Usar Private Link (versión preliminar)
En este artículo se describe cómo usar Private Link para restringir el acceso a la administración de recursos en las suscripciones. Los vínculos privados permiten acceder a los servicios de Azure a través de un punto de conexión privado en la red virtual. Esto evita la exposición del servicio a la red pública de Internet.
En este artículo se describe el proceso de configuración de Private Link mediante Azure Portal.
Importante
Puede habilitar esta característica en niveles, por un precio adicional.
Nota:
La capacidad de usar vínculos privados con Azure Notification Hubs está actualmente en versión preliminar. Si tiene interés en usar esta característica, póngase en contacto con el administrador del equipo de éxito del cliente de Microsoft, o cree una incidencia de soporte técnico de Azure.
Creación de un punto de conexión privado junto con un nuevo centro de notificaciones en el portal
El procedimiento siguiente crea un punto de conexión privado junto con un nuevo centro de notificaciones mediante Azure Portal:
Cree un centro de notificaciones y seleccione la pestaña Redes.
Seleccione Acceso privadoy, después, Crear.
Rellene la suscripción, el grupo de recursos, la ubicación y un nombre para el nuevo punto de conexión privado. Elija una red virtual y una subred. En Integrar con la zona DNS privada, seleccione Sí y escriba privatelink.notificationhubs.windows.net en el cuadro Zona DNS privada.
Seleccione Aceptar para ver la confirmación del espacio de nombres y la creación del centro con un punto de conexión privado.
Seleccione Crear para crear el centro de notificaciones con una conexión de punto de conexión privado.
Creación de un punto de conexión privado para un centro de notificaciones existente en el portal
En el portal, en el lado izquierdo de la sección Seguridad y redes, seleccione Notification Hubsy, a continuación, Redes.
Seleccione la pestaña Acceso privado.
Rellene la suscripción, el grupo de recursos, la ubicación y un nombre para el nuevo punto de conexión privado. Elija una red virtual y una subred. Seleccione Crear.
Creación de un punto de conexión privado mediante la CLI
Inicie sesión en la CLI de Azure y establezca una suscripción:
az login az account set --subscription <azure_subscription_id>Cree un nuevo grupo de recursos:
az group create -n <resource_group_name> -l <azure_region>Registre Microsoft.NotificationHubs como proveedor:
az provider register -n Microsoft.NotificationHubsCree un nuevo espacio de nombres y un centro de Notification Hubs:
az notification-hub namespace create --name <namespace_name> --resource-group <resource_group_name> --location <azure_region> --sku "Standard" az notification-hub create --name <notification_hub_name> --namespace-name <namespace_name> --resource-group <resource_group_name> --location <azure_region>Cree una red virtual con una subred:
az network vnet create --resource-group <resource_group_name> --name <vNet name> --location <azure_region> az network vnet subnet create --resource-group <resource_group_name> --vnet-name <vNet_name> --name <subnet_name> --address-prefixes <address_prefix>Deshabilite directivas de red virtual:
az network vnet subnet update --name <subnet_name> --resource-group <resource_group_name> --vnet-name <vNet_name> --disable-private-endpoint-network-policies trueAgregue zonas DNS privadas y vincúlelas a una red virtual:
az network private-dns zone create --resource-group <resource_group_name> --name privatelink.servicebus.windows.net az network private-dns zone create --resource-group <resource_group_name> --name privatelink.notoficationhub.windows.net az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.servicebus.windows.net --name <dns_zone_link_name> --registration-enabled true az network private-dns link vnet create --resource-group <resource_group_name> --virtual-network <vNet_name> --zone-name privatelink.notificationhub.windows.net --name <dns_zone_link_name> --registration-enabled trueCree un punto de conexión privado (aprobado automáticamente):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vNet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region>Cree un punto de conexión privado (con aprobación de solicitud manual):
az network private-endpoint create --resource-group <resource_group_name> --vnet-name <vnet_name> --subnet <subnet_name> --name <private_endpoint_name> --private-connection-resource-id "/subscriptions/<azure_subscription_id>/resourceGroups/<resource_group_name>/providers/Microsoft.NotificationHubs/namespaces/<namespace_name>" --group-ids namespace --connection-name <private_link_connection_name> --location <azure-region> --manual-requestMostrar el estado de conexión:
az network private-endpoint show --resource-group <resource_group_name> --name <private_endpoint_name>
Administración de puntos de conexión privados mediante el portal
Cuando se crea un punto de conexión privado, se debe aprobar la conexión. Si el recurso para el que va a crear un punto de conexión privado está en el directorio, puede aprobar la solicitud de conexión siempre que tenga permisos suficientes. Si se va a conectar a un recurso de Azure en otro directorio, debe esperar a que el propietario de ese recurso apruebe la solicitud de conexión.
Hay cuatro estados de aprovisionamiento:
| Acción del servicio | Estado de punto de conexión privado del consumidor del servicio | Descripción |
|---|---|---|
| None | Pending | La conexión se crea manualmente y está pendiente de aprobación por parte del propietario del recurso de Private Link. |
| Aprobación | Aprobado | La conexión se aprobó de forma automática o manual y está lista para usarse. |
| Reject | Rechazada | El propietario del recurso de vínculo privado rechazó la conexión. |
| Remove | Escenario desconectado | El propietario del recurso de vínculo privado quitó la conexión. El punto de conexión privado se vuelve informativo y debe eliminarse para la limpieza. |
Aprobación, rechazo o eliminación de una conexión de punto de conexión privado
- Inicie sesión en Azure Portal.
- En la barra de búsqueda, escriba Notification Hubs.
- Seleccione el espacio de nombres que desea administrar.
- Seleccione la pestaña Redes.
- Vaya a la sección correspondiente según la operación que desee: aprobar, rechazar o quitar.
Aprobación de una conexión de punto de conexión privado
Si hay alguna conexión pendiente, verá una conexión cuyo estado de aprovisionamiento es Pendienteen el estado de aprovisionamiento.
Seleccione el punto de conexión privado que quiere aprobar.
Seleccione Approve (Aprobar).
En la página Aprobar conexión, escriba un comentario opcional y seleccione Sí. Si selecciona No, no ocurrirá nada.
Ahora puede ver que el estado de la conexión de la lista cambió a Aprobado.
Rechazo de una conexión de punto de conexión privado
Si hay alguna conexión de punto de conexión privado que desee rechazar, tanto si es una solicitud pendiente como una conexión existente aprobada anteriormente, seleccione el icono de conexión del punto de conexión y seleccione Rechazar.
En la página Rechazar conexión, escriba un comentario opcional y seleccione Sí. Si selecciona No, no ocurrirá nada.
Ahora puede ver que el estado de la conexión de la lista cambió a Rechazado.
Eliminación de una conexión de punto de conexión privado
Para eliminar una conexión de punto de conexión privado, selecciónela en la lista y seleccione Eliminar en la barra de herramientas:
En la página Eliminar conexión, seleccione Sí para confirmar la eliminación del punto de conexión privado. Si selecciona No, no ocurrirá nada.
Debería ver el estado de la conexión en la lista cambiar a Desconectado. Después, el punto de conexión desaparece de la lista.
Validación de que la conexión de vínculo privado funciona
Debe comprobar que los recursos de la red virtual del punto de conexión privado se conectan al espacio de nombres de Notification Hubs mediante una dirección IP privada y que tienen la integración correcta de la zona DNS privada.
En primer lugar, cree una máquina virtual siguiendo los pasos que encontrará en Creación de una máquina virtual Windows en Azure Portal.
Haga clic en la pestaña Redes:
- Especificación de la Red virtual y la Subred. Debe seleccionar la instancia de Virtual Network en la que implementó el punto de conexión privado.
- Especifique un recurso de dirección IP pública.
- En Grupo de seguridad de red de NIC, seleccione Ninguno.
- En Equilibrio de carga, seleccione No.
Conéctese a la máquina virtual, abra una línea de comandos y ejecute el siguiente comando:
Resolve-DnsName <namespace_name>.privatelink.servicebus.windows.net
Cuando el comando se ejecuta desde la máquina virtual, devuelve la dirección IP de la conexión del punto de conexión privado. Cuando se ejecuta desde una red externa, devuelve la dirección IP pública de uno de los clústeres de Notification Hubs.
Limitaciones y consideraciones de diseño
Limitaciones: Esta característica está disponible en todas las regiones públicas de Azure. Número máximo de puntos de conexión privados por espacio de nombres de Notification Hubs: 200
Para más información, consulte Servicio Azure Private Link: Limitaciones.