Uso de Cloud Shell en una red virtual de Azure

  • Artículo

De manera predeterminada, las sesiones de Azure Cloud Shell se ejecutan en un contenedor de una red de Microsoft independiente de los recursos. Los comandos que se ejecutan dentro del contenedor no pueden acceder a los recursos de una red virtual privada. Por ejemplo, no puede usar Secure Shell (SSH) para conectarse desde Cloud Shell a una máquina virtual que solo tiene una dirección IP privada, ni usar kubectl para conectarse a un clúster de Kubernetes que ha bloqueado el acceso.

Para proporcionar acceso a los recursos privados, puede implementar Cloud Shell en una red virtual de Azure que controle. Esta técnica se denomina aislamiento de red virtual.

Ventajas del aislamiento de red virtual con Cloud Shell

La implementación de Cloud Shell en una red virtual privada ofrece estas ventajas:

  • Los recursos que quiere administrar no tienen que tener direcciones IP públicas.
  • Puede usar herramientas de línea de comandos, SSH y la comunicación remota de PowerShell desde el contenedor de Cloud Shell para administrar los recursos.
  • La cuenta de almacenamiento que Cloud Shell usa no tiene que ser accesible públicamente.

Aspectos que se deben tener en cuenta antes de implementar Azure Cloud Shell en una red virtual

  • Iniciar Cloud Shell en una red virtual suele ser más lento que en una sesión estándar de Cloud Shell.
  • Para el aislamiento de red virtual debe usar Azure Relay, que es un servicio de pago. En el escenario de Cloud Shell, se usa una conexión híbrida para cada administrador mientras usan Cloud Shell. La conexión se cerrará automáticamente cuando finalice la sesión de Cloud Shell.

Architecture

En el diagrama siguiente, se muestra la arquitectura de recursos que deberá compilar para habilitar este escenario.

Illustration of a Cloud Shell isolated virtual network architecture.

  • Red cliente del cliente: los usuarios cliente se pueden encontrar en cualquier lugar de Internet para acceder y autenticarse de forma segura en Azure Portal y usar Cloud Shell para administrar los recursos contenidos en la suscripción del cliente. Para una seguridad más estricta, es posible permitir que los usuarios abran Cloud Shell solamente desde la red virtual contenida en la suscripción.
  • Red de Microsoft: los clientes se conectan a Azure Portal en la red de Microsoft para autenticarse y abrir Cloud Shell.
  • Red virtual del cliente: es la red que contiene las subredes para admitir el aislamiento de red virtual. Los recursos, como máquinas virtuales y servicios, son accesibles directamente desde Cloud Shell sin necesidad de asignar una dirección IP pública.
  • Azure Relay: Azure Relay permite que se comuniquen dos puntos de conexión que no pueden comunicarse directamente. En este caso, se usa para permitir que el explorador del administrador se comunique con el contenedor de la red privada.
  • Recurso compartido de archivos: Cloud Shell necesita una cuenta de almacenamiento a la que se pueda acceder desde la red virtual. La cuenta de almacenamiento proporciona el recurso compartido de archivos que usan los usuarios Cloud Shell.

Para obtener más información, consulte la guía de precios.