Privétoegang tot Azure Digital Twins inschakelen met behulp van Private Link

Door Azure Digital Twins samen met Azure Private Link te gebruiken, kunt u privé-eindpunten inschakelen voor uw Azure Digital Twins-exemplaar, om openbare blootstelling te elimineren en clients die zich in uw virtuele netwerk bevinden, veilig toegang te geven tot het exemplaar via Private Link. Zie Private Link met een privé-eindpunt voor een Azure Digital Twins-exemplaar voor meer informatie over deze beveiligingsstrategie voor Azure Digital Twins.

Dit zijn de stappen die in dit artikel worden behandeld:

1. Schakel Private Link in en configureer een privé-eindpunt voor een Azure Digital Twins-exemplaar.
2. Een privé-eindpunt weergeven, bewerken of verwijderen uit een Azure Digital Twins-exemplaar.
3. Schakel openbare netwerktoegangsvlagmen uit of in om API-toegang voor een Azure Digital Twins alleen te beperken tot Private Link-verbindingen.

Dit artikel bevat ook informatie over het implementeren van Azure Digital Twins met Private Link met behulp van een ARM-sjabloon en het oplossen van problemen met de configuratie.

Vereisten

Voordat u een privé-eindpunt kunt instellen, hebt u een virtueel Azure-netwerk (VNet) nodig waar het eindpunt kan worden geïmplementeerd. Als u nog geen VNet hebt, kunt u een van de quickstarts van Azure Virtual Network volgen om dit in te stellen.

Privé-eindpunten toevoegen aan Azure Digital Twins

U kunt Azure Portal of De Azure CLI gebruiken om Private Link in te schakelen met een privé-eindpunt voor een Azure Digital Twins-exemplaar.

Als u Private Link wilt instellen als onderdeel van de eerste installatie van het exemplaar, moet u Azure Portal gebruiken. Als u Private Link wilt inschakelen op een exemplaar nadat deze is gemaakt, kunt u Azure Portal of De Azure CLI gebruiken. Elk van deze methoden voor het maken geeft dezelfde configuratieopties en hetzelfde eindresultaat voor uw exemplaar.

Gebruik de tabbladen in de onderstaande secties om instructies te selecteren voor uw voorkeurservaring.

Tip

U kunt ook een Private Link-eindpunt instellen via de Private Link-service in plaats van via uw Azure Digital Twins-exemplaar. Dit biedt ook dezelfde configuratieopties en hetzelfde eindresultaat.

Zie de Documentatie van Private Link voor Azure Portal, Azure CLI, Azure Resource Manager of PowerShell voor meer informatie over het instellen van Private Link-resources.

Een privé-eindpunt toevoegen tijdens het maken van een exemplaar

In deze sectie maakt u een privé-eindpunt met Private Link als onderdeel van de eerste installatie van een Azure Digital Twins-exemplaar. Deze actie kan alleen worden uitgevoerd in Azure Portal.

Portal

In deze sectie wordt beschreven hoe u Private Link inschakelt tijdens het instellen van een Azure Digital Twins-exemplaar in Azure Portal.

De opties voor Private Link bevinden zich op het tabblad Netwerken van de installatie van het exemplaar.

1. Begin met het instellen van een Azure Digital Twins-exemplaar in Azure Portal. Zie Een exemplaar en verificatie instellen voor instructies.

2. Wanneer u het tabblad Netwerken van de installatie van het exemplaar bereikt, kunt u privé-eindpunten inschakelen door de optie Privé-eindpunt voor de connectiviteitsmethode te selecteren.

   Als u dit doet, voegt u een sectie met de naam Privé-eindpuntverbindingen toe, waar u de details van uw privé-eindpunt kunt configureren. Selecteer de knop + Toevoegen om door te gaan.

   

3. Voer op de pagina Privé-eindpunt maken die wordt geopend de details van een nieuw privé-eindpunt in.

   

   1. Vul selecties in voor uw abonnement en resourcegroep. Stel de locatie in op dezelfde locatie als het VNet dat u gaat gebruiken. Kies een naam voor het eindpunt en selecteer API voor subbronnen doel.

