Configuración de puntos de conexión en una máquina virtual de Windows mediante el modelo de implementación clásica
Importante
Las máquinas virtuales clásicas se retirarán el 1 de marzo de 2023.
Si usa recursos de IaaS desde ASM, complete la migración antes del 1 de marzo de 2023. Le recomendamos que realice el cambio antes, para aprovechar las diversas mejoras de las características de Azure Resource Manager.
Para más información, consulte Migración de los recursos de IaaS a Azure Resource Manager antes de 1 de marzo de 2023.
Las máquinas virtuales (VM) Windows que se crean en Azure con el modelo de implementación clásica pueden comunicarse automáticamente a través de un canal de red privada con otras máquinas virtuales del mismo servicio en la nube o de la misma red virtual. Sin embargo, los equipos en Internet o en otras redes virtuales necesitan puntos de conexión para dirigir el tráfico de red entrante a una máquina virtual.
También puede configurar puntos de conexión en máquinas virtuales Linux.
Importante
Azure tiene dos modelos de implementación diferentes para crear recursos y trabajar con ellos: Resource Manager y el clásico. Este artículo trata sobre el modelo de implementación clásico. Microsoft recomienda que las implementaciones más recientes usen el modelo de Resource Manager.
A partir del 15 de noviembre de 2017, las máquinas virtuales estarán disponibles solo en Azure Portal.
En el modelo de implementación de Resource Manager, los puntos de conexión se configuran mediante grupos de seguridad de red (NSG). Para más información, consulte Permitir el acceso externo a la máquina virtual mediante Azure Portal.
Al crear una máquina virtual Windows en Azure Portal, los puntos de conexión comunes, como los de Escritorio remoto y la Comunicación remota de Windows PowerShell se suelen crear automáticamente. Puede configurar puntos de conexión adicionales posteriormente según sea necesario.
Cada punto de conexión tiene un puerto público y un puerto privado:
- El puerto público que usa el equilibrador de carga de Azure para escuchar el tráfico que entra a la máquina virtual desde Internet.
- La máquina virtual usa el puerto privado para escuchar el tráfico entrante, normalmente destinado a una aplicación o servicio que se ejecuta en la máquina virtual.
Se proporcionan los valores predeterminados del protocolo IP y de los puertos TCP o UDP de los protocolos de red conocidos al crear puntos de conexión con Azure Portal. Para los puntos de conexión personalizados, especifique el protocolo IP correcto (TCP o UDP) y los puertos públicos y privados. Para distribuir el tráfico entrante de forma aleatoria entre varias máquinas virtuales, cree un conjunto con equilibrio de carga que conste de varios puntos de conexión.
Tras la creación de un extremo, puede utilizar una lista de control de acceso (ACL) para definir reglas que permitan o denieguen el tráfico entrante al puerto público del extremo, en función de su dirección IP de origen. Sin embargo, si la máquina virtual está en una red virtual de Azure, use grupos de seguridad de red en su lugar. Para obtener más información, consulte Acerca de los grupos de seguridad de red.
Nota
La configuración del firewall para máquinas virtuales de Azure se realiza automáticamente para los puertos asociados con los puntos de conexión de conectividad remotos que Azure configura automáticamente. Para los puertos especificados para todos los demás extremos, no se realiza ninguna configuración automáticamente en el firewall de la máquina virtual. Cuando cree un punto de conexión para la máquina virtual, asegúrese de que el firewall de la máquina virtual también permite el tráfico para el protocolo y el puerto privado correspondiente a la configuración del punto de conexión. Para configurar el firewall, consulte la documentación o la Ayuda en línea para el sistema operativo que se ejecuta en la máquina virtual.
Crear un punto de conexión
Inicie sesión en Azure Portal.
Haga clic en Máquinas virtualesy luego seleccione la máquina virtual que desea configurar.
Seleccione Puntos de conexión en el grupo Configuración. Aparece la página Puntos de conexión en donde se enumeran todos los puntos de conexión actuales de la máquina virtual. (Este ejemplo es para una máquina virtual Windows. Una máquina virtual Linux mostrará de forma predeterminada un punto de conexión para SSH).
En la barra de comandos, encima de las entradas de punto de conexión, seleccione Agregar. Aparecerá la página Agregar punto de conexión.
En Nombre escriba el nombre del punto de conexión.
En Protocolo, elija TCP o UDP.
En Puerto público escriba el número de puerto para el tráfico que entra desde Internet.
En Puerto privado escriba el número de puerto en el que escucha la máquina virtual. Los números de puerto público y privado pueden ser diferentes. Asegúrese de que el firewall de la máquina virtual se ha configurado para que permita el tráfico correspondiente al protocolo y al puerto privado.
Seleccione Aceptar.
El nuevo punto de conexión se muestra en la página Puntos de conexión.
Administración de la ACL en un extremo
Para definir el conjunto de equipos que pueden enviar tráfico, la ACL en un extremo puede restringir el tráfico en función de la dirección IP de origen. Siga estos pasos para agregar, modificar o quitar una ACL en un extremo.
Nota
Si el extremo forma parte de un conjunto con equilibrio de carga, los cambios que realice en la ACL en un extremo se aplican a todos los extremos del conjunto.
Si la máquina virtual está en una red virtual de Azure, use los grupos de seguridad de red en lugar de listas de control de acceso. Para obtener más información, consulte Acerca de los grupos de seguridad de red.
Inicie sesión en Azure Portal.
Seleccione Máquinas virtuales y luego seleccione el nombre de la máquina virtual que desea configurar.
Seleccione Puntos de conexión. Seleccione el punto de conexión apropiado en la lista de puntos de conexión. La lista de ACL está en la parte inferior de la página.
Use las filas de la lista para agregar, eliminar o editar las reglas de una ACL y cambiar su orden. El valor SUBRED REMOTA es un intervalo de direcciones IP para el tráfico entrante de Internet que el equilibrador de carga de Azure usa para permitir o denegar el tráfico en función de la dirección IP de origen. Asegúrese de especificar el intervalo de direcciones IP en formato de enrutamiento de interdominios sin clases (CIDR), también conocido como formato de prefijo de dirección. Por ejemplo,
10.1.0.0/8
.
Puede usar reglas para permitir solo el tráfico desde equipos específicos correspondientes a los equipos en Internet o para denegar el tráfico desde intervalos concretos de direcciones conocidas.
Las reglas se evalúan en orden, comenzando por la primera regla y terminando por la última. Por lo tanto, las reglas deben estar ordenadas de menos restrictivas a más restrictivas. Para más información, consulte ¿Qué es una lista de control de acceso de puntos de conexión?
Pasos siguientes
- Para usar un cmdlet de Azure PowerShell para configurar un punto de conexión de máquina virtual, consulte Add-AzureEndpoint.
- Para usar un cmdlet de Azure PowerShell para gestionar una ACL en un punto de conexión, consulte Administración de listas de control de acceso (ACL) para puntos de conexión mediante PowerShell.
- Si ha creado una máquina virtual en el modelo de implementación de Resource Manager, también puede usar Azure PowerShell para crear grupos de seguridad de red con el fin de controlar el tráfico en la máquina virtual.