Aislamiento de red en Azure DevTest Labs
Este artículo le mostrará cómo crear un laboratorio con aislamiento de red en el servicio Azure DevTest Labs.
Azure DevTest Labs crea una red virtual de Azure para cada laboratorio de forma predeterminada. Las redes virtuales actúan como límites de seguridad que aíslan a los recursos de laboratorio de la red pública de Internet. Para asegurarse de que los recursos de laboratorio siguen las directivas de red de la organización, puede usar muchas otras opciones de red:
- Puede aislar todas las máquinas virtuales (VM) y todos los entornos del laboratorio en una red virtual preexistente que seleccione.
- También puede unir una red virtual de Azure a una red local para poder conectarse a los recursos locales de forma segura. Para obtener más información, consulte la siguiente sección en el artículo Arquitectura de referencia empresarial para DevTest Labs.
- Asimismo, puede aislar el laboratorio completamente, incluidas las VM, los entornos, la cuenta de almacenamiento de laboratorio y los almacenes de claves, en una red virtual que seleccione. En este artículo se describe cómo configurar el aislamiento de red.
Habilitar el aislamiento de red
Puede habilitar el aislamiento de red en Azure Portal, pero solamente durante la creación de un laboratorio. Para convertir un laboratorio existente así como los recursos de laboratorio asociados con él al modo de red aislada, use el script de PowerShell Convert-DtlLabToIsolatedNetwork.ps1.
Durante la creación del laboratorio, puede habilitar el aislamiento de red para la red virtual predeterminada del laboratorio o elegir otra red virtual preexistente para su uso.
Uso de la red virtual y la subred predeterminadas
Para habilitar el aislamiento de red para la red virtual y la subred predeterminadas que DevTest Labs creará para el laboratorio, siga estos pasos:
Durante la creación del laboratorio, en la pantalla Crate DevTest Lab (Crear un laboratorio de DevTest Labs), seleccione la pestaña Redes.
Junto al parámetro Isolate lab resources (Aislar recursos de laboratorio), seleccione el valor Sí.
Finalice la creación del laboratorio.
Después de crear el laboratorio, no será necesario realizar ninguna otra acción. A partir de ahora, el laboratorio controla el aislamiento de los recursos.
Uso de una red virtual y una subred diferentes
Para que el laboratorio use una red virtual que ya existe y habilitar el aislamiento de red para ella, siga estos pasos:
Durante la creación del laboratorio, en la pestaña Redes de la pantalla Create DevTest Lab (Crear un laboratorio de DevTest Labs), seleccione una red en la lista desplegable. La lista solo mostrará las redes de la misma región y suscripción que el laboratorio.
Seleccione una subred.
Junto al parámetro Isolate lab resources (Aislar recursos de laboratorio), seleccione el valor Sí.
Finalice la creación del laboratorio.
Configuración de los puntos de conexión de servicio
Si ha habilitado el aislamiento de red para una red virtual que no sea la predeterminada, complete los siguientes pasos para aislar la cuenta de almacenamiento de laboratorio y el almacén de claves en la red seleccionada. Siga estos pasos tras crear el laboratorio, pero antes de realizar cualquier otra configuración de laboratorio o crear cualquier recurso de laboratorio.
Configuración del punto de conexión para la cuenta de almacenamiento de laboratorio
En la página Información general del laboratorio, seleccione el grupo de recursos.
En la página Información general del grupo de recursos, seleccione la cuenta de almacenamiento del laboratorio. La convención de nomenclatura para la cuenta de almacenamiento es
a\<labName>\<4-digit number>
. Por ejemplo, si el nombre del laboratorio escontosolab
, el nombre de la cuenta de almacenamiento podría seracontosolab1234
.En la página de la cuenta de almacenamiento, seleccione Redes en el panel de navegación izquierdo. En la pestaña Firewalls y redes virtuales, asegúrese de que la opción Allow Azure services on the trusted services list to access this storage account. (Permitir que los servicios de Azure en la lista de servicios de confianza accedan a esta cuenta de almacenamiento.) esté seleccionada.
Como DevTest Labs es un servicio de confianza de Microsoft, esta opción permitirá que el laboratorio funcione con normalidad en un modo de red aislada.
Seleccione Agregar red virtual existente.
En el panel Agregar redes, seleccione la red virtual y la subred que eligió al crear el laboratorio. A continuación, seleccione Agregar.
En la página Redes, seleccione Guardar.
A partir de ahora, Azure Storage permitirá las conexiones entrantes de la red virtual agregada. Esto permitirá que el laboratorio funcione correctamente en un modo de red aislada.
Puede automatizar estos pasos con PowerShell o la CLI de Azure para configurar el aislamiento de red de varios laboratorios. Para más información, vea Configuración de Firewalls y redes virtuales de Azure Storage.
Configuración del punto de conexión para el almacén de claves de laboratorio
En la página Información general del laboratorio, seleccione el grupo de recursos.
En la página Información general del grupo de recursos, seleccione el almacén de claves del laboratorio.
En la página del almacén de claves, seleccione Redes en el panel de navegación izquierdo. En la pestaña Firewalls y redes virtuales, asegúrese de que el valor de la opción Allow trusted Microsoft services to bypass this firewall (Permitir que los servicios de confianza de Microsoft omitan este firewall) esté seleccionado.
Seleccione Agregar redes virtuales existentes.
En el panel Agregar redes, seleccione la red virtual y la subred que eligió al crear el laboratorio. A continuación, seleccione Habilitar.
Cuando el punto de conexión de servicio esté habilitado correctamente, seleccione Agregar.
En la página Redes, seleccione Guardar.
Consideraciones
A continuación, se describen algunos elementos que tener en cuenta al usar un laboratorio en un modo de red aislada:
Habilitación del acceso a la cuenta de almacenamiento desde fuera del laboratorio
El propietario de un laboratorio con aislamiento de red deberá habilitar explícitamente el acceso a la cuenta de almacenamiento de este desde un punto de conexión permitido. Este acceso es necesario para realizar acciones como cargar un VHD en la cuenta de almacenamiento para crear imágenes personalizadas. Para habilitar el acceso, puede crear una VM de laboratorio y acceder de forma segura a la cuenta de almacenamiento del laboratorio desde esa VM.
Para obtener más información, consulte el artículo Tutorial: Conexión a una cuenta de almacenamiento mediante un punto de conexión privado de Azure.
Cómo proporcionar una cuenta de almacenamiento para exportar los datos de uso del laboratorio
Para exportar los datos de uso de un laboratorio con aislamiento de red, el propietario del laboratorio deberá proporcionar una cuenta de almacenamiento de forma explícita y generar un blob en la cuenta para almacenar los datos. La exportación de datos de uso producirá un error en modo de red aislada si el usuario no proporciona explícitamente la cuenta de almacenamiento que se va a usar.
Para obtener más información, consulte el artículo Exportación y eliminación de datos personales de Azure DevTest Labs.
Cómo establecer directivas de acceso al almacén de claves
Habilitar el punto de conexión de servicio del almacén de claves solo afecta al firewall. Asegúrese de configurar los permisos de acceso adecuados del almacén de claves en la sección Directivas de acceso del almacén.
Para más información, consulte Asignación de una directiva de acceso de Key Vault.