Tutorial: Conexión a una cuenta de almacenamiento mediante un punto de conexión privado de Azure

  • Artículo
  • Tiempo de lectura: 7 minutos

Un punto de conexión privado de Azure es el bloque de creación fundamental para Private Link en Azure. Permite que los recursos de Azure, como las máquinas virtuales, se comuniquen de manera privada y segura con los recursos de Private Link, como Azure Storage.

En este tutorial, aprenderá a:

  • Crear una red virtual y un host bastión.
  • Cree una máquina virtual.
  • Crear una cuenta de almacenamiento con un punto de conexión privado.
  • Probar la conectividad con el punto de conexión privado de la cuenta de almacenamiento.

Si no tiene una suscripción a Azure, cree una cuenta gratuita antes de empezar.

Requisitos previos

  • Una suscripción de Azure

Inicio de sesión en Azure

Inicie sesión en Azure Portal.

Creación de una red virtual y un host bastión

En esta sección, creará una red virtual, una subred y un host bastión.

El host bastión se utilizará para conectarse de forma segura a la máquina virtual a fin de probar el punto de conexión privado.

  1. En la parte superior izquierda de la pantalla, seleccione Crear un recurso > Redes > Red virtual o busque Red virtual en el cuadro de búsqueda.

  2. En Crear red virtual, escriba o seleccione esta información en la pestaña Conceptos básicos:

    Parámetro Value
    Detalles del proyecto
    Suscripción Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione Crear nuevo.
    Escriba myResourceGroup en Nombre.
    Seleccione Aceptar.
    Detalles de instancia
    Nombre Escriba myVNet.
    Region Seleccione Este de EE. UU.

  3. Seleccione la pestaña Direcciones IP o el botón Siguiente: Direcciones IP situado en la parte inferior de la página.

  4. En la pestaña Direcciones IP, especifique esta información:

    Configuración Value
    Espacio de direcciones IPv4 Escriba 10.1.0.0/16.

  5. En Nombre de subred, seleccione la palabra predeterminada.

  6. En Editar subred, especifique esta información:

    Configuración Value
    Nombre de subred Escriba mySubnet.
    Intervalo de direcciones de subred Escriba 10.1.0.0/24.

  7. Seleccione Guardar.

  8. Seleccione la pestaña Seguridad .

  9. En BastionHost, seleccione Habilitar. Escriba esta información:

    Configuración Value
    Nombre del bastión Escriba MyBastionHost.
    Espacio de direcciones de AzureBastionSubnet Escriba 10.1.1.0/24.
    Dirección IP pública Seleccione Crear nuevo.
    En Nombre, escriba myBastionIP.
    Seleccione
    .

  10. Seleccione la pestaña Revisar y crear o el botón Revisar y crear.

  11. Seleccione Crear.

Creación de una máquina virtual

En esta sección, creará una máquina virtual que se utilizará para probar el punto de conexión privado.

  1. En la parte superior izquierda del portal, seleccione Crear un recurso>Proceso>Máquina virtual o Máquina virtual en el cuadro de búsqueda.

  2. En Crear una máquina virtual, escriba o seleccione los valores en la pestaña Básico:

    Configuración Value
    Detalles del proyecto
    Suscripción Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione myResourceGroup.
    Detalles de instancia
    Nombre de la máquina virtual Escriba myVM.
    Region Seleccione (EE. UU.) Este de EE. UU. .
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Tipo de seguridad Seleccione Estándar.
    Imagen Seleccione Windows Server 2019 Datacenter - Gen2.
    Instancia de Azure Spot así que seleccione No.
    Size Elija el tamaño de la máquina virtual o acepte la configuración predeterminada.
    Cuenta de administrador
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.
    Confirmación de la contraseña Vuelva a escribir la contraseña.

  3. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.

