshabilitar el acceso a la red pública, asegúrese de que esta opción esté activada.

Deshabilitación del acceso público al servidor lógico de Azure SQL

Para este escenario, supongamos que quiere deshabilitar todo el acceso público al servidor de Azure SQL y permitir solo las conexiones desde su red virtual.

  1. En el cuadro de búsqueda de la parte superior del portal, escriba SQL Server. Seleccione servidores SQL en los resultados de la búsqueda.

  2. Seleccione sql-server-1.

  3. En la página Redes, seleccione la pestaña Acceso público y, luego, seleccione Deshabilitar para Acceso a una red pública.

  4. Seleccione Guardar.

Prueba de la conectividad con el punto de conexión privado

En esta sección, usará la máquina virtual que creó en los pasos anteriores para conectarse al servidor SQL mediante el punto de conexión privado.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.

  2. Seleccione vm-1.

  3. En Operaciones, seleccione Bastion.

  4. Escriba el nombre de usuario y la contraseña para la máquina virtual.

  5. Seleccione Conectar.

  6. Para comprobar la resolución de nombres del punto de conexión privado, escriba el siguiente comando en la ventana del terminal:

    nslookup sql-server-1.database.windows.net

    Recibirá un mensaje parecido al texto siguiente. La dirección IP devuelta es la dirección IP privada del punto de conexión privado.

    Server:    127.0.0.53
Address:   127.0.0.53#53

Non-authoritative answer:
sql-server-8675.database.windows.netcanonical name = sql-server-8675.privatelink.database.windows.net.
Name:sql-server-8675.privatelink.database.windows.net
Address: 10.1.0.4

  7. Instale las herramientas de línea de comandos de SQL Server desde Instalación de las herramientas de línea de comandos de SQL Server sqlcmd y bcp en Linux. Continúe con los pasos siguientes una vez completada la instalación.

  8. Use los siguientes comandos para conectarse al servidor SQL Server que creó en los pasos anteriores.

    • Reemplace <server-admin> por el nombre de usuario del administrador que escribió durante la creación de SQL Server.

    • Reemplace <admin-password> por la contraseña de administrador que escribió durante la creación de SQL Server.

    • Reemplace sql-server-1 por el nombre del servidor de SQL Server.

    sqlcmd -S sql-server-1.database.windows.net -U '<server-admin>' -P '<admin-password>'

  9. Se muestra un símbolo del sistema SQL al iniciar sesión correctamente. Escriba salir para salir de la herramienta sqlcmd.

Limpieza de recursos

Cuando haya terminado de utilizar los recursos creados, puede eliminar el grupo de recursos y todos sus recursos:

  1. En Azure Portal, busque y seleccione Grupos de recursos.

  2. En la página Grupos de recursos, seleccione el grupo de recursos test-rg.

  3. En la página test-rg, elija Eliminar grupo de recursos.

  4. Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.

Pasos siguientes

En este tutorial, ha aprendido a crear:

  • Una red virtual y un host bastión.

  • Una máquina virtual.

  • Un servidor SQL de Azure con un punto de conexión privado.

Ha utilizado la máquina virtual para probar la conectividad de forma privada y segura al servidor SQL mediante el punto de conexión privado.

Como paso siguiente, puede que también le interese el escenario de la arquitectura de aplicación web con conectividad privada a Azure SQL Database, que conecta una aplicación web situada fuera de la red virtual con el punto de conexión privado de una base de datos.

Conectividad privada de una aplicación web a Azure SQL Database