Compartir a través de


Configuración de puntos de conexión de red pública y privada de Azure File Sync

Azure Files y Azure File Sync proporcionan dos tipos principales de puntos de conexión para el acceso a los recursos compartidos de archivos de Azure:

  • Puntos de conexión públicos, que tienen una dirección IP pública y a los que se puede acceder desde cualquier parte del mundo.
  • Puntos de conexión privados, que existen dentro de una red virtual y tienen una dirección IP privada en el espacio de direcciones de esa red virtual.

Tanto para Azure Files como para Azure File Sync, los objetos de administración de Azure (la cuenta de almacenamiento y el servicio de sincronización de almacenamiento) controlan los puntos de conexión públicos y privados. La cuenta de almacenamiento es una construcción de administración que representa un grupo compartido de almacenamiento en el que puede implementar varios recursos compartidos de archivos u otros recursos de almacenamiento, como blobs o colas. El servicio de sincronización de almacenamiento es una construcción de administración que representa servidores registrados, que son servidores de archivos de Windows con una relación de confianza establecida con Azure File Sync, y grupos de sincronización, que definen la topología de la relación de sincronización.

Este artículo se centra en cómo configurar los puntos de conexión de red para Azure Files y Azure File Sync. Para más información sobre cómo configurar los puntos de conexión de red para acceder directamente a los recursos compartidos de archivos de Azure, en lugar de almacenarlos en la caché local con Azure File Sync, consulte Configuración de puntos de conexión de red de Azure Files.

Se recomienda leer Consideraciones de redes para Azure File Sync antes de pasar a esta guía de procedimientos.

Requisitos previos

En este artículo se da por hecho que:

Además:

Creación de los puntos de conexión privados

Al crear un punto de conexión privado para un recurso de Azure, se implementan los recursos siguientes:

  • Punto de conexión privado: recurso de Azure que representa el punto de conexión privado de la cuenta de almacenamiento o el servicio de sincronización de almacenamiento. Piense en esto como un recurso que conecta su recurso de Azure y una interfaz de red.
  • Interfaz de red (NIC) : la interfaz de red que mantiene una dirección IP privada dentro de la red virtual o subred especificadas. Este es exactamente el mismo recurso que se utiliza cuando se implementa una máquina virtual (VM), sin embargo, en lugar de ser asignado a una VM, es propiedad del punto final privado.
  • Zona DNS privada: si nunca ha implementado antes un punto de conexión privado para esta red virtual, se implementará una nueva zona DNS privada para ella. También se creará un registro D de DNS para el recurso de Azure en esta zona DNS. Si ya ha implementado un punto de conexión privado en esta red virtual, se agregará un nuevo registro D para el recurso de Azure a la zona DNS existente. La implementación de una zona DNS es opcional, pero se recomienda encarecidamente para simplificar la administración de DNS.

Nota:

En este artículo se usan los sufijos DNS para las regiones públicas de Azure, core.windows.net para las cuentas de almacenamiento y afs.azure.net para los servicios de sincronización de almacenamiento. Esto también se aplica a nubes soberanas de Azure, como la nube de Azure US Government; simplemente sustituya los sufijos adecuados para su entorno.

Creación del punto de conexión privado de la cuenta de almacenamiento

Vaya a la cuenta de almacenamiento para la que desea crear un punto de conexión privado. En el menú del servicio, en Seguridad y redes, seleccione Redes, Conexiones de punto de conexión privado y, por último, + Punto de conexión privado para crear un punto de conexión privado.

Recorte de pantalla del elemento Conexiones de punto de conexión privado en el menú del servicio de la cuenta de almacenamiento.

El asistente resultante tiene varias páginas que debe completar:

En la hoja Aspectos básicos, seleccione la suscripción, el grupo de recursos, el nombre, el nombre de la interfaz de red y la región que quiera para el punto de conexión privado. Estos pueden ser cualquier cosa que desee y no tienen que coincidir con la cuenta de almacenamiento en ningún aspecto, aunque debe crear el punto de conexión privado en la misma región que la red virtual en la que quiere crear el punto de conexión privado. Después, seleccione Siguiente: Recurso.

