Creación de cuentas de almacenamiento privadas en redes virtuales Azure

Clase 30 de 39 • Curso de Fundamentos de Microsoft Azure (AZ-900)

Resumen

¿Cómo consolidar el conocimiento de redes virtuales y almacenamiento en la nube?

Con la base que ya tienes en creación de cuentas de almacenamiento y redes virtuales, es momento de elevar el nivel. Imagina un entorno de trabajo donde una cuenta de almacenamiento es privada dentro de una red virtual, y el acceso es exclusivo a máquinas de esa misma red. A continuación, te guiaré paso a paso en este desafiante, pero gratificante proceso.

¿Cómo crear un grupo de recursos y cuenta de almacenamiento?

Para comenzar, necesitas crear un grupo de recursos utilizando un comando sencillo en tu terminal. A continuación, sigue el proceso para crear una cuenta de almacenamiento. Aquí se introducen parámetros importantes:

Tipo de categoría: se selecciona una categoría premium.
Nivel de acceso: se elige la opción "hot" para un uso frecuente.
Parámetro default action: llamamos a la acción "deny" para restringir el acceso directo sin autorizaciones.

# Comando para crear una cuenta de almacenamiento
az storage account create --name <NombreDeCuenta> --resource-group <Grupo> --sku Premium_LRS --access-tier Hot --default-action Deny

¿Cómo configura una red virtual y subredes?

Con la cuenta de almacenamiento en marcha, el siguiente paso es la red virtual. Crea tu red con el comando adecuado y luego procede a configurar una subred específica con service endpoints que permitan futuras conexiones con la cuenta de almacenamiento:

# Comando para crear una red virtual y subred
az network vnet create --name <NombreRed> --resource-group <Grupo> --address-prefix <Prefijo> --subnet-name platzi-subred --subnet-prefix <SubPrefijo>

¿Cómo establecer reglas de red?

Una vez que la red está en funcionamiento, introduce reglas de red para autorizar el acceso a la cuenta de almacenamiento solo desde la subred designada:

# Agregar una regla de red
az storage account network-rule add --resource-group <Grupo> --account-name <NombreDeCuenta> --vnet-name <NombreRed> --subnet platzi-subred

¿Cómo crear una máquina virtual dentro de la red?

Ahora, utiliza estos comandos para desplegar una máquina virtual, asegurando que reside dentro de la subred que configuraste:

# Comando para crear una máquina virtual
az vm create --resource-group <Grupo> --name <NombreVM> --vnet-name <NombreRed> --subnet platzi-subred --image UbuntuLTS

¿Cómo gestionar IPs públicas y acceso?

Para finalizar la conexión entre todos los recursos, necesitas gestionar la dirección IP pública de tu máquina y configurar la cuenta de almacenamiento para restringir el acceso solo a IPs seleccionadas:

# Crear variable para IP pública
IP_PUBLICA=$(az vm list-ip-addresses --resource-group <Grupo> --name <NombreVM> --query "[].virtualMachine.network.publicIpAddresses[*].{ip:ipAddress}" --output tsv)

# Agregar IP a la cuenta de almacenamiento
az storage account network-rule add --resource-group <Grupo> --account-name <NombreDeCuenta> --ip-address $IP_PUBLICA

¿Cómo comprobar el acceso y funcionalidad?

Finalmente, verifica los cambios en el portal de Azure y realiza pruebas para confirmar el control de acceso. Si estás trabajando desde una máquina local, recibirás errores si intentas acceder a la cuenta de almacenamiento desde fuera de la red configurada.

Te recomiendo experimentar eliminando IPs o subredes para observar cómo afecta el acceso. Este ejercicio no solo fortalecerá tus habilidades en gestión de almacenamiento y redes virtuales, sino que te acercará un paso más a ser un experto en la nube. ¡Sigue practicando y explorando nuevas configuraciones!

Cindy Arenas

student•

hola. el recurso de la clase no se encuentra agregado en el repositorio. https://github.com/platzi/AZ-900/tree/main

Amin Espinoza

teacher•

No puede ser! Por alguna razón se me fue este comentario, ya lo reviso.

Luis Enrique Huamán Quispe

student•

Dejo los comandos ya que en el repo git no estan

# Crear un grupo de recursos
az group create --name grupoAlmacenamientoPrivado --location "eastus2"

# Crea una cuenta de almacenamiento con acceso denegado publico
az storage account create --name platziprivado --resource-group grupoAlmacenamientoPrivado --location eastus2 --sku Standard_LRS --kind StorageV2 --access-tier Hot --default-action Deny

# Crear una red virtual y subred
az network vnet create --name platzi-vnet --resource-group grupoAlmacenamientoPrivado --location eastus2 --address-prefix 10.0.0.0/16 --subnet-name platzi-subred --subnet-prefix 10.0.0.0/24

# Actualiza el tipo de endpoint de la subred para Azure Storage (disponibiliza)
az network vnet subnet update --name platzi-subred --vnet-name platzi-vnet --resource-group grupoAlmacenamientoPrivado --service-endpoints Microsoft.Storage

# Agregar una regla de acceso para que solo la subred pueda acceder a la cuenta de almacenamiento
az storage account network-rule add --resource-group grupoAlmacenamientoPrivado --account-name platziprivado --vnet-name platzi-vnet --subnet platzi-subred

# Comando para crear una máquina virtual en la misma Vnet
az vm create --resource-group grupoAlmacenamientoPrivado --name vm-platzi-endpoint --vnet-name platzi-vnet --subnet platzi-subred --image Ubuntu2404 --admin-username azureuser --generate-ssh-keys --output none

# Muestra la IP de la maquina virtual
VM_PUBLIC_IP=$(az vm list-ip-addresses --resource-group grupoAlmacenamientoPrivado --name vm-platzi-endpoint --query "[].virtualMachine.network.publicIpAddresses[*].ipAddress" --output tsv)

# Permite el acceso a la cuenta de almacenamiento desde la Ip publica de la VM
az storage account network-rule add --resource-group grupoAlmacenamientoPrivado --account-name platziprivado --ip-address $VM_PUBLIC_IP

# obtener el key de acceso de la cuenta de almacenamiento
STORAGE_KEY=$(az storage account keys list --account-name platziprivado --resource-group grupoAlmacenamientoPrivado --query "[0].value" -o tsv)

# mostrar la credenciales de la VM de ubunto
echo "ssh azureuser@VM_PUBLIC_IP"

#en la maquina virtual instalar lo siguiente:
curl -sL https://aka.ms/InstallAzureCLIDeb | sudo bash

#Prueba de integridad
# Crear un contenedor en la cuenta de almacenamiento desde mi local (nose va poder porque la vnet solo le da permiso a la VM)
az storage container create --name prueba-conectividad --account-name platziprivado --account-key $STORAGE-KEY

Juan Fonseca

student•

Si tienen el problema de crear la MV por el size con el que se crea por default, usen este comando para saber que sizes hay disponibles en eastus2 (toca ahí porque la net está creada ahí)

az vm list-skus --location eastus2 --size Standard_D --all --output table
```En mi caso me funcionó `Standard_D2alds_v6`

Juan Fonseca

student•

Pd: A lo mejor era por interactuar más con azure, pero el comando de agregar la ip de la MV a las reglas del storage account es innecesaria, pues la primera regla dice que cualquiera que esté dentro de la subnet se puede conectar, y ajá la MV se creó ahí

Aquí pensando puede ser por el principio zero trust, en lo peronal se me hace un tris desgastante pero bueno, dejo el comentario por si alguien más se lo preguntó =D