   2. Selecteer vervolgens het virtuele netwerk en het subnet dat u wilt gebruiken om het eindpunt te implementeren.

   3. Selecteer ten slotte of u wilt integreren met een privé-DNS-zone. U kunt de standaardwaarde Ja gebruiken of voor hulp bij deze optie kunt u de koppeling in de portal volgen voor meer informatie over privé-DNS-integratie.

   4. Nadat u de configuratieopties hebt ingevuld, selecteert u OK om te voltooien.

4. Zodra u dit proces hebt voltooid, keert de portal terug naar het tabblad Netwerken van de installatie van het Azure Digital Twins-exemplaar. Controleer of uw nieuwe eindpunt zichtbaar is onder Privé-eindpuntverbindingen.

   

5. Gebruik de onderste navigatieknoppen om door te gaan met de rest van de installatie van het exemplaar.

CLI

U kunt geen Private Link-eindpunt toevoegen tijdens het maken van het exemplaar met behulp van de Azure CLI.

U kunt overschakelen naar Azure Portal om het eindpunt toe te voegen tijdens het maken van het exemplaar of doorgaan naar de volgende sectie om de CLI te gebruiken om een privé-eindpunt toe te voegen nadat het exemplaar is gemaakt.

Een privé-eindpunt toevoegen aan een bestaand exemplaar

In deze sectie schakelt u Private Link in met een privé-eindpunt voor een Azure Digital Twins-exemplaar dat al bestaat.

Portal

1. Navigeer eerst naar Azure Portal in een browser. Open uw Azure Digital Twins-exemplaar door te zoeken naar de naam ervan in de zoekbalk van de portal.

2. Selecteer Netwerken in het linkermenu.

3. Ga naar het tabblad Privé-eindpuntverbindingen .

4. Selecteer + Privé-eindpunt om de installatie van een privé-eindpunt te openen.

   

5. Voer op het tabblad Basisbeginselen de groep Abonnement en resource van uw project en een naam en regio voor uw eindpunt in of selecteer deze. De regio moet hetzelfde zijn als de regio voor het VNet dat u gebruikt.

   

   Wanneer u klaar bent, selecteert u de knop Volgende: Resource > om naar het volgende tabblad te gaan.

6. Voer op het tabblad Resource deze gegevens in of selecteer deze:

   • Verbindingsmethode: selecteer Verbinding maken met een Azure-resource in mijn directory om te zoeken naar uw Azure Digital Twins-exemplaar.
   • Abonnement: voer uw abonnement in.
   • Resourcetype: Selecteer Microsoft.DigitalTwins/digitalTwinsInstances
   • Resource: Selecteer de naam van uw Azure Digital Twins-exemplaar.
   • Doelsubresource: Selecteer API.

   

   Wanneer u klaar bent, selecteert u de knop Volgende: Configuratie > om naar het volgende tabblad te gaan.

7. Voer op het tabblad Configuratie deze gegevens in of selecteer deze:

   • Virtueel netwerk: selecteer uw virtuele netwerk.
   • Subnet: Kies een subnet in uw virtuele netwerk.
   • Integreren met privé-DNS-zone: selecteer of u wilt integreren met een privé-DNS-zone. U kunt de standaardwaarde Ja gebruiken of voor hulp bij deze optie kunt u de koppeling in de portal volgen voor meer informatie over privé-DNS-integratie. Als u Ja selecteert, kunt u de standaardconfiguratiegegevens achterlaten.

   

   Wanneer u klaar bent, kunt u de knop Beoordelen en maken selecteren om de installatie te voltooien.

8. Controleer uw selecties op het tabblad Beoordelen en maken en selecteer de knop Maken .

Wanneer het eindpunt is geïmplementeerd, wordt het weergegeven in de privé-eindpuntverbindingen voor uw Azure Digital Twins-exemplaar.

CLI

Als u een privé-eindpunt wilt maken en deze wilt koppelen aan een Azure Digital Twins-exemplaar met behulp van de Azure CLI, gebruikt u de opdracht az network private-endpoint create . Identificeer het Azure Digital Twins-exemplaar met behulp van de volledig gekwalificeerde id in de --private-connection-resource-id parameter.

Hier volgt een voorbeeld waarin de opdracht wordt gebruikt om een privé-eindpunt te maken, met alleen de vereiste parameters.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Voor een volledige lijst met vereiste en optionele parameters, evenals meer voorbeelden van het maken van privé-eindpunten, raadpleegt u de referentiedocumentatie az network private-endpoint create.

Privé-eindpunten beheren

In deze sectie ziet u hoe u een privé-eindpunt kunt weergeven, bewerken en verwijderen nadat het is gemaakt.

Portal

Zodra een privé-eindpunt is gemaakt voor uw Azure Digital Twins-exemplaar, kunt u dit bekijken op het tabblad Netwerken voor uw Azure Digital Twins-exemplaar. Op deze pagina worden alle privé-eindpuntverbindingen weergegeven die aan het exemplaar zijn gekoppeld.

Selecteer het eindpunt om de informatie in detail weer te geven, wijzigingen aan te brengen in de configuratie-instellingen of de verbinding te verwijderen.

Tip

Het eindpunt kan ook worden weergegeven vanuit het Private Link Center in Azure Portal.

CLI

Zodra een privé-eindpunt is gemaakt voor uw Azure Digital Twins-exemplaar, kunt u de opdrachten az dt network private-endpoint connections gebruiken om privé-eindpuntverbindingen te blijven beheren met betrekking tot het exemplaar. Bewerkingen zijn onder andere:

• Een privé-eindpuntverbinding weergeven
• De status van de privé-eindpuntverbinding instellen
• De privé-eindpuntverbinding verwijderen
• Alle privé-eindpuntverbindingen voor een exemplaar weergeven

Zie de referentiedocumentatie az dt network private-endpoint voor meer informatie en voorbeelden.

Meer Private Link-informatie ophalen

U kunt meer informatie krijgen over de Private Link-status van uw exemplaar met de opdrachten az dt network private-link . Bewerkingen zijn onder andere:

• Privékoppelingen weergeven die zijn gekoppeld aan een Azure Digital Twins-exemplaar
• Een privékoppeling weergeven die is gekoppeld aan het exemplaar

Zie de naslagdocumentatie az dt network private-link voor meer informatie en voorbeelden.

Openbare netwerktoegangsvlagmen uitschakelen/inschakelen

U kunt uw Azure Digital Twins-exemplaar configureren om alle openbare verbindingen te weigeren en alleen verbindingen via privétoegangseindpunten toe te staan om de netwerkbeveiliging te verbeteren. Deze actie wordt uitgevoerd met een vlag voor openbare netwerktoegang.

Met dit beleid kunt u alleen API-toegang tot Private Link-verbindingen beperken. Wanneer de vlag voor openbare netwerktoegang is ingesteld op disabled, worden alle REST API-aanroepen naar het gegevensvlak van het Azure Digital Twins-exemplaar vanuit de openbare cloud geretourneerd 403, Unauthorized. Anders slaagt de API-aanroep wanneer het beleid is ingesteld op disabled en een aanvraag wordt gedaan via een privé-eindpunt.

U kunt de waarde van de netwerkvlag bijwerken met behulp van de Azure-portal, Azure CLI of het armClient-opdrachtprogramma.

Portal

Als u openbare netwerktoegang wilt uitschakelen of inschakelen in Azure Portal, opent u de portal en gaat u naar uw Azure Digital Twins-exemplaar.

1. Selecteer Netwerken in het linkermenu.

2. Stel op het tabblad Openbare toegang de toegang tot openbaar netwerk toestaan in op Uitgeschakeld of Alle netwerken.

   

   Selecteer Opslaan.