  4. En la pestaña Redes, seleccione o escriba:

    Configuración Value
    Interfaz de red.
    Virtual network myVNet.
    Subnet mySubnet.
    Dirección IP pública Seleccione Ninguno.
    Grupo de seguridad de red de NIC Básico.
    Puertos de entrada públicos Seleccione Ninguno.

  5. Seleccione Revisar + crear.

  6. Revise la configuración y, a continuación, seleccione Crear.

Nota

Azure proporciona una dirección IP de acceso de salida predeterminado para las máquinas virtuales que no tienen asignada una dirección IP pública o que se encuentran en el grupo de back-end de una instancia de Azure Load Balancer del nivel Básico interna. El mecanismo de dirección IP de acceso de salida predeterminado proporciona una dirección IP de salida que no se puede configurar.

Para más información, vea Acceso de salida predeterminado en Azure.

La dirección IP de acceso de salida predeterminado se deshabilita cuando se asigna una dirección IP pública a la máquina virtual o cuando se coloca la máquina virtual en el grupo de back-end de una instancia de Standard Load Balancer con o sin reglas de salida. Si se asigna un recurso de puerta de enlace de traducción de direcciones de red (NAT) de Azure Virtual Network a la subred de la máquina virtual, la dirección IP de acceso de salida predeterminado se deshabilita.

Las máquinas virtuales creadas por conjuntos de escalado de máquinas virtuales en modo de orquestación flexible no tienen acceso de salida predeterminado.

Para más información sobre las conexiones salientes en Azure, vea Uso de la Traducción de direcciones de red de origen (SNAT) para conexiones salientes.

Creación de una cuenta de almacenamiento con un punto de conexión privado

En esta sección, creará una cuenta de almacenamiento y configurará el punto de conexión privado.

  1. En el menú izquierdo, seleccione Crear un recurso>Almacenamiento>Cuenta de almacenamiento o busque Cuenta de almacenamiento en el cuadro de búsqueda.

  2. En la pestaña Aspectos básicos de la página Crear cuenta de almacenamiento, escriba o seleccione la información siguiente:

    Configuración Value
    Detalles del proyecto
    Suscripción Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione myResourceGroup.
    Detalles de instancia
    Nombre de la cuenta de almacenamiento Escriba mystorageaccount. Si el nombre no está disponible, escriba un nombre único.
    Location Seleccione (EE. UU.) Este de EE. UU. .
    Rendimiento Deje el valor predeterminado Estándar.
    Redundancia Seleccione Almacenamiento con redundancia local (LRS) .

  3. Seleccione la pestaña Redes o el botón Siguiente: Redes.

  4. En la pestaña Redes, en Conectividad de red, seleccione Deshabilitar el acceso público y usar el acceso privado.

  5. En Punto de conexión privado, seleccione + Agregar punto de conexión privado.

  6. En Crear un punto de conexión privado, escriba o seleccione la siguiente información:

    Configuración Value
    Suscripción Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione myResourceGroup.
    Location Seleccione Este de EE. UU.
    Nombre Escriba myPrivateEndpoint.
    Recurso secundario de almacenamiento Deje el valor predeterminado blob.
    Redes
    Virtual network Seleccione myVNet.
    Subnet Seleccione mySubnet.
    Integración de DNS privado.
    Integración con una zona DNS privada Deje el valor predeterminado .
    Zona DNS privada Deje el valor predeterminado (New) privatelink.blob.core.windows.net.

  7. Seleccione Aceptar.

  8. Seleccione Revisar + crear.

  9. Seleccione Crear.

  10. En el panel de navegación de la izquierda, seleccione Grupos de recursos.

  11. Seleccione myResourceGroup.

  12. Seleccione la cuenta de almacenamiento que creó en los pasos previos.

  13. En la sección Seguridad y redes de la cuenta de almacenamiento, seleccione Claves de acceso.

  14. Seleccione Mostrar claves y, a continuación, seleccione copiar en la cadena de conexión para key1.

Agregar un contenedor

  1. Seleccione Ir al recurso o, en el menú de la izquierda de Azure Portal, seleccione Todos los recursos>mystorageaccount.