Captura de pantalla en la que se muestra cómo proporcionar los detalles del proyecto y la instancia de un punto de conexión privado.

En la hoja Recurso, seleccione archivo para el subrecurso de destino. A continuación, seleccione Siguiente: Red virtual.

Captura de pantalla en la que se muestra cómo seleccionar el recurso al que se quiere conectar con el nuevo punto de conexión privado.

La hoja Red virtual permite seleccionar la red virtual y la subred específicas a las que le gustaría agregar el punto de conexión privado. Seleccione la asignación de direcciones IP dinámicas o estáticas para el nuevo punto de conexión privado. Si selecciona estáticas, también deberá proporcionar un nombre y una dirección IP privada. También puede especificar opcionalmente un grupo de seguridad de aplicación. Al acabar, seleccione Siguiente: DNS.

Captura de pantalla en la que se muestra cómo proporcionar los detalles de la red virtual, la subred y la dirección IP del nuevo punto de conexión privado.

La hoja DNS contiene la información de integración del punto de conexión privado con una zona DNS privada. Asegúrese de que la suscripción y el grupo de recursos sean correctos y seleccione Siguiente: Etiquetas.

Captura de pantalla en la que se muestra cómo integrar el punto de conexión privado con una zona DNS privada.

Opcionalmente, puede aplicar etiquetas para clasificar los recursos, como aplicar el nombre Entorno y el valor Prueba a todos los recursos de prueba. Escriba pares nombre-valor si quiere y, a continuación, seleccione Siguiente: Revisar y crear.

Captura de pantalla en la que se muestra la opción de etiquetar el punto de conexión privado con pares nombre/valor para facilitar la clasificación.

Seleccione Crear para crear el punto de conexión privado.

Si tiene una máquina virtual dentro de la red virtual o ha configurado el reenvío de DNS tal como se describe en Configuración del reenvío de DNS para Azure Files, puede comprobar que el punto de conexión privado se ha configurado correctamente mediante la ejecución de los siguientes comandos desde PowerShell, la línea de comandos o el terminal (sirve para Windows, Linux o macOS). Debe reemplazar <storage-account-name> por el nombre adecuado de la cuenta de almacenamiento:

nslookup <storage-account-name>.file.core.windows.net

Si todo ha funcionado correctamente, verá la siguiente salida, donde 192.168.0.5 es la dirección IP privada del punto de conexión privado de la red virtual (salida mostrada para Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Creación del punto de conexión privado del servicio de sincronización de almacenamiento

Vaya a Private Link Center. Para ello, escriba Private Link en la barra de búsqueda de la parte superior de Azure Portal. En la tabla de contenido de Private Link Center, seleccione Puntos de conexión privados y, luego, + Agregar para crear un punto de conexión privado.

Captura de pantalla de Private Link Center

El asistente resultante tiene varias páginas que debe completar:

En la hoja Aspectos básicos, seleccione el grupo de recursos, el nombre y la región que quiera para el punto de conexión privado. Estos pueden ser cualquier cosa que desee y no tienen que coincidir con el servicio de sincronización de almacenamiento en ningún aspecto, aunque debe crear el punto de conexión privado en la misma región que la red virtual en la que quiere crear el punto de conexión privado.

Una captura de pantalla de la sección Aspectos básicos de la sección Crear punto de conexión privado

En la hoja Recurso, seleccione el botón de radio Connect to an Azure resource in my directory (Conectarse a un recurso de Azure en mi directorio). En Tipo de recurso, seleccione Microsoft.StorageSync/storageSyncServices para el tipo de recurso.

La hoja Configuración permite seleccionar la red virtual y la subred específicas a las que le gustaría agregar el punto de conexión privado. Seleccione la misma red virtual que usó para la cuenta de almacenamiento anterior. La hoja Configuración también contiene la información para crear o actualizar la zona DNS privada.

Seleccione Revisar y crear para crear un punto de conexión privado.

Puede probar que el punto de conexión privado está configurado correctamente mediante la ejecución de los siguientes comandos de PowerShell.

$privateEndpointResourceGroupName = "<your-private-endpoint-resource-group>"
$privateEndpointName = "<your-private-endpoint-name>"

Get-AzPrivateEndpoint `
        -ResourceGroupName $privateEndpointResourceGroupName `
        -Name $privateEndpointName `
        -ErrorAction Stop | `
    Select-Object -ExpandProperty NetworkInterfaces | `
    Select-Object -ExpandProperty Id | `
    ForEach-Object { Get-AzNetworkInterface -ResourceId $_ } | `
    Select-Object -ExpandProperty IpConfigurations | `
    Select-Object -ExpandProperty PrivateLinkConnectionProperties | `
    Select-Object -ExpandProperty Fqdns | `
    ForEach-Object { Resolve-DnsName -Name $_ } | `
    Format-List

Si todo ha funcionado correctamente, debería ver la siguiente salida, donde 192.168.1.4, 192.168.1.5, 192.168.1.6 y 192.168.1.7 son las direcciones IP privadas asignadas al punto de conexión privado:

Name     : mysssmanagement.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmanagement.westus2.privatelink.afs.azure.net


Name       : mysssmanagement.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.4

Name     : myssssyncp.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncp.westus2.privatelink.afs.azure.net


Name       : myssssyncp.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.5

Name     : myssssyncs.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : myssssyncs.westus2.privatelink.afs.azure.net


Name       : myssssyncs.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.6

Name     : mysssmonitoring.westus2.afs.azure.net
Type     : CNAME
TTL      : 60
Section  : Answer
NameHost : mysssmonitoring.westus2.privatelink.afs.azure.net


Name       : mysssmonitoring.westus2.privatelink.afs.azure.net
QueryType  : A
TTL        : 60
Section    : Answer
IP4Address : 192.168.1.7

Restricción del acceso a los puntos de conexión públicos

Puede restringir el acceso a los puntos de conexión públicos de la cuenta de almacenamiento y de los servicios de sincronización de almacenamiento. La restricción del acceso al punto de conexión público proporciona seguridad adicional al garantizar que los paquetes de red solo se aceptan de ubicaciones aprobadas.

Restricción del acceso al punto de conexión público de la cuenta de almacenamiento

La restricción del acceso al punto de conexión público se lleva a cabo mediante la configuración del firewall de la cuenta de almacenamiento. En general, la mayoría de las directivas de firewall de una cuenta de almacenamiento restringirán el acceso de red a una o varias redes virtuales. Existen dos enfoques para restringir el acceso de una cuenta de almacenamiento a una red virtual:

  • Cree uno o varios puntos de conexión privados para la cuenta de almacenamiento y deshabilite el acceso al punto de conexión público. De esta forma se garantiza que solo el tráfico que se origina en las redes virtuales deseadas pueda acceder a los recursos compartidos de archivos de Azure dentro de la cuenta de almacenamiento.
  • Restrinja el punto de conexión público a una o más redes virtuales. Para ello, se usa una funcionalidad de la red virtual llamada puntos de conexión de servicio. Al restringir el tráfico a una cuenta de almacenamiento a través de un punto de conexión de servicio, sigue teniendo acceso a la cuenta de almacenamiento a través de la dirección IP pública.

Nota:

La excepción Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento se debe seleccionar en la cuenta de almacenamiento para permitir que los servicios de Microsoft de terceros de confianza, como Azure File Sync, accedan a la cuenta de almacenamiento. Para más información, consulte Concesión de acceso a servicios de Azure de confianza.

Concesión de acceso a servicios de Azure de confianza y deshabilitación del acceso al punto de conexión público de la cuenta de almacenamiento

Si el acceso al punto de conexión público está deshabilitado, aún se puede acceder a la cuenta de almacenamiento a través de los puntos de conexión privados. De lo contrario, se rechazarán las solicitudes válidas al punto de conexión público de la cuenta de almacenamiento.

Vaya a la cuenta de almacenamiento para la que desea restringir todo el acceso al punto de conexión público. En la tabla de contenido de la cuenta de almacenamiento, seleccione la entrada Redes.

En la parte superior de la página, seleccione el botón de radio Habilitado desde redes virtuales y direcciones IP seleccionadas. Esta acción anulará la ocultación de una serie de opciones para controlar la restricción del punto de conexión público. Seleccione Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento para permitir que los servicios de Microsoft de confianza de terceros, como Azure File Sync, accedan a la cuenta de almacenamiento.

Captura de pantalla de la hoja Redes con la configuración necesaria para deshabilitar el acceso al punto de conexión público de la cuenta de almacenamiento.

Concesión de acceso a servicios de Azure de confianza y restricción del acceso al punto de conexión público de la cuenta de almacenamiento a redes virtuales específicas

Al restringir la cuenta de almacenamiento a redes virtuales específicas, permite solicitudes al punto de conexión público desde las redes virtuales especificadas. Para ello, se usa una funcionalidad de la red virtual llamada puntos de conexión de servicio. Esta funcionalidad se puede usar con o sin puntos de conexión privados.

Vaya a la cuenta de almacenamiento para la que desea restringir el punto de conexión público a redes virtuales específicas. En la tabla de contenido de la cuenta de almacenamiento, seleccione la entrada Redes.

En la parte superior de la página, seleccione el botón de radio Habilitado desde redes virtuales y direcciones IP seleccionadas. Esta acción anulará la ocultación de una serie de opciones para controlar la restricción del punto de conexión público. Seleccione +Agregar red virtual existente para seleccionar la red virtual específica a la que se debe permitir el acceso a la cuenta de almacenamiento a través del punto de conexión público. Seleccione una red virtual y una subred para esa red virtual y, luego, elija Habilitar.

Seleccione Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento para permitir que los servicios de Microsoft de confianza de terceros, como Azure File Sync, accedan a la cuenta de almacenamiento.

Captura de pantalla de la hoja Redes con una red virtual específica a la que se permite el acceso a la cuenta de almacenamiento mediante el punto de conexión público.

Deshabilitación del acceso al punto de conexión público del servicio de sincronización de almacenamiento

Azure File Sync le permite restringir el acceso a redes virtuales específicas a través de puntos de conexión privados únicamente; Azure File Sync no admite puntos de conexión de servicio para restringir el acceso al punto de conexión público a redes virtuales específicas. Esto significa que los dos estados del punto de conexión público del servicio de sincronización de almacenamiento se habilitan y deshabilitan.

Importante

Debe crear un punto de conexión privado antes de deshabilitar el acceso al punto de conexión público. Si el punto de conexión público está deshabilitado y no hay ningún punto de conexión privado configurado, la sincronización no puede funcionar.

Para deshabilitar el acceso al punto de conexión público del servicio de sincronización de almacenamiento, siga estos pasos:

  1. Inicie sesión en Azure Portal.
  2. Vaya al servicio de sincronización de almacenamiento y seleccione Configuración>Red en el panel de navegación izquierdo.
  3. En Permitir acceso desde, seleccione Solo puntos de conexión privados.
  4. Seleccione un punto de conexión privado en la lista Conexiones de punto de conexión privado.

Azure Policy

Azure Policy ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento con respecto a esos estándares a gran escala. Azure Files y Azure File Sync exponen varias directivas de red de auditoría y corrección útiles que le ayudan a supervisar y automatizar la implementación.

Las directivas auditan el entorno y le avisan si las cuentas de almacenamiento o los servicios de sincronización de almacenamiento difieren del comportamiento definido. Por ejemplo, si se habilitó un punto de conexión público cuando la directiva se estableció para tener deshabilitados los puntos de conexión públicos. La modificación o implementación de directivas van todavía más lejos al modificar de forma proactiva un recurso (por ejemplo, el servicio de sincronización de almacenamiento) o implementar recursos (por ejemplo, puntos de conexión privados) para alinearlos con las directivas.

Las siguientes directivas predefinidas están disponibles para Azure Files y Azure File Sync:

Acción Servicio Condición Nombre de la directiva
Auditoría Azure Files El punto de conexión público de la cuenta de almacenamiento está habilitado. Consulte Concesión de acceso a servicios de Azure de confianza y deshabilitación del acceso al punto de conexión público de la cuenta de almacenamiento para más información. Se debe restringir el acceso de red a las cuentas de almacenamiento.
Auditoría Azure File Sync El punto de conexión público del servicio de sincronización de almacenamiento está habilitado. Para más información, consulte Deshabilitación del acceso al punto de conexión público del servicio de sincronización de almacenamiento. El acceso a las redes públicas debe estar deshabilitado para Azure File Sync
Auditoría Azure Files La cuenta de almacenamiento necesita al menos un punto de conexión privado. Para más información, consulte Creación del punto de conexión privado de la cuenta de almacenamiento. La cuenta de almacenamiento debería utilizar una conexión de vínculo privado
Auditoría Azure File Sync El servicio de sincronización de almacenamiento necesita al menos un punto de conexión privado. Para más información, consulte Creación del punto de conexión privado del servicio de sincronización de almacenamiento. Azure File Sync debe usar un vínculo privado
Modificar Azure File Sync Deshabilite el punto de conexión público del servicio de sincronización de almacenamiento. Modificar: configurar Azure File Sync para deshabilitar el acceso a la red pública
Implementar Azure File Sync Implemente un punto de conexión privado para el servicio de sincronización de almacenamiento. Configurar Azure File Sync con puntos de conexión privados
Implementar Azure File Sync Implemente un registro D en la zona DNS privatelink.afs.azure.net. Configurar Azure File Sync para usar zonas DNS privadas

Configuración de una directiva de implementación de puntos de conexión privados

Para configurar una directiva de implementación de puntos de conexión privados, vaya a Azure Portal y busque Directiva. El centro de Azure Policy debe aparecer en los primeros lugares. Vaya a Creación>Definiciones en la tabla de contenido del centro de Policy. El panel Definiciones resultante contiene las directivas predefinidas en todos los servicios de Azure. Para encontrar la directiva específica, seleccione la categoría Almacenamiento en el filtro de categoría o busque Configurar Azure File Sync con puntos de conexión privados. Seleccione ... y Asignar para crear una directiva a partir de la definición.

La hoja Aspectos básicos del asistente Asignar directiva le permite establecer una lista de exclusión de ámbitos, recursos o grupos de recursos y asignar un nombre descriptivo a la directiva para ayudarle a distinguirla. No es necesario modificarlos para que la directiva funcione, pero puede hacerlo si quiere realizar modificaciones. Seleccione Siguiente para avanzar a la página Parámetros.

En la hoja Parámetros, seleccione ... junto a la lista desplegable privateEndpointSubnetId para elegir la red virtual y la subred donde se deben implementar los puntos de conexión privados para los recursos del servicio de sincronización de almacenamiento. El asistente resultante puede tardar varios segundos en cargar las redes virtuales disponibles en la suscripción. Elija la red virtual o subred adecuada para su entorno y haga clic en Seleccionar. Seleccione Siguiente para avanzar a la página Corrección.

Para que el punto de conexión privado se implemente cuando se identifique un servicio de sincronización de almacenamiento sin un punto de conexión privado, debe seleccionar Crear una tarea de corrección en la página Corrección. Por último, seleccione Revisar y crear para revisar la asignación de directivas y Crear para crearla.

La asignación de directivas resultante se ejecutará de forma periódica y es posible que no lo haga inmediatamente después de su creación.

Consulte también