Povolení privátního přístupu ke službě Azure Digital Twins pomocí služby Private Link

Pomocí služby Azure Digital Twins společně se službou Azure Private Link můžete pro instanci služby Azure Digital Twins povolit privátní koncové body, abyste eliminovali veřejné vystavení a umožnili klientům umístěným ve vaší virtuální síti zabezpečený přístup k instanci přes Private Link. Další informace o této strategii zabezpečení pro službu Azure Digital Twins najdete v tématu Private Link s privátním koncovým bodem pro instanci služby Azure Digital Twins.

Tady jsou kroky popsané v tomto článku:

1. Zapněte Službu Private Link a nakonfigurujte privátní koncový bod pro instanci služby Azure Digital Twins.
2. Zobrazení, úprava nebo odstranění privátního koncového bodu z instance Služby Azure Digital Twins
3. Zakažte nebo povolte příznaky přístupu k veřejné síti, abyste omezili přístup rozhraní API pro službu Azure Digital Twins jenom na připojení služby Private Link.

Tento článek obsahuje také informace o nasazení služby Azure Digital Twins se službou Private Link pomocí šablony ARM a řešení potíží s konfigurací.

Požadavky

Než budete moct nastavit privátní koncový bod, budete potřebovat virtuální síť Azure, ve které je možné koncový bod nasadit. Pokud ještě virtuální síť nemáte, můžete postupovat podle některého z rychlých startů pro Azure Virtual Network a nastavit ji.

Přidání privátních koncových bodů do služby Azure Digital Twins

Službu Private Link můžete zapnout pomocí webu Azure Portal nebo Azure CLI s privátním koncovým bodem pro instanci služby Azure Digital Twins.

Pokud chcete nastavit Private Link jako součást počátečního nastavení instance, budete muset použít Azure Portal. Jinak pokud chcete povolit službu Private Link v instanci po jejím vytvoření, můžete použít Azure Portal nebo Azure CLI. Každá z těchto metod vytváření poskytne stejné možnosti konfigurace a stejný konečný výsledek pro vaši instanci.

Pomocí karet v následujících částech vyberte pokyny pro vaše oblíbené prostředí.

Tip

Koncový bod Private Linku můžete také nastavit prostřednictvím služby Private Link místo instance služby Azure Digital Twins. To také poskytuje stejné možnosti konfigurace a stejný konečný výsledek.

Další informace o nastavení prostředků Private Link najdete v dokumentaci k webu Azure Portal, Azure CLI, Azure Resource Manageru nebo PowerShellu.

Přidání privátního koncového bodu během vytváření instance

V této části vytvoříte privátní koncový bod se službou Private Link jako součást počátečního nastavení instance služby Azure Digital Twins. Tuto akci je možné provést pouze na webu Azure Portal.

Azure Portal

Tato část popisuje, jak zapnout službu Private Link při nastavování instance služby Azure Digital Twins na webu Azure Portal.

Možnosti Private Linku jsou umístěny na kartě Sítě nastavení instance.

1. Začněte na webu Azure Portal nastavovat instanci Azure Digital Twins. Pokyny najdete v tématu Nastavení instance a ověřování.

2. Když se dostanete na kartu Sítě v nastavení instance, můžete privátní koncové body povolit výběrem možnosti Privátní koncový bod pro metodu připojení.

   Tím přidáte oddíl s názvem Připojení privátního koncového bodu, kde můžete nakonfigurovat podrobnosti privátního koncového bodu. Pokračujte výběrem tlačítka + Přidat.

   

3. Na stránce Vytvořit privátní koncový bod , která se otevře, zadejte podrobnosti o novém privátním koncovém bodu.

   

   1. Vyplňte výběry pro vaše předplatné a skupinu prostředků. Nastavte umístění na stejné umístění jako virtuální síť, kterou budete používat. Zvolte název koncového bodu a pro cílové dílčí prostředky vyberte rozhraní API.

   2. Dále vyberte virtuální síť a podsíť , které chcete použít k nasazení koncového bodu.

   3. Nakonec vyberte, jestli se má integrovat s privátní zónou DNS. Můžete použít výchozí hodnotu Ano nebo pokud potřebujete pomoc s touto možností, můžete postupovat podle odkazu na portálu a získat další informace o integraci privátního DNS.

   4. Po vyplnění možností konfigurace vyberte OK a dokončete je.

4. Po dokončení tohoto procesu se na portálu vrátíte na kartu Sítě v nastavení instance služby Azure Digital Twins. Ověřte, že je váš nový koncový bod viditelný v rámci připojení privátních koncových bodů.

   

5. Pomocí dolních navigačních tlačítek pokračujte ve zbývající části nastavení instance.

Rozhraní příkazového řádku

Během vytváření instance nemůžete přidat koncový bod Private Link pomocí Azure CLI.

Pokud chcete přidat koncový bod během vytváření instance, můžete přejít na web Azure Portal nebo pokračovat v další části, abyste po vytvoření instance přidali privátní koncový bod pomocí rozhraní příkazového řádku.

Přidání privátního koncového bodu do existující instance

V této části povolíte Službu Private Link s privátním koncovým bodem pro instanci Azure Digital Twins, která už existuje.

Azure Portal

1. Nejprve přejděte na web Azure Portal v prohlížeči. Vyvolání instance Služby Azure Digital Twins vyhledáním jejího názvu na panelu hledání na portálu

2. V nabídce vlevo vyberte Sítě .

3. Přepněte na kartu Připojení privátního koncového bodu.

4. Výběrem možnosti + Privátní koncový bod otevřete nastavení privátního koncového bodu .

   

5. Na kartě Základy zadejte nebo vyberte předplatné a skupinu prostředků projektu a název a oblast pro váš koncový bod. Oblast musí být stejná jako oblast pro virtuální síť, kterou používáte.

   

   Až budete hotovi, vyberte tlačítko Další: Prostředek > a přejděte na další kartu.

6. Na kartě Zdroj zadejte nebo vyberte tyto informace:

   • Metoda připojení: Výběrem možnosti Připojit k prostředku Azure v adresáři vyhledejte instanci služby Azure Digital Twins.
   • Předplatné: Zadejte své předplatné.
   • Typ prostředku: Vyberte Microsoft.DigitalTwins/digitalTwinsInstances
   • Prostředek: Vyberte název vaší instance Služby Azure Digital Twins.
   • Cílový dílčí prostředek: Vyberte rozhraní API.

   

   Až budete hotovi, vyberte tlačítko Další: Konfigurace > a přejděte na další kartu.

7. Na kartě Konfigurace zadejte nebo vyberte tyto informace:

   • Virtuální síť: Vyberte svou virtuální síť.
   • Podsíť: Zvolte podsíť z vaší virtuální sítě.
   • Integrace s privátní zónou DNS: Vyberte, jestli se má integrovat s privátní zónou DNS. Můžete použít výchozí hodnotu Ano nebo pokud potřebujete pomoc s touto možností, můžete postupovat podle odkazu na portálu a získat další informace o integraci privátního DNS. Pokud vyberete Ano, můžete ponechat výchozí informace o konfiguraci.

   

   Až budete hotovi, můžete nastavení dokončit výběrem tlačítka Zkontrolovat a vytvořit .

8. Na kartě Zkontrolovat a vytvořit zkontrolujte vybrané položky a vyberte tlačítko Vytvořit.

Po dokončení nasazení koncového bodu by se měl zobrazit v připojení privátních koncových bodů pro vaši instanci Azure Digital Twins.

Rozhraní příkazového řádku

Pokud chcete vytvořit privátní koncový bod a propojit ho s instancí služby Azure Digital Twins pomocí Azure CLI, použijte příkaz az network private-endpoint create . Identifikujte instanci Azure Digital Twins pomocí plně kvalifikovaného ID v parametru --private-connection-resource-id .

Tady je příklad, který pomocí příkazu vytvoří privátní koncový bod, pouze s požadovanými parametry.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Úplný seznam požadovaných a volitelných parametrů a další příklady vytváření privátních koncových bodů najdete v referenční dokumentaci k příkazu az network private-endpoint create.

Správa privátních koncových bodů

V této části se dozvíte, jak po vytvoření zobrazit, upravit a odstranit privátní koncový bod.

Azure Portal

Po vytvoření privátního koncového bodu pro instanci služby Azure Digital Twins ho můžete zobrazit na kartě Sítě pro instanci služby Azure Digital Twins. Na této stránce se zobrazí všechna připojení privátního koncového bodu přidružená k instanci.

Výběrem koncového bodu zobrazíte podrobné informace, provedete změny nastavení konfigurace nebo odstraníte připojení.

Tip

Koncový bod je také možné zobrazit z Centra služby Private Link na webu Azure Portal.

Rozhraní příkazového řádku

Po vytvoření privátního koncového bodu pro instanci služby Azure Digital Twins můžete pomocí příkazů az dt network private-endpoint connection pokračovat ve správě připojení privátních koncových bodů s ohledem na instanci. Mezi operace patří:

• Zobrazení připojení privátního koncového bodu
• Nastavení stavu připojení privátního koncového bodu
• Odstranění připojení privátního koncového bodu
• Výpis všech připojení privátních koncových bodů pro instanci

Další informace a příklady najdete v referenční dokumentaci k az dt network private-endpoint.

Získání dalších informací o službě Private Link

Další informace o stavu služby Private Link instance získáte pomocí příkazů az dt network private-link . Mezi operace patří:

• Výpis privátních propojení přidružených k instanci služby Azure Digital Twins
• Zobrazení privátního propojení přidruženého k instanci

Další informace a příklady najdete v referenční dokumentaci k az dt network private-link.

Zakázání nebo povolení příznaků přístupu k veřejné síti

Instanci služby Azure Digital Twins můžete nakonfigurovat tak, aby odepřela všechna veřejná připojení a umožňovala pouze připojení prostřednictvím koncových bodů privátního přístupu, aby se zlepšilo zabezpečení sítě. Tato akce se provádí s příznakem přístupu k veřejné síti.

