Tutorial: Conexión a una cuenta de almacenamiento mediante un punto de conexión privado de Azure
Un punto de conexión privado de Azure es el bloque de creación fundamental para Private Link en Azure. Permite que los recursos de Azure, como las máquinas virtuales, se comuniquen de manera privada y segura con los recursos de Private Link, como Azure Storage.
En este tutorial, aprenderá a:
- Crear una red virtual y un host bastión.
- Cree una cuenta de almacenamiento y deshabilite el acceso público.
- Cree un punto de conexión privado para la cuenta de almacenamiento.
- Cree una máquina virtual.
- Probar la conectividad con el punto de conexión privado de la cuenta de almacenamiento.
Prerrequisitos
- Suscripción a Azure. Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.
Inicio de sesión en Azure
Inicie sesión en Azure Portal.
Crear una red virtual y un host de Azure Bastion
El procedimiento siguiente crea una red virtual con una subred de recursos, una subred de Azure Bastion y un host de Bastion:
En el portal, busque y seleccione Redes virtuales.
En la página Redes virtuales, seleccione y Crear.
En la pestaña Datos básicos de Crear una red virtual, introduzca o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione Crear nuevo.
Escriba test-rg para el nombre.
Seleccione Aceptar.Detalles de instancia Nombre Escriba vnet-1. Region Seleccione Este de EE. UU. 2. 
Seleccione Siguiente para ir a la pestaña Seguridad.
En la sección Azure Bastion, seleccione Habilitar Bastion.
Bastion usa el explorador para conectarse a las máquinas virtuales de la red virtual a través del shell seguro (SSH) o el protocolo de escritorio remoto (RDP) mediante sus direcciones IP privadas. Las máquinas virtuales no necesitan direcciones IP públicas, software cliente ni configuración especial. Para más información, consulte ¿Qué es Azure Bastion?.
Nota:
Los precios por hora comienzan desde el momento en que se implementa Bastion, independientemente del uso de datos salientes. Para más información, consulte Precios y SKU. Si va a implementar Bastion como parte de un tutorial o prueba, se recomienda eliminar este recurso una vez que haya terminado de usarlo.
En Azure Bastion, escriba o seleccione la información siguiente:
Configuración Valor Nombre de host de Azure Bastion Escriba bastión. Dirección IP pública de Azure Bastion Seleccione Crear una dirección IP pública.
Escriba public-ip-bastion en Nombre.
Seleccione Aceptar.
Seleccione Siguiente para continuar a la pestaña Direcciones IP.
En el cuadro espacio de direcciones de Subredes, seleccione la subred predeterminada.
En Agregar subred, escriba o seleccione la información siguiente:
Configuración Valor Detalles de subred Plantilla de subred Deje el valor predeterminado Predeterminado. Nombre Escriba subnet-1. Dirección inicial Deje el valor predeterminado de 10.0.0.0. Tamaño de la subred Deje el valor predeterminado de /24 (256 direcciones). 
Seleccione Guardar.
En la parte inferior de la ventana, seleccione Revisar y crear. Cuando se supera la validación, seleccione Crear.
Cree una cuenta de almacenamiento
Cree una cuenta de Azure Storage para los pasos descritos en este artículo. Si ya tiene una cuenta de almacenamiento, puede usarla.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione + Create (+ Crear).
En la pestaña Aspectos básicos de la página Crear cuenta de almacenamiento, escriba o seleccione la información siguiente:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción a Azure. Grupo de recursos Seleccione test-rg. Detalles de instancia Nombre de la cuenta de almacenamiento Escriba storage1. Si el nombre no está disponible, escriba un nombre único. Location Seleccione (EE. UU.) Este de EE. UU. 2. Rendimiento Deje el valor predeterminado Estándar. Redundancia Seleccione Almacenamiento con redundancia local (LRS) . Seleccione Review (Revisar).
Seleccione Crear.
Deshabilite el acceso público a la cuenta de almacenamiento
Antes de crear el punto de conexión privado, se recomienda deshabilitar el acceso público a la cuenta de almacenamiento. Siga estos pasos para deshabilitar el acceso público a la cuenta de almacenamiento.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione storage1 o el nombre de su cuenta de almacenamiento existente.
En Seguridad y redes, seleccione Redes.
En la pestaña Firewalls y redes virtuales del acceso a la red pública, seleccione Deshabilitado.
Seleccione Guardar.
Creación de un punto de conexión privado
En el cuadro de búsqueda de la parte superior del portal, escriba Punto de conexión privado. Seleccione Puntos de conexión privados.
Seleccione + Crear en Puntos de conexión privados.
