Habilitación del acceso privado a Azure Digital Twins mediante Private Link
Mediante el uso de Azure Digital Twins con Azure Private Link, puede habilitar puntos de conexión privados para la instancia de Azure Digital Twins, a fin de eliminar la exposición pública y permitir que los clientes ubicados en la red virtual accedan de forma segura a la instancia a través de Private Link. Para obtener más información sobre esta estrategia de seguridad para Azure Digital Twins, consulte Private Link con un punto de conexión privado para una instancia de Azure Digital Twins.
Estos son los pasos que se describen en este artículo:
- Activación de Private Link y configuración de un punto de conexión privado para una instancia de Azure Digital Twins.
- Visualización, edición o eliminación de un punto de conexión privado de una instancia de Azure Digital Twins.
- Deshabilitación o habilitación de marcas de acceso a la red pública para restringir el acceso de la API para Azure Digital Twins únicamente a las conexiones de Private Link.
Este artículo también contiene información para implementar Azure Digital Twins con Private Link mediante una plantilla de ARM y solucionar problemas de la configuración.
Requisitos previos
Para poder configurar un punto de conexión privado, necesitará una red virtual de Azure (VNet) en la que se pueda implementar el punto de conexión. Si aún no tiene una red virtual, puede seguir uno de los inicios rápidos de Azure Virtual Network para configurarla.
Adición de puntos de conexión privado a Azure Digital Twins
Puede usar Azure Portal o la CLI de Azure para activar Private Link con un punto de conexión privado para una instancia de Azure Digital Twins.
Si quiere configurar Private Link como parte de la configuración inicial de la instancia, deberá usar Azure Portal. De lo contrario, si quiere habilitar Private Link en una instancia después de crearla, puede usar Azure Portal o la CLI de Azure. Cualquiera de estos métodos de creación proporcionará las mismas opciones de configuración y el mismo resultado final para la instancia.
Use las pestañas de las secciones siguientes para seleccionar las instrucciones de la experiencia que prefiera.
Sugerencia
También puede configurar un punto de conexión de Private Link mediante el servicio Private Link, en lugar de hacerlo con la instancia de Azure Digital Twins. Esto también proporciona las mismas opciones de configuración y el mismo resultado final.
Para obtener más información sobre la configuración de recursos de Private Link, consulte la documentación de Private Link para Azure Portal, la CLI de Azure, Azure Resource Manager o PowerShell.
Adición de un punto de conexión privado durante la creación de la instancia
En esta sección, creará un punto de conexión privado con Private Link como parte de la configuración inicial de una instancia de Azure Digital Twins. Esta acción solo se puede realizar en Azure Portal.
En esta sección se describe cómo activar Private Link al configurar una instancia de Azure Digital Twins en Azure Portal.
Las opciones de Private Link se encuentran en la pestaña Redes de configuración de la instancia.
Empiece a configurar una instancia de Azure Digital Twins en Azure Portal. Para obtener instrucciones, consulte Configuración de una instancia y autenticación.
Cuando llegue a la pestaña Redes de la configuración de la instancia, puede habilitar puntos de conexión privados si selecciona la opción Punto de conexión privado para el Método de conectividad.
Esto agregará una sección llamada Puntos de conexión privados, donde podrá configurar los detalles del punto de conexión privado. Seleccione el botón + Agregar para continuar.
En la página Crear punto de conexión privado que se abre, escriba los detalles de un nuevo punto de conexión privado.
Rellene las selecciones para la Suscripción y el Grupo de recursos. Establezca la Ubicación en la misma de la red virtual que va a usar. Elija un Nombre para el punto de conexión y, para Subrecursos de destino, seleccione API.
A continuación, seleccione la Red virtual y la Subred que quiere usar para implementar el punto de conexión.
Por último, seleccione si quiere Integrar con la zona DNS privada. Puede usar el valor predeterminado de Sí, o bien, para obtener ayuda con esta opción, puede seguir el vínculo del portal para obtener más información sobre la integración de DNS privado.
Después de rellenar las opciones de configuración, seleccione Aceptar para finalizar.
Cuando finalice este proceso, se le volverá a llevar a la pestaña Redes de la configuración de la instancia de Azure Digital Twins. Compruebe que el nuevo punto de conexión está visible en Conexiones de punto de conexión privado.
Use los botones de navegación inferiores para continuar con el resto de la configuración de la instancia.
Adición de un punto de conexión privado a una instancia existente
En esta sección, habilitará Private Link con un punto de conexión privado en una instancia de Azure Digital Twins que ya existe.
En primer lugar, navegue a Azure Portal en un explorador. Abra la instancia de Azure Digital Twins; para ello, busque su nombre en la barra de búsqueda del portal.
Seleccione Redes en el menú de la izquierda.
Cambie a la pestaña Conexiones de punto de conexión privado.
Seleccione + Punto de conexión privado para abrir la configuración Crear un punto de conexión privado.
En la pestaña Aspectos básicos, escriba o seleccione la suscripción y el grupo de recursos del proyecto, además de un nombre y una región para el punto de conexión. La región debe ser la misma que la de la red virtual que usa.
Cuando haya terminado, seleccione el botón Siguiente: Recurso para ir a la pestaña siguiente.
En la pestaña Recurso, escriba o seleccione esta información:
- Método de conexión: seleccione Conectarse a un recurso de Azure en mi directorio para buscar la instancia de Azure Digital Twins.
- Suscripción: escriba la suscripción.
- Tipo de recurso: seleccione Microsoft.DigitalTwins/digitalTwinsInstances.
- Recursos: seleccione el nombre de la instancia de Azure Digital Twins.
- Recurso secundario de destino: Seleccione API.
Cuando haya terminado, seleccione el botón Siguiente: Configuración para ir a la pestaña siguiente.
En la pestaña Configuración, escriba o seleccione esta información:
- Red virtual: Seleccione la red virtual.
- Subred: elija una subred de la red virtual.
- Integración con una zona DNS privada: seleccione si quiere Integrar con la zona DNS privada. Puede usar el valor predeterminado de Sí, o bien, para obtener ayuda con esta opción, puede seguir el vínculo del portal para obtener más información sobre la integración de DNS privado. Si selecciona Sí, puede dejar la información de configuración predeterminada.
Cuando haya terminado, puede seleccionar el botón Revisar y crear para finalizar la instalación.
En la pestaña Revisar y crear, revise las selecciones y seleccione el botón Crear.
Cuando finalice la implementación del punto de conexión, debe aparecer en las conexiones de punto de conexión privado de la instancia de Azure Digital Twins.
Administración de puntos de conexión privados
En esta sección, aprenderá a visualizar, editar y eliminar un punto de conexión privado después de crearlo.
Una vez que se ha creado un punto de conexión privado para la instancia de Azure Digital Twins, puede verlo en la pestaña Redes de la instancia de Azure Digital Twins. En esta página se mostrarán todas las conexiones de punto de conexión privado asociadas a la instancia.
Seleccione el punto de conexión para ver su información en detalle, realizar cambios en sus opciones de configuración o eliminar la conexión.
Sugerencia
El punto de conexión también se puede ver desde Private Link Center en Azure Portal.
Habilitación o deshabilitación de las marcas de acceso a la red pública
Puede configurar la instancia de Azure Digital Twins para denegar todas las conexiones públicas y permitir solo las conexiones a través de puntos de conexión de acceso privado para mejorar la seguridad de red. Esta acción se realiza con una marca de acceso a la red pública.
Esta directiva permite restringir el acceso de la API únicamente a las conexiones de Private Link. Cuando la marca de acceso a la red pública está establecida en disabled
, todas las llamadas API REST al plano de datos de la instancia de Azure Digital Twins desde la nube pública devolverán 403, Unauthorized
. De lo contrario, cuando la directiva se establezca en disabled
y se realice una solicitud a través de un punto de conexión privado, la llamada API se realizará correctamente.
Puede actualizar el valor de la marca de red mediante Azure Portal, la CLI de Azure o la herramienta de comandos ARMClient.
Para deshabilitar o habilitar el acceso a la red pública en Azure Portal, abra el portal y vaya a la instancia de Azure Digital Twins.
Implementación con plantillas de Resource Manager
También puede configurar Private Link con Azure Digital Twins mediante una plantilla de Resource Manager.
Para obtener una plantilla de ejemplo que permita que una función de Azure se conecte a Azure Digital Twins a través de un punto de conexión de Private Link, consulte Azure Digital Twins con la función de Azure y Private Link (plantilla de ARM).
Esta plantilla crea una instancia de Azure Digital Twins, una red virtual, una función de Azure conectada a la red virtual y una conexión de Private Link para que la función de Azure pueda acceder a la instancia de Azure Digital Twins a través de un punto de conexión privado.
Solución de problemas
Estos son algunos problemas comunes que pueden surgir al usar Private Link con Azure Digital Twins.
Problema: al intentar acceder a las API de Azure Digital Twins, aparece un código de error HTTP 403 con el siguiente error en el cuerpo de la respuesta:
{ "statusCode": 403, "message": "Public network access disabled by policy." }
Resolución: este error se produce cuando se ha deshabilitado
publicNetworkAccess
para la instancia de Azure Digital Twins y se espera que las solicitudes de API lleguen a través de Private Link, pero la llamada se ha enrutado a través de la red pública (posiblemente a través de un equilibrador de carga configurado para una red virtual). Asegúrese de que el cliente de API está resolviendo la dirección IP privada del punto de conexión privado cuando intente acceder a la API a través del nombre de host del punto de conexión.Para facilitar la resolución de nombres de host en la IP privada del punto de conexión privado de una subred, puede configurar una zona DNS privada. Compruebe que la zona DNS privada está vinculada correctamente a la red virtual y usa el nombre de zona correcto, como
privatelink.digitaltwins.azure.net
.Problema: al intentar acceder a Azure Digital Twins a través de un punto de conexión privado, se agota el tiempo de espera de la conexión.
Resolución: compruebe que no hay ninguna regla de grupo de seguridad de red que prohíba que el cliente se comunique con el punto de conexión privado y su subred. Se debe permitir la comunicación en el puerto TCP 443 entre la dirección IP o subred de origen del cliente y la dirección IP o subred de destino del punto de conexión privado.
Para más sugerencias para solucionar problemas de Private Link, consulte Solución de problemas de conectividad de puntos de conexión privados de Azure.
Pasos siguientes
Configure rápidamente un entorno protegido con Private Link mediante una plantilla de Resource Manager: Azure Digital Twins con la función de Azure y Private Link.
O bien, obtenga más información sobre Private Link para Azure: ¿Qué es el servicio Azure Private Link?