Pruebas detrás de un firewall

  • Artículo

Para garantizar la disponibilidad del punto de conexión detrás de los firewalls, habilite las pruebas de disponibilidad pública o ejecute pruebas de disponibilidad en escenarios de entrada desconectados o sin entrada.

Habilitación de zonas de disponibilidad públicas

Asegúrese de que el sitio web interno tiene un registro público del sistema de nombres de dominio (DNS). Se produce un error en las pruebas de disponibilidad si no se puede resolver DNS. Para más información, consulte el artículo sobre la creación de un nombre de dominio personalizado para la aplicación interna.

Advertencia

Las direcciones IP usadas por el servicio de pruebas de disponibilidad se comparten y pueden exponer los puntos de conexión de servicio protegidos por firewall a otras pruebas. El filtrado de direcciones IP solo no protege el tráfico del servicio, por lo que se recomienda agregar encabezados personalizados adicionales para comprobar el origen de la solicitud web. Para más información, consulte Etiquetas de servicio de red virtual.

Autenticación del tráfico

Establezca encabezados personalizados en pruebas de disponibilidad estándar para validar el tráfico.

  1. Genere un token o GUID para identificar el tráfico de las pruebas de disponibilidad.

  2. Agregue el encabezado personalizado "X-Customer-InstanceId" con el valor ApplicationInsightsAvailability:<GUID generated in step 1> de la sección "Información de prueba estándar" al crear o actualizar las pruebas de disponibilidad.

  3. Asegúrese de que el servicio comprueba si el tráfico entrante incluye el encabezado y el valor definidos en los pasos anteriores.

    Captura de pantalla que muestra el encabezado de validación personalizado.

Como alternativa, establezca el token como parámetro de consulta. Por ejemplo, https://yourtestendpoint/?x-customer-instanceid=applicationinsightsavailability:<your guid>.

Configuración del firewall para permitir solicitudes entrantes de pruebas de disponibilidad

Nota:

Este ejemplo es específico del uso de etiquetas de servicio del grupo de seguridad de red. Muchos servicios de Azure aceptan etiquetas de servicio, cada una de las cuales requiere distintos pasos de configuración.

  • Para simplificar la habilitación de los servicios Azure sin autorizar direcciones IP individuales ni mantener una lista actualizada de direcciones IP, use las Etiquetas de servicio. Aplique estas etiquetas en Azure Firewall y grupos de seguridad de red, lo que permite el acceso del servicio de prueba de disponibilidad a los puntos de conexión. La etiqueta de servicioApplicationInsightsAvailability se aplica a todas las pruebas de disponibilidad.

    1. Si usa grupos de seguridad de red de Azure, vaya al recurso del grupo de seguridad de red y, en Configuración, seleccione Reglas de seguridad de entrada. A continuación, seleccione Agregar.

      Captura de pantalla que muestra la pestaña Reglas de seguridad de entrada en el recurso del grupo de seguridad de red.

    2. Luego, seleccione Etiqueta de servicio como origen y ApplicationInsightsAvailability como etiqueta de servicio de origen. Use los puertos abiertos 80 (http) y 443 (https) para el tráfico entrante desde la etiqueta de servicio.

      Captura de pantalla que muestra la pestaña Agregar reglas de seguridad de entrada con un origen de etiqueta de servicio.

  • Para administrar el acceso cuando sus puntos de conexión están fuera de Azure o cuando las etiquetas de servicio no son una opción, permita las Direcciones IP de nuestros agentes de prueba web. Puede consultar intervalos IP mediante PowerShell, la CLI de Azure o una llamada REST con la API de etiquetas de servicio. Para obtener una lista completa de las etiquetas de servicio actuales y sus detalles de IP, descargue el Archivo JSON.

    1. En el recurso del grupo de seguridad de red, en Configuración, seleccione Reglas de seguridad de entrada. A continuación, seleccione Agregar.

    2. A continuación, seleccione Direcciones IP como origen. Luego, agregue las direcciones IP a una lista delimitada por comas en intervalos de direcciones IP/CIRD de origen.

      Captura de pantalla que muestra la pestaña Agregar reglas de seguridad de entrada con un origen de direcciones IP.

Escenarios desconectados o sin entrada

  1. Conecte el recurso de Application Insights al punto de conexión de servicio interno mediante Azure Private Link.
  2. Escriba código personalizado para comprobar periódicamente el servidor interno o los puntos de conexión. Envíe los resultados a Application Insights mediante la API de TrackAvailability() en el paquete del SDK principal.

Solución de problemas

Para obtener más información, vea el artículo sobre la solución de problemas.

Pasos siguientes