Włączanie prywatnego dostępu do usługi Azure Digital Twins przy użyciu Private Link
Korzystając z usługi Azure Digital Twins wraz z Azure Private Link, możesz włączyć prywatne punkty końcowe dla wystąpienia usługi Azure Digital Twins, aby wyeliminować publiczne narażenie i zezwolić klientom znajdującym się w sieci wirtualnej na bezpieczny dostęp do wystąpienia za pośrednictwem Private Link. Aby uzyskać więcej informacji na temat tej strategii zabezpieczeń dla usługi Azure Digital Twins, zobacz Private Link z prywatnym punktem końcowym dla wystąpienia usługi Azure Digital Twins.
Poniżej przedstawiono kroki opisane w tym artykule:
- Włącz Private Link i skonfiguruj prywatny punkt końcowy dla wystąpienia usługi Azure Digital Twins.
- Wyświetlanie, edytowanie lub usuwanie prywatnego punktu końcowego z wystąpienia usługi Azure Digital Twins.
- Wyłącz lub włącz flagi dostępu do sieci publicznej, aby ograniczyć dostęp do interfejsu API dla usługi Azure Digital Twins tylko do Private Link połączeń.
Ten artykuł zawiera również informacje dotyczące wdrażania usługi Azure Digital Twins z usługą Private Link przy użyciu szablonu usługi ARM oraz rozwiązywania problemów z konfiguracją.
Wymagania wstępne
Aby można było skonfigurować prywatny punkt końcowy, musisz mieć usługę Azure Virtual Network (VNet), w której można wdrożyć punkt końcowy. Jeśli nie masz jeszcze sieci wirtualnej, możesz skorzystać z jednego z przewodników Szybki start usługi Azure Virtual Network, aby to skonfigurować.
Dodawanie prywatnych punktów końcowych do usługi Azure Digital Twins
Możesz użyć Azure Portal lub interfejsu wiersza polecenia platformy Azure, aby włączyć Private Link z prywatnym punktem końcowym dla wystąpienia usługi Azure Digital Twins.
Jeśli chcesz skonfigurować Private Link w ramach początkowej konfiguracji wystąpienia, musisz użyć Azure Portal. W przeciwnym razie, jeśli chcesz włączyć Private