Tato zásada umožňuje omezit přístup rozhraní API pouze k připojením služby Private Link. Pokud je příznak přístupu k veřejné síti nastavený na disabled, vrátí se 403, Unauthorizedvšechna volání rozhraní REST API do roviny dat instance služby Azure Digital Twins z veřejného cloudu . Jinak platí, že pokud je zásada nastavená disabled na a požadavek se provede prostřednictvím privátního koncového bodu, volání rozhraní API bude úspěšné.

Hodnotu příznaku sítě můžete aktualizovat pomocí příkazového nástroje Azure Portal, Azure CLI nebo ARMClient.

Azure Portal

Pokud chcete zakázat nebo povolit přístup k veřejné síti na webu Azure Portal, otevřete portál a přejděte k vaší instanci služby Azure Digital Twins.

1. V nabídce vlevo vyberte Sítě .

2. Na kartě Veřejný přístup nastavte Možnost Povolit přístup k veřejné síti do zakázaných nebo všech sítí.

   

   Zvolte Uložit.

Rozhraní příkazového řádku

V Azure CLI můžete zakázat nebo povolit přístup k veřejné síti přidáním --public-network-access parametru do az dt create příkazu. I když lze tento příkaz použít také k vytvoření nové instance, můžete ho použít k úpravě vlastností existující instance zadáním názvu instance, která již existuje. (Další informace o tomto příkazu najdete v referenční dokumentaci nebo obecných pokynech k nastavení instance služby Azure Digital Twins).

Pokud chcete zakázat přístup k veřejné síti pro instanci služby Azure Digital Twins, použijte --public-network-access tento parametr:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Pokud chcete povolit přístup k veřejné síti v instanci, ve které je aktuálně zakázaný, použijte následující podobný příkaz:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Pomocí příkazového nástroje ARMClient je povolený nebo zakázaný přístup k veřejné síti pomocí následujících příkazů.

Zakázání přístupu k veřejné síti:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Povolení přístupu k veřejné síti:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Nasazení s využitím šablon ARM

Pomocí šablony ARM můžete také nastavit službu Private Link se službou Azure Digital Twins.

Ukázkovou šablonu, která umožňuje funkci Azure připojit se ke službě Azure Digital Twins prostřednictvím koncového bodu služby Private Link, najdete v tématu Azure Digital Twins s funkcí Azure a šablonou PRIVATE Link (šablona ARM).

Tato šablona vytvoří instanci služby Azure Digital Twins, virtuální síť, funkci Azure připojenou k virtuální síti a připojení Private Link, aby instance Azure Digital Twins byla přístupná k funkci Azure prostřednictvím privátního koncového bodu.

Omezení a řešení potíží

Omezení používání služby Private Link se službou Azure Digital Twins spočívá v tom, že scénáře mezi tenanty nejsou podporované.

Tady je několik běžných problémů, které můžou nastat při řešení potíží:

• Problém: Při pokusu o přístup k rozhraním API služby Azure Digital Twins se v textu odpovědi zobrazí kód chyby HTTP 403 s následující chybou:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Řešení: K této chybě dochází v případě, že publicNetworkAccess je pro instanci služby Azure Digital Twins zakázaná a očekává se, že požadavky rozhraní API procházejí službou Private Link, ale volání bylo směrováno přes veřejnou síť (možná přes nástroj pro vyrovnávání zatížení nakonfigurovaný pro virtuální síť). Při pokusu o přístup k rozhraní API pomocí názvu hostitele koncového bodu se ujistěte, že váš klient rozhraní API přeloží privátní IP adresu privátního koncového bodu.

  Pro usnadnění překladu názvů hostitelů na privátní IP adresu privátního koncového bodu v podsíti můžete nakonfigurovat privátní zónu DNS. Ověřte, že je privátní zóna DNS správně propojená s virtuální sítí a používá správný název zóny, například privatelink.digitaltwins.azure.net.

• Problém: Při pokusu o přístup ke službě Azure Digital Twins prostřednictvím privátního koncového bodu vyprší časový limit připojení.

  Řešení: Ověřte, že neexistují žádná pravidla skupiny zabezpečení sítě, která zakazují klientovi komunikovat s privátním koncovým bodem a jeho podsítí. Komunikace na portu TCP 443 musí být povolená mezi zdrojovou IP adresou/podsítí klienta a cílovou IP adresou/podsítí privátního koncového bodu.

Další návrhy řešení potíží se službou Private Link najdete v tématu Řešení potíží s připojením privátního koncového bodu Azure.

Další kroky

Pomocí šablony ARM můžete rychle nastavit chráněné prostředí pomocí služby Private Link: Azure Digital Twins s funkcí Azure a službou Private Link.

Nebo si přečtěte další informace o službě Private Link pro Azure: Co je služba Azure Private Link?