Administración de puntos de conexión privados de Azure
Los puntos de conexión privados de Azure tienen varias opciones para administrar su configuración e implementación.
Puede determinar GroupId los valores y MemberName consultando el recurso de Azure Private Link. Necesita los GroupId valores y MemberName para configurar una dirección IP estática para un punto de conexión privado durante la creación.
Un punto de conexión privado tiene dos propiedades personalizadas: dirección IP estática y nombre de interfaz de red. Estas propiedades deben establecerse cuando se crea el punto de conexión privado.
Con un proveedor de servicios y una implementación de consumidor de Private Link, se aplica un proceso de aprobación para realizar la conexión.
Determinar GroupID y MemberName
Durante la creación de un punto de conexión privado con Azure PowerShell y la CLI de Azure, es posible que se necesiten los GroupId valores y MemberName del recurso de punto de conexión privado.
GroupIdes el subrecurso del punto de conexión privado.MemberNamees la marca única para la dirección IP privada del punto de conexión.
Para más información sobre los subrecursos de punto de conexión privado y sus valores, consulte Recurso de Private Link.
Para determinar los valores de y MemberName para el recurso de punto de GroupId conexión privado, use los siguientes comandos. MemberName se encuentra dentro de la RequiredMembers propiedad .
Una aplicación web de Azure se usa como recurso de punto de conexión privado de ejemplo. Use Get-AzPrivateLinkResource para determinar los valores de GroupId y MemberName.
## Place the previously created webapp into a variable. ##
$webapp =
Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
$resource =
Get-AzPrivateLinkResource -PrivateLinkResourceId $webapp.ID
Debe recibir una salida similar al ejemplo siguiente.
Propiedades personalizadas
El cambio de nombre de la interfaz de red y la asignación de direcciones IP estáticas son propiedades personalizadas que puede establecer en un punto de conexión privado durante la creación.
Cambio de nombre de una interfaz de red
De manera predeterminada, cuando se crea un punto de conexión privado, la interfaz de red asociada al punto de conexión privado recibe un nombre aleatorio para su interfaz de red. La interfaz de red debe tener un nombre cuando se crea el punto de conexión privado. No se admite el cambio de nombre de la interfaz de red de un punto de conexión privado que ya exista.
Use los siguientes comandos al crear un punto de conexión privado para cambiar el nombre de la interfaz de red.
Para cambiar el nombre de la interfaz de red cuando se crea el punto de conexión privado, use el parámetro -CustomNetworkInterfaceName. En el ejemplo siguiente se usa un comando de Azure PowerShell para crear un punto de conexión privado en una aplicación web de Azure. Para más información, consulte New-AzPrivateEndpoint.
## Place the previously created webapp into a variable. ##
$webapp = Get-AzWebApp -ResourceGroupName myResourceGroup -Name myWebApp1979
## Create the private endpoint connection. ##
$pec = @{
Name = 'myConnection'
PrivateLinkServiceId = $webapp.ID
GroupID = 'sites'
}
$privateEndpointConnection = New-AzPrivateLinkServiceConnection @pec
## Place the virtual network you created previously into a variable. ##
$vnet = Get-AzVirtualNetwork -ResourceGroupName 'myResourceGroup' -Name 'myVNet'
## Create the private endpoint. ##
$pe = @{
ResourceGroupName = 'myResourceGroup'
Name = 'myPrivateEndpoint'
Location = 'eastus'
Subnet = $vnet.Subnets[0]
PrivateLinkServiceConnection = $privateEndpointConnection
CustomNetworkInterfaceName = 'myPrivateEndpointNIC'
}
New-AzPrivateEndpoint @pe
Dirección IP estática
De forma predeterminada, cuando se crea un punto de conexión privado, se asigna automáticamente la dirección IP del punto de conexión. La dirección IP se asigna desde el intervalo IP de la red virtual configurada para el punto de conexión privado. Puede surgir una situación cuando se requiere una dirección IP estática para el punto de conexión privado. La dirección IP estática debe asignarse cuando se crea el punto de conexión privado. Actualmente no se admite la configuración de una dirección IP estática para un punto de conexión privado que ya exista.
Para conocer los procedimientos para configurar una dirección IP estática al crear un punto de conexión privado, consulte Creación de un punto de conexión privado mediante Azure PowerShell y Creación de un punto de conexión privado mediante la CLI de Azure.
Conexiones de punto de conexión privado
Private Link funciona en un modelo de aprobación en el que el consumidor de Private Link puede solicitar una conexión al proveedor de servicios para consumir el servicio.
A partir de ese momento, el proveedor de servicios puede decidir si va a permitir al consumidor conectarse o no. Private Link permite a los proveedores de servicios administrar la conexión de punto de conexión privado en sus recursos.
