Compartir a través de


Cómo configurar puntos de conexión en máquinas virtuales Linux clásicas en Azure

Importante

Las máquinas virtuales clásicas se retirarán el 1 de marzo de 2023.

Si usa recursos de IaaS desde ASM, complete la migración antes del 1 de marzo de 2023. Le recomendamos que realice el cambio antes, para aprovechar las diversas mejoras de las características de Azure Resource Manager.

Para más información, consulte Migración de los recursos de IaaS a Azure Resource Manager antes de 1 de marzo de 2023.

Todas las máquinas virtuales con Linux que se crean en Azure con el modelo de implementación clásico pueden comunicarse automáticamente a través de un canal de red privado con otras máquinas virtuales del mismo servicio en la nube o de la misma red virtual. Sin embargo, los equipos en Internet o en otras redes virtuales necesitan extremos para dirigir el tráfico de red entrante a una máquina virtual. Este artículo también está disponible para máquinas virtuales Windows.

Nota

Azure tiene dos modelos de implementación diferentes para crear recursos y trabajar con ellos: Resource Manager y el clásico. En este artículo se trata el modelo de implementación clásico. Microsoft recomienda que las implementaciones más recientes usen el modelo de Resource Manager.

A partir del 15 de noviembre de 2017, las máquinas virtuales estarán disponibles solo en Azure Portal.

En el modelo de implementación de Resource Manager, los puntos de conexión se configuran mediante grupos de seguridad de red (NSG). Para más información, consulte Apertura de puertos y puntos de conexión.

Cuando se crea una máquina virtual Linux en Azure Portal, se crea automáticamente un punto de conexión para Secure Shell (SSH). Puede configurar extremos adicionales al crear la máquina virtual o posteriormente, según sea necesario.

Cada punto de conexión tiene un puerto público y un puerto privado:

  • El puerto público que usa el equilibrador de carga de Azure para escuchar el tráfico que entra a la máquina virtual desde Internet.
  • La máquina virtual usa el puerto privado para escuchar el tráfico entrante, normalmente destinado a una aplicación o servicio que se ejecuta en la máquina virtual.

Se proporcionan los valores predeterminados del protocolo IP y de los puertos TCP o UDP de los protocolos de red conocidos al crear puntos de conexión con Azure Portal. Para los puntos de conexión personalizados, especifique el protocolo IP correcto (TCP o UDP) y los puertos públicos y privados. Para distribuir el tráfico entrante de forma aleatoria entre varias máquinas virtuales, cree un conjunto con equilibrio de carga que conste de varios puntos de conexión.

Tras la creación de un extremo, puede utilizar una lista de control de acceso (ACL) para definir reglas que permitan o denieguen el tráfico entrante al puerto público del extremo, en función de su dirección IP de origen. Sin embargo, si la máquina virtual está en una red virtual de Azure, use grupos de seguridad de red en su lugar. Para obtener más información, consulte Acerca de los grupos de seguridad de red.

Nota

La configuración del firewall para máquinas virtuales de Azure se realiza automáticamente para los puertos asociados con los puntos de conexión de conectividad remotos que Azure configura automáticamente. Para los puertos especificados para todos los demás extremos, no se realiza ninguna configuración automáticamente en el firewall de la máquina virtual. Cuando cree un punto de conexión para la máquina virtual, asegúrese de que el firewall de la máquina virtual también permite el tráfico para el protocolo y el puerto privado correspondiente a la configuración del punto de conexión. Para configurar el firewall, consulte la documentación o la Ayuda en línea para el sistema operativo que se ejecuta en la máquina virtual.

Crear un punto de conexión

  1. Inicie sesión en Azure Portal.

  2. Haga clic en Máquinas virtualesy luego seleccione la máquina virtual que desea configurar.

  3. Seleccione Puntos de conexión en el grupo Configuración. Aparece la página Puntos de conexión en donde se enumeran todos los puntos de conexión actuales de la máquina virtual. (Este ejemplo es para una máquina virtual Windows. Una máquina virtual Linux mostrará de forma predeterminada un punto de conexión para SSH).

    Puntos de conexión

  4. En la barra de comandos, encima de las entradas de punto de conexión, seleccione Agregar. Aparecerá la página Agregar punto de conexión.

  5. En Nombre escriba el nombre del punto de conexión.

  6. En Protocolo, elija TCP o UDP.

  7. En Puerto público escriba el número de puerto para el tráfico que entra desde Internet.

  8. En Puerto privado escriba el número de puerto en el que escucha la máquina virtual. Los números de puerto público y privado pueden ser diferentes. Asegúrese de que el firewall de la máquina virtual se ha configurado para que permita el tráfico correspondiente al protocolo y al puerto privado.

  9. Seleccione Aceptar.

El nuevo punto de conexión se muestra en la página Puntos de conexión.

Creación correcta del extremo

Administración de la ACL en un extremo

Para definir el conjunto de equipos que pueden enviar tráfico, la ACL en un extremo puede restringir el tráfico en función de la dirección IP de origen. Siga estos pasos para agregar, modificar o quitar una ACL en un extremo.

Nota

Si el extremo forma parte de un conjunto con equilibrio de carga, los cambios que realice en la ACL en un extremo se aplican a todos los extremos del conjunto.

Si la máquina virtual está en una red virtual de Azure, use los grupos de seguridad de red en lugar de listas de control de acceso. Para obtener más información, consulte Acerca de los grupos de seguridad de red.

  1. Inicie sesión en Azure Portal.

  2. Seleccione Máquinas virtuales y luego seleccione el nombre de la máquina virtual que desea configurar.

  3. Seleccione Puntos de conexión. Seleccione el punto de conexión apropiado en la lista de puntos de conexión. La lista de ACL está en la parte inferior de la página.

    Especificar los detalles de ACL

  4. Use las filas de la lista para agregar, eliminar o editar las reglas de una ACL y cambiar su orden. El valor SUBRED REMOTA es un intervalo de direcciones IP para el tráfico entrante de Internet que el equilibrador de carga de Azure usa para permitir o denegar el tráfico en función de la dirección IP de origen. Asegúrese de especificar el intervalo de direcciones IP en formato de enrutamiento de interdominios sin clases (CIDR), también conocido como formato de prefijo de dirección. Por ejemplo, 10.1.0.0/8.

Nueva entrada de ACL

Puede usar reglas para permitir solo el tráfico desde equipos específicos correspondientes a los equipos en Internet o para denegar el tráfico desde intervalos concretos de direcciones conocidas.

Las reglas se evalúan en orden, comenzando por la primera regla y terminando por la última. Por lo tanto, las reglas deben estar ordenadas de menos restrictivas a más restrictivas. Para más información, consulte ¿Qué es una lista de control de acceso de puntos de conexión?

Pasos siguientes

  • También se puede crear un punto de conexión mediante la interfaz de la línea de comandos de Azure. Ejecute el comando azure vm endpoint create .
  • Si ha creado una máquina virtual en el modelo de implementación de Resource Manager, también puede usar la CLI de Azure en modo de Resource Manager para crear grupos de seguridad de la red con el fin de controlar el tráfico en la máquina virtual.