Despliegue y configuración de Private Endpoints

Cuando creamos un esquema de arquitectura, una parte importante es que todas las conexiones hacia nuestros servicios se resuelvan de manera privada. Los endpoints privados son una gran ayuda para facilitar esta tarea.

Un punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con la tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual, colocando el servicio de manera eficaz en su red virtual.

Para mostrar la utilidad de esta herramienta, crearemos dos private endpoints para dos bases de datos SQL, cada una en una red diferente(Development y Production). Las IPs privadas resolverán gracias a un controlador de dominio en Azure en una red Management.

Primero, empezaremos creando las redes virtuales. Crearemos tres, Management, Development y Production.

Las redes virtuales tendrán los siguientes espacios de direcciones:

VNetwork-Development : 15.0.0.0/16

VNetwork-Management : 25.0.0.0/16

VNetwork-Production : 35.0.0.0/16

Crearemos un servidor de base de datos en Development y Production. Mientras creamos la base de datos y su servidor, en la pestaña de networking pincharemos en Private Endpoint.

Añadimos un Private Endpoint. Lo unimos a una red virtual y creamos una zona Privada de DNS.

Después de que se haya creado, haremos lo mismo con producción.

Vemos que se han creado los privatelink y una zona privada de DNS.

Es importante tener en cuenta que como nuestro servidor de dns preguntara al DNS de Azure mediante un conditional forwarder a que ip privada tenemos que ir para acceder a la base de datos, tendremos que crear también un Virtual Network Link hacia VNetwork-Management.

Ahora crearemos nuestro servidor DNS. Elegiremos un Windows server 2016 por ejemplo.

La desplegaremos en la red virtual VNetwork-Management y con ip publica para poder crear el dominio.

Creamos el dominio y el servidor DNS.

Creamos el reenviador.La dirección IP 168.63.129.16 es una dirección IP pública virtual que se usa para facilitar un canal de comunicación a los recursos de la plataforma Azure.

Desde Run Command, deshabilitaremos el NLA para poder acceder.

Lo siguiente será cambiar en DNS por defecto de las redes virtuales para que consulten a nuestro servidor DNS.

Por ultimo, crearemos los peering entre management y development y production.

Como vemos, la maquina virtual que esta en management resuelve el nombre DNS del private endpoint correctamente a la ip privada.