Configuración del punto de conexión privado en Azure Static Web Apps
Puede usar un punto de conexión privado (también denominado vínculo privado) para restringir el acceso a la aplicación web estática de modo que solo sea accesible desde la red privada.
Cómo funciona
Una instancia de Azure Virtual Network (VNet) es una red como la que podría tener en un centro de datos tradicional, pero los recursos de la red virtual se comunican entre sí de forma segura en la red troncal de Microsoft.
La configuración de Static Web Apps con un punto de conexión privado le permite usar una dirección IP privada de la red virtual. Una vez creado este vínculo, la aplicación web estática se integra en la red virtual. Como resultado, la aplicación web estática ya no está disponible para la red pública de Internet y solo es accesible desde máquinas de la red virtual de Azure.
Nota:
Colocar la aplicación detrás de un punto de conexión privado significa que la aplicación solo está disponible en la región en la que se encuentra la red virtual. Como resultado, la aplicación ya no estará disponible en varios puntos de presencia.
Si la aplicación tiene habilitado un punto de conexión privado, el servidor responde con un código de estado 403
si la solicitud procede de una dirección IP pública. Este comportamiento se aplica tanto al entorno de producción como a cualquier entorno de ensayo. La única manera de llegar a la aplicación es usar el punto de conexión privado que está implementado en la red virtual.
La resolución DNS predeterminada de la aplicación web estática todavía existe y se enruta a una dirección IP pública. El punto de conexión privado expone dos direcciones IP en la red virtual: una para el entorno de producción y otra para cualquier entorno de ensayo. Para asegurarse de que el cliente puede acceder a la aplicación correctamente, asegúrese de que este resuelve el nombre de host de la aplicación en la dirección IP adecuada del punto de conexión privado. Esto es necesario para el nombre de host predeterminado, así como para los dominios personalizados que se hayan configurado en la aplicación web estática. Esta resolución se realiza automáticamente si selecciona una zona DNS privada al crear el punto de conexión privado (consulte el ejemplo siguiente) y es la solución recomendada.
Si se está conectando desde una instancia local o no quiere usar una zona DNS privada, configure manualmente los registros DNS de la aplicación para que las solicitudes se enruten a la dirección IP adecuada del punto de conexión privado. Puede encontrar más información sobre la resolución DNS del punto de conexión privado aquí.
Nota:
Los puntos de conexión privados restringen el tráfico entrante que va al sitio web a una red virtual específica. No se aplican a las implementaciones de nuevos recursos de sitio.
Requisitos previos
- Una cuenta de Azure con una suscripción activa.
- Una red virtual de Azure.
- Una aplicación implementada con Azure Static Web Apps que use el plan de hospedaje Estándar.
Creación de un punto de conexión privado
En esta sección, creará un punto de conexión privado para la aplicación web estática.
Importante
La aplicación web estática debe implementarse en el plan de hospedaje Estándar para usar puntos de conexión privados. Puede cambiar el plan de hospedaje desde la opción Plan de hospedaje del menú lateral.
En el portal, abra la aplicación web estática.
Seleccione la opción Puntos de conexión privados del menú lateral.
Seleccione Agregar.
En el cuadro de diálogo "Agregar un punto de conexión privado", escriba esta información:
Configuración Value Nombre Escriba myPrivateEndpoint. Suscripción Seleccione su suscripción. Virtual Network Seleccione la red virtual. Subnet Seleccione la subred. Integración con una zona DNS privada Deje el valor predeterminado de Sí. Seleccione Aceptar.
Nota:
El nombre de la zona DNS privada depende del sufijo de nombre de dominio predeterminado de la aplicación web estática. Por ejemplo, si el sufijo de dominio predeterminado de la aplicación es 3.azurestaticapps.net
, el nombre de la zona DNS privada es privatelink.3.azurestaticapps.net
. Cuando se crea una nueva aplicación web estática, el sufijo de dominio predeterminado podría ser diferente del sufijo de dominio predeterminado de las aplicaciones web estáticas anteriores. Si usa un proceso de implementación automatizado para crear la zona DNS privada, puede usar la propiedad de la DefaultHostname
aplicación para extraer mediante programación el sufijo de dominio. El valor de DefaultHostname
propiedad es similar a <STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX>.<PARTITION_ID>.azurestaticapps.net
o STATIC_WEB_APP_DEFAULT_DOMAIN_PREFIX.azurestaticapps.net
. El sufijo de dominio predeterminado es similar <PARTITION_ID>.azurestaticapps.net
a o azurestaticapps.net
.
Prueba del punto de conexión privado
Puesto que la aplicación ya no está disponible públicamente, la única manera de acceder a ella es desde dentro de la red virtual. Para hacer la prueba, configure una máquina virtual dentro de su red virtual y vaya a su sitio.