Hay dos métodos de aprobación de conexión entre los que un consumidor de Private Link puede elegir:
Automático: si el consumidor de servicios tiene permisos de control de acceso basado en rol (RBAC) de Azure en el recurso del proveedor de servicios, el consumidor puede elegir el método de aprobación automática. Cuando el recurso del proveedor de servicios recibe la solicitud, el proveedor de servicios no tiene que hacer nada y la conexión se aprueba automáticamente.
Manual: si el consumidor del servicio no tiene permisos de RBAC en el recurso del proveedor de servicios, el consumidor puede elegir el método de aprobación manual. La solicitud de conexión aparece en los recursos del servicio como Pendiente. El proveedor de servicios debe aprobar manualmente la solicitud antes de que puedan establecerse las conexiones.
En los casos manuales, el consumidor del servicio también puede especificar un mensaje con la solicitud para proporcionar más contexto al proveedor de servicios. El proveedor de servicios tiene las siguientes opciones para elegir entre todas las conexiones de punto de conexión privado: Aprobar, Rechazar y Quitar.
Importante
Para aprobar las conexiones con un punto de conexión privado que se encuentra en una suscripción o un inquilino independientes, asegúrese de que la suscripción del proveedor o el inquilino haya registrado Microsoft.Network. La suscripción de consumidor o el inquilino también deben tener registrado el proveedor de recursos del recurso de destino.
En la tabla siguiente se muestran las distintas acciones del proveedor de servicios y los estados de conexión resultantes para los puntos de conexión privados. El proveedor de servicios puede cambiar el estado de la conexión más adelante sin intervención del consumidor. La acción actualiza el estado del punto de conexión en el lado del consumidor.
| Acción del proveedor de servicios | Estado de punto de conexión privado del consumidor del servicio | Descripción |
|---|---|---|
| None | Pending | La conexión se crea manualmente y está pendiente de aprobación por parte del propietario del recurso de Private Link. |
| Aprobación | Aprobado | Conectar ion se aprueba automáticamente o manualmente y está listo para usarse. |
| Reject | Rechazada | El propietario del recurso private Link rechaza la conexión. |
| Remove | Escenario desconectado | El propietario del recurso de Private Link quita la conexión, lo que hace que el punto de conexión privado se desconecte y se debe eliminar para la limpieza. |
Administración de conexiones de punto de conexión privado en recursos de PaaS de Azure
Siga estos pasos para administrar una conexión de punto de conexión privado en Azure Portal.
Inicie sesión en Azure Portal.
En el cuadro de búsqueda de la parte superior del portal, escriba Private Link. En los resultados de la búsqueda, seleccione Private Link.
En el Centro de Private Link, seleccione Puntos de conexión privados o Servicios de Private Link.
Puede ver el número de conexiones de punto de conexión privado asociadas a cada uno de los puntos de conexión. Puede filtrar los recursos según sea necesario.
Seleccione el punto de conexión privado. En las conexiones mostradas, seleccione la conexión que desea administrar.
Puede cambiar el estado de la conexión seleccionando entre las opciones de la parte superior.
Administración de conexiones de punto de conexión privado en un servicio Private Link propiedad del cliente o del asociado
Use los siguientes comandos de PowerShell y la CLI de Azure para administrar las conexiones de punto de conexión privado en los servicios de asociados de Microsoft o en los servicios propiedad del cliente.
Use los siguientes comandos de PowerShell para administrar conexiones de punto de conexión privado.
Obtención de estados de conexión de Private Link
Use Get-AzPrivateEndpoint Conectar ion para obtener las conexiones de punto de conexión privado y sus estados.
$get = @{
Name = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Get-AzPrivateEndpointConnection @get
Aprobación de una conexión de punto de conexión privado
Use Approve-AzPrivateEndpoint Conectar ion para aprobar una conexión de punto de conexión privado.
$approve = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Approve-AzPrivateEndpointConnection @approve
Denegar una conexión de punto de conexión privado
Use Deny-AzPrivateEndpoint Conectar ion para rechazar una conexión de punto de conexión privado.
$deny = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Deny-AzPrivateEndpointConnection @deny
Eliminación de una conexión de punto de conexión privado
Use Remove-AzPrivateEndpoint Conectar ion para quitar una conexión de punto de conexión privado.
$remove = @{
Name = 'myPrivateEndpointConnection'
ServiceName = 'myPrivateLinkService'
ResourceGroupName = 'myResourceGroup'
}
Remove-AzPrivateEndpointConnection @remove
Nota:
no se pueden aprobar Conectar ions denegadas anteriormente. Debe quitar la conexión y crear una nueva.