CLI

In de Azure CLI kunt u openbare netwerktoegang uitschakelen of inschakelen door een --public-network-access parameter toe te voegen aan de az dt create opdracht. Hoewel deze opdracht ook kan worden gebruikt om een nieuw exemplaar te maken, kunt u deze gebruiken om de eigenschappen van een bestaand exemplaar te bewerken door deze de naam op te geven van een exemplaar dat al bestaat. (Zie de referentiedocumentatie of de algemene instructies voor het instellen van een Azure Digital Twins-exemplaar) voor meer informatie over deze opdracht.

Als u openbare netwerktoegang voor een Azure Digital Twins-exemplaar wilt uitschakelen, gebruikt u de --public-network-access parameter als volgt:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Gebruik de volgende vergelijkbare opdracht om openbare netwerktoegang in te schakelen op een exemplaar waarop deze momenteel is uitgeschakeld:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Met het opdrachtprogramma ARMClient is openbare netwerktoegang ingeschakeld of uitgeschakeld met behulp van de onderstaande opdrachten.

Openbare netwerktoegang uitschakelen:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Openbare netwerktoegang inschakelen:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Implementeren met ARM-sjablonen

U kunt Private Link ook instellen met Azure Digital Twins met behulp van een ARM-sjabloon.

Voor een voorbeeldsjabloon waarmee een Azure-functie via een Private Link-eindpunt verbinding kan maken met Azure Digital Twins, raadpleegt u Azure Digital Twins met azure-functie en ARM-sjabloon (Private Link).

Met deze sjabloon maakt u een Azure Digital Twins-exemplaar, een virtueel netwerk, een Azure-functie die is verbonden met het virtuele netwerk en een Private Link-verbinding om het Azure Digital Twins-exemplaar toegankelijk te maken voor de Azure-functie via een privé-eindpunt.

Beperkingen en probleemoplossing

Een beperking van het gebruik van Private Link met Azure Digital Twins is dat scenario's tussen tenants niet worden ondersteund.

Hier volgen enkele veelvoorkomende problemen die zich kunnen voordoen voor het oplossen van problemen:

• Probleem: Wanneer u toegang probeert te krijgen tot Azure Digital Twins-API's, ziet u een HTTP-foutcode 403 met de volgende fout in de hoofdtekst van het antwoord:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Oplossing: deze fout treedt op wanneer publicNetworkAccess deze is uitgeschakeld voor het Azure Digital Twins-exemplaar en API-aanvragen naar verwachting via Private Link komen, maar de aanroep is gerouteerd via het openbare netwerk (mogelijk via een load balancer die is geconfigureerd voor een virtueel netwerk). Zorg ervoor dat uw API-client het privé-IP-adres voor het privé-eindpunt oplost wanneer u toegang probeert te krijgen tot de API via de hostnaam van het eindpunt.

  U kunt een privé-DNS-zone configureren om hostnaamomzetting naar het privé-IP-adres van het privé-eindpunt in een subnet te vergemakkelijken. Controleer of de privé-DNS-zone correct is gekoppeld aan het virtuele netwerk en de juiste zonenaam gebruikt, zoals privatelink.digitaltwins.azure.net.

• Probleem: bij het openen van Azure Digital Twins via een privé-eindpunt treedt er een time-out op voor de verbinding.

  Oplossing: Controleer of er geen regels voor netwerkbeveiligingsgroepen zijn die verhinderen dat de client communiceert met het privé-eindpunt en het bijbehorende subnet. Communicatie op TCP-poort 443 moet zijn toegestaan tussen het bron-IP-adres/subnet van de client en het IP-adres/subnet van de bestemming van het privé-eindpunt.

Zie Problemen met connectiviteitsproblemen met Azure Private Endpoint oplossen voor meer suggesties voor het oplossen van problemen met Private Link.

Volgende stappen

Stel snel een beveiligde omgeving in met Private Link met behulp van een ARM-sjabloon: Azure Digital Twins met de Azure-functie en Private Link.

Of lees meer over Private Link voor Azure: Wat is de Azure Private Link-service?