En la pestaña Aspectos básicos de Crear un punto de conexión privado, escriba o seleccione la siguiente información.
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre Introduzca private-endpoint. Nombre de la interfaz de red Deje el valor predeterminado de private-endpoint-nic. Region Seleccione Este de EE. UU. 2. Seleccione Siguiente: Resource (Siguiente: Recurso).
En el panel Recurso, escriba o seleccione la siguiente información.
Configuración Value Método de conexión Deje el valor predeterminado de Conectarse a un recurso de Azure en mi directorio. Subscription Seleccione su suscripción. Tipo de recurso Seleccione Microsoft.Storage/storageAccounts. Resource Seleccione storage-1 o la cuenta de almacenamiento. Subrecurso de destino Seleccione blob. Seleccione Siguiente: Máquinas virtuales.
En Red virtual, escriba o seleccione la siguiente información.
Configuración Value Redes Virtual network Seleccione vnet-1 (test-rg). Subnet Seleccione subnet-1. Directiva de red para los puntos de conexión privados Seleccione Editar para aplicar la Directiva de red para los puntos de conexión privados.
En Editar directiva de red de subred, active la casilla situada junto a Grupos de seguridad de red y Tablas de rutas en el menú desplegable Configuración de directivas de red para todos los puntos de conexión privados de esta subred .
Seleccione Guardar.
Para más información, consulte Administración de directivas de red para puntos de conexión privados.Configuración Value Configuración de IP privada Seleccione Asignar dinámicamente la dirección IP. 
Seleccione Next: DNS (Siguiente: DNS).
Deje los valores predeterminados en DNS. Seleccione Siguiente: Etiquetas y Siguiente: Revisar y crear.
Seleccione Crear.
Creación de una máquina virtual de prueba
El procedimiento siguiente crea una máquina virtual (VM) de prueba denominada vm-1 en la red virtual.
En el portal, busque y seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione + Crear y, después, Máquina virtual de Azure.
En la pestaña Datos básicos de Crear una máquina virtual, escriba o seleccione la siguiente información:
Configuración Value Detalles del proyecto Subscription Seleccione su suscripción. Resource group Seleccione test-rg. Detalles de instancia Nombre de la máquina virtual Escriba vm-1. Region Seleccione Este de EE. UU. 2. Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura. Tipo de seguridad Deje el valor predeterminado Estándar. Imagen Seleccione Windows Server 2022 Datacenter - x64 Gen2. Arquitectura VM Deje el valor predeterminado, x64. Size Seleccione un tamaño. Cuenta de administrador Tipo de autenticación Seleccione Contraseña. Nombre de usuario escriba usuarioazure. Contraseña Escriba una contraseña. Confirmar contraseña Reescriba la contraseña. Reglas de puerto de entrada Puertos de entrada públicos Seleccione Ninguno. Seleccione la pestaña Redes en la parte superior de la página.
En la pestaña Redes, escriba o seleccione la siguiente información:
Parámetro Valor Interfaz de red Virtual network Seleccione vnet-1. Subnet Seleccione subnet-1 (10.0.0.0/24). Dirección IP pública Seleccione Ninguno. Grupo de seguridad de red de NIC Seleccione Advanced (Avanzadas). Configuración del grupo de seguridad de red Seleccione Crear nuevo.
Escriba nsg-1 como nombre.
Deje el resto de los valores predeterminados y seleccione Aceptar.Deje el resto de las opciones en sus valores predeterminados y luego seleccione Revisar + crear.
Revise la configuración y seleccione Crear.
Nota
Las máquinas virtuales de una red virtual con un host bastión no necesitarán direcciones IP públicas. Bastion proporcionará la dirección IP pública y las máquinas virtuales usarán direcciones IP privadas para comunicarse dentro de la red. Es posible quitar las direcciones IP públicas de cualquier máquina virtual en redes virtuales hospedadas por Bastion. Para obtener más información, consulte Desasociación de una dirección IP pública de una máquina virtual de Azure.
Nota:
Azure proporciona una dirección IP de acceso de salida predeterminada para las máquinas virtuales que no tienen asignada una dirección IP pública o están en el grupo back-end de un equilibrador de carga de Azure básico interno. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.
La dirección IP de acceso de salida predeterminada está deshabilitada cuando se produce uno de los siguientes eventos:
- Se asigna una dirección IP pública a la máquina virtual.
- La máquina virtual se coloca en el grupo back-end de un equilibrador de carga estándar, con o sin reglas de salida.
- Se asigna un recurso de Azure NAT Gateway a la subred de la máquina virtual.
Las máquinas virtuales creadas mediante conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.
Para más información sobre las conexiones de salida en Azure, vea Acceso de salida predeterminado en Azure y Uso de traducción de direcciones de red (SNAT) de origen para conexiones de salida.
Clave de acceso de almacenamiento
La clave de acceso de almacenamiento es necesaria para los pasos posteriores. Vaya a la cuenta de almacenamiento que creó anteriormente y copie la cadena de conexión con la clave de acceso de la cuenta de almacenamiento.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione la cuenta de almacenamiento que creó en los pasos anteriores o la cuenta de almacenamiento existente.
En la sección Seguridad y redes de la cuenta de almacenamiento, seleccione Claves de acceso.
Seleccione Mostrar y, a continuación, seleccione copiar en la Cadena de conexión para key1.
Incorporación de un contenedor de blobs
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Cuenta de almacenamiento. En los resultados de la búsqueda, seleccione Cuentas de almacenamiento.
Seleccione la cuenta de almacenamiento que creó en los pasos previos.
En la sección Almacenamiento de datos, seleccione Contenedores.
Seleccione + Contenedor para crear un nuevo contenedor.
Escriba container en Nombre y seleccione Privado (sin acceso anónimo) en Nivel de acceso público.
Seleccione Crear.
Prueba de la conectividad con el punto de conexión privado
En esta sección, utilice la máquina virtual creada en el paso anterior para conectarse a la cuenta de almacenamiento en el punto de conexión privado con el Explorador de Microsoft Azure Storage.
En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Máquina virtual. En los resultados de la búsqueda, seleccione Máquinas virtuales.
Seleccione vm-1.
En Operaciones, seleccione Bastion.
Especifique el nombre de usuario y la contraseña proporcionados durante la creación de la máquina virtual.
Seleccione Conectar.
Abra Windows PowerShell en el servidor después de conectarse.
Escriba
nslookup <storage-account-name>.blob.core.windows.net. Reemplace <storage-account-name> por el nombre de la cuenta de almacenamiento creada en los pasos anteriores. El siguiente ejemplo muestra la salida del comando.Server: UnKnown Address: 168.63.129.16 Non-authoritative answer: Name: storage1.privatelink.blob.core.windows.net Address: 10.0.0.10 Aliases: mystorageaccount.blob.core.windows.netSe devuelve una dirección IP privada de 10.0.0.10 para el nombre de la cuenta de almacenamiento. Esta dirección se encuentra en la subred subnet-1 de la red virtual vnet-1 que creó anteriormente.
Instale el Explorador de Microsoft Azure Storage en la máquina virtual.
Seleccione Finalizar después de instalar el Explorador de Microsoft Azure Storage. Deje activada la casilla para abrir la aplicación.
Seleccione el símbolo del interruptor de alimentación para abrir el cuadro de diálogo Seleccionar recurso en la barra de herramientas de la izquierda.
En Seleccionar recurso, seleccione Cuenta o servicio de almacenamiento para agregar una conexión en el Explorador de Microsoft Azure Storage a la cuenta de almacenamiento que creó en los pasos anteriores.
En la pantalla Seleccionar método de conexión, seleccione Cadena de conexión y, a continuación, Siguiente.
En el cuadro Cadena de conexión, pegue la cadena de conexión de la cuenta de almacenamiento copiada en los pasos anteriores. El nombre de la cuenta de almacenamiento se rellenará automáticamente en el cuadro en Nombre para mostrar.
Seleccione Next (Siguiente).
Compruebe que la configuración sea correcta en Resumen.
Seleccione Conectar.
Seleccione la cuenta de almacenamiento en Cuentas de almacenamiento en el menú del explorador.
Expanda la cuenta de almacenamiento y después Contenedores de blob.
Se muestra el contenedor container que creó anteriormente.
Cierre la conexión con vm-1.
Limpieza de recursos
Cuando haya terminado de utilizar los recursos creados, puede eliminar el grupo de recursos y todos sus recursos:
En Azure Portal, busque y seleccione Grupos de recursos.
En la página Grupos de recursos, seleccione el grupo de recursos test-rg.
En la página test-rg, elija Eliminar grupo de recursos.
Escriba test-rg en Introducir nombre del grupo de recursos para confirmar la eliminación y, luego, seleccione Eliminar.
Pasos siguientes
En este tutorial, ha aprendido a crear:
Una red virtual y un host bastión.
Una máquina virtual.
Una cuenta de almacenamiento y un contenedor.
Aprenda a conectarse a una cuenta de Azure Cosmos DB a través de un punto de conexión privado de Azure: