Compartir vía


Configuración de puntos de conexión de red para acceder a recursos compartidos de archivos de Azure

Azure Files proporciona dos tipos principales de puntos de conexión para el acceso a los recursos compartidos de archivos de Azure:

  • Puntos de conexión públicos, que tienen una dirección IP pública y a los que se puede acceder desde cualquier parte del mundo.
  • Puntos de conexión privados, que existen dentro de una red virtual y tienen una dirección IP privada en el espacio de direcciones de esa red virtual.

Los puntos de conexión públicos y privados existen en la cuenta de almacenamiento de Azure. Una cuenta de almacenamiento es una construcción de administración que representa un grupo compartido de almacenamiento en el que puede implementar varios recursos compartidos de archivos u otros recursos de almacenamiento, como contenedores de blobs o colas.

Este artículo se centra en cómo configurar los puntos de conexión de una cuenta de almacenamiento para acceder directamente al recurso compartido de archivos de Azure. Gran parte de este artículo también se aplica a cómo Azure File Sync interopera con puntos de conexión públicos y privados para la cuenta de almacenamiento. Para más información sobre las consideraciones de red para Azure File Sync, consulte configuración del proxy y del firewall de Azure File Sync.

Se recomienda leer las consideraciones de red de Azure Files antes de leer esta guía.

Se aplica a

Tipo de recurso compartido de archivos SMB NFS
Recursos compartidos de archivos Estándar (GPv2), LRS/ZRS Sí No
Recursos compartidos de archivos Estándar (GPv2), GRS/GZRS Sí No
Recursos compartidos de archivos Premium (FileStorage), LRS/ZRS Sí Sí

Requisitos previos

Configuraciones de punto de conexión

Puede configurar los puntos de conexión para restringir el acceso de red a su cuenta de almacenamiento. Existen dos enfoques para restringir el acceso de una cuenta de almacenamiento a una red virtual:

Creación de un punto de conexión privado

Al crear un punto de conexión privado para la cuenta de almacenamiento, se implementan los siguientes recursos de Azure:

  • Punto de conexión privado: un recurso de Azure que representa el punto de conexión privado de la cuenta de almacenamiento. Puede considerarlo como un recurso que conecta una cuenta de almacenamiento y una interfaz de red.
  • Interfaz de red (NIC) : la interfaz de red que mantiene una dirección IP privada dentro de la red virtual o subred especificadas. Este es exactamente el mismo recurso que se utiliza cuando se implementa una máquina virtual (VM), sin embargo, en lugar de ser asignado a una VM, es propiedad del punto final privado.
  • una zona privada del sistema de nombres de dominio (DNS): si no ha implementado un punto de conexión privado para esta red virtual antes, se implementará una nueva zona DNS privada para la red virtual. También se creará en esta zona DNS un registro D de DNS para la cuenta de almacenamiento. Si ya ha implementado un punto de conexión privado en esta red virtual, se agregará a la zona DNS existente un nuevo registro D para la cuenta de almacenamiento. La implementación de una zona DNS es opcional. Sin embargo, se recomienda encarecidamente y es necesario si va a montar los recursos compartidos de archivos de Azure con una entidad de servicio de AD o mediante la API FileREST.

Nota:

En este artículo se usa el sufijo DNS de la cuenta de almacenamiento para las regiones públicas de Azure core.windows.net. Este comentario también se aplica a las nubes soberanas de Azure, como la nube de Azure US Government y Microsoft Azure operado por la nube 21Vianet. Simplemente sustituya los sufijos adecuados para su entorno.

Vaya a la cuenta de almacenamiento para la que desea crear un punto de conexión privado. En el menú del servicio, en Seguridad y redes, seleccione Redes, Conexiones de punto de conexión privado y, por último, + Punto de conexión privado para crear un punto de conexión privado.

Captura de pantalla del elemento Conexiones de punto de conexión privado en el menú del servicio de la cuenta de almacenamiento.

El asistente resultante tiene varias páginas que debe completar:

En la hoja Aspectos básicos, seleccione la suscripción, el grupo de recursos, el nombre, el nombre de la interfaz de red y la región que quiera para el punto de conexión privado. Estos pueden ser cualquier cosa que desee y no tienen que coincidir con la cuenta de almacenamiento en ningún aspecto, aunque debe crear el punto de conexión privado en la misma región que la red virtual en la que quiere crear el punto de conexión privado. Después, seleccione Siguiente: Recurso.

Captura de pantalla en la que se muestra cómo proporcionar los detalles del proyecto y la instancia de un punto de conexión privado.

En la hoja Recurso, seleccione archivo para el subrecurso de destino. A continuación, seleccione Siguiente: Red virtual.

Captura de pantalla en la que se muestra cómo seleccionar el recurso al que se quiere conectar con el nuevo punto de conexión privado.

La hoja Red virtual permite seleccionar la red virtual y la subred específicas a las que le gustaría agregar el punto de conexión privado. Seleccione la asignación de direcciones IP dinámicas o estáticas para el nuevo punto de conexión privado. Si selecciona estáticas, también deberá proporcionar un nombre y una dirección IP privada. También puede especificar opcionalmente un grupo de seguridad de aplicación. Al acabar, seleccione Siguiente: DNS.

Captura de pantalla en la que se muestra cómo proporcionar los detalles de la red virtual, la subred y la dirección IP del nuevo punto de conexión privado.

La hoja DNS contiene la información de integración del punto de conexión privado con una zona DNS privada. Asegúrese de que la suscripción y el grupo de recursos sean correctos y seleccione Siguiente: Etiquetas.

Captura de pantalla en la que se muestra cómo integrar el punto de conexión privado con una zona DNS privada.

Opcionalmente, puede aplicar etiquetas para clasificar los recursos, como aplicar el nombre Entorno y el valor Prueba a todos los recursos de prueba. Escriba pares nombre-valor si quiere y, a continuación, seleccione Siguiente: Revisar y crear.

Captura de pantalla en la que se muestra la opción de etiquetar el punto de conexión privado con pares nombre/valor para facilitar la clasificación.

Seleccione Crear para crear el punto de conexión privado.

Verificación de la conectividad

Si tiene una máquina virtual dentro de la red virtual o ha configurado el reenvío DNS como se describe en Configuración del reenvío DNS para Azure Files, puede probar que el punto de conexión privado está configurado correctamente. Ejecute los siguientes comandos desde PowerShell, la línea de comandos o el terminal (funciona para Windows, Linux o macOS). Debe reemplazar <storage-account-name> por el nombre adecuado de la cuenta de almacenamiento:

nslookup <storage-account-name>.file.core.windows.net

Si se ejecuta correctamente, debería ver la siguiente salida, donde 192.168.0.5 es la dirección IP privada del punto de conexión privado en la red virtual (salida que se muestra para Windows):

Server:  UnKnown
Address:  10.2.4.4

Non-authoritative answer:
Name:    storageaccount.privatelink.file.core.windows.net
Address:  192.168.0.5
Aliases:  storageaccount.file.core.windows.net

Restricción del acceso al punto de conexión público

Para limitar el acceso al punto de conexión público es necesario deshabilitar el acceso general al punto de conexión público. Deshabilitar el acceso al punto de conexión público no afecta a los puntos de conexión privados. Una vez deshabilitado el punto de conexión público, puede seleccionar redes o direcciones IP específicas que puedan seguir accediendo a él. En general, la mayoría de las directivas de firewall de una cuenta de almacenamiento restringen el acceso de red a una o varias redes virtuales.

Deshabilitación del acceso al punto de conexión público

Si el acceso al punto de conexión público está deshabilitado, aún se puede acceder a la cuenta de almacenamiento a través de los puntos de conexión privados. De lo contrario, se rechazarán las solicitudes válidas al punto de conexión público de la cuenta de almacenamiento, a menos que provengan de un origen permitido específicamente.

Vaya a la cuenta de almacenamiento para la que desea restringir todo el acceso al punto de conexión público. En la tabla de contenido de la cuenta de almacenamiento, seleccione la entrada Redes.

En la parte superior de la página, seleccione el botón de radio Habilitado desde redes virtuales y direcciones IP seleccionadas. Esta acción anulará la ocultación de una serie de opciones para controlar la restricción del punto de conexión público. Seleccione Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento para permitir que los servicios de Microsoft de confianza de terceros, como Azure File Sync, accedan a la cuenta de almacenamiento.

Captura de pantalla de la hoja Redes con la configuración necesaria para deshabilitar el acceso al punto de conexión público de la cuenta de almacenamiento.

Restricción del acceso al punto de conexión público a redes virtuales específicas

Al restringir la cuenta de almacenamiento a redes virtuales específicas, permite solicitudes al punto de conexión público desde las redes virtuales especificadas. Para ello, se usa una funcionalidad de la red virtual llamada puntos de conexión de servicio. Esta funcionalidad se puede usar con o sin puntos de conexión privados.

Vaya a la cuenta de almacenamiento para la que desea restringir el punto de conexión público a redes virtuales específicas. En la tabla de contenido de la cuenta de almacenamiento, seleccione la entrada Redes.

En la parte superior de la página, seleccione el botón de radio Habilitado desde redes virtuales y direcciones IP seleccionadas. Esta acción anulará la ocultación de una serie de opciones para controlar la restricción del punto de conexión público. Seleccione +Agregar red virtual existente para seleccionar la red virtual específica a la que se debe permitir el acceso a la cuenta de almacenamiento a través del punto de conexión público. Seleccione una red virtual y una subred para esa red virtual y, luego, elija Habilitar.

Seleccione Permitir que los servicios de Azure de la lista de servicios de confianza accedan a esta cuenta de almacenamiento para permitir que los servicios de Microsoft de confianza de terceros, como Azure File Sync, accedan a la cuenta de almacenamiento.

Captura de pantalla de la hoja Redes con una red virtual específica a la que se permite el acceso a la cuenta de almacenamiento mediante el punto de conexión público.

Consulte también