  2. En la sección Almacenamiento de datos, seleccione Contenedores.

  3. Seleccione + Contenedor para crear un nuevo contenedor.

  4. Escriba mycontainer en Nombre y seleccione Privado (sin acceso anónimo) en Nivel de acceso público.

  5. Seleccione Crear.

Prueba de la conectividad con el punto de conexión privado

En esta sección, utilizará la máquina virtual creada en el paso anterior para conectarse a la cuenta de almacenamiento en el punto de conexión privado con el Explorador de Microsoft Azure Storage.

  1. En el panel de navegación de la izquierda, seleccione Grupos de recursos.

  2. Seleccione myResourceGroup.

  3. Seleccione myVM.

  4. En la página de información general para myVM, seleccione Conectar y, luego, Bastion.

  5. Especifique el nombre de usuario y la contraseña proporcionados durante la creación de la máquina virtual.

  6. Seleccione el botón Conectar.

  7. Abra Windows PowerShell en el servidor después de conectarse.

  8. Escriba nslookup <storage-account-name>.blob.core.windows.net. Reemplace <storage-account-name> por el nombre de la cuenta de almacenamiento creada en los pasos anteriores. Recibirá un mensaje similar al que se muestra a continuación:

    Server:  UnKnown
Address:  168.63.129.16

Non-authoritative answer:
Name:    mystorageaccount.privatelink.blob.core.windows.net
Address:  10.1.0.5
Aliases:  mystorageaccount.blob.core.windows.net

    Se devuelve una dirección IP privada de 10.1.0.5 para el nombre de la cuenta de almacenamiento. Esta dirección se encuentra en la subred mySubnet de la red virtual myVNet que creó anteriormente.

  9. Instale el Explorador de Microsoft Azure Storage en la máquina virtual.

  10. Seleccione Finalizar después de instalar el Explorador de Microsoft Azure Storage. Deje activada la casilla para abrir la aplicación.

  11. En la pantalla Seleccionar recurso, seleccione Cuenta o servicio de almacenamiento para agregar una conexión en el Explorador de Microsoft Azure Storage a la cuenta de almacenamiento que creó en los pasos anteriores.

  12. En la pantalla Seleccionar método de conexión, seleccione Cadena de conexión y, a continuación, Siguiente.

  13. En el cuadro Cadena de conexión, pegue la cadena de conexión de la cuenta de almacenamiento copiada en los pasos anteriores. El nombre de la cuenta de almacenamiento se rellenará automáticamente en el cuadro en Nombre para mostrar.

  14. Seleccione Next (Siguiente).

  15. Compruebe que la configuración sea correcta en Resumen.

  16. Seleccione Conectar y, a continuación, seleccione mystorageaccount en el menú de la izquierda Cuentas de almacenamiento.

  17. En Contenedores de blobs, verá mycontainer que creó en los pasos anteriores.

  18. Cierre la conexión con myVM.

Limpieza de recursos

Si no va a seguir usando esta aplicación, elimine la red virtual, la máquina virtual y la cuenta de almacenamiento mediante los pasos siguientes:

  1. En el menú izquierdo, seleccione Grupos de recursos.

  2. Seleccione myResourceGroup.

  3. Seleccione Eliminar grupo de recursos.

  4. Especifique myResourceGroup en ESCRIBA EL NOMBRE DEL GRUPO DE RECURSOS.

  5. Seleccione Eliminar.

Pasos siguientes

En este tutorial, ha aprendido a crear:

  • Una red virtual y un host bastión.
  • Una máquina virtual.
  • Una cuenta de almacenamiento y un contenedor.

Aprenda a conectarse a una cuenta de Azure Cosmos DB mediante un punto de conexión privado de Azure:

Conexión a Azure Cosmos mediante un punto de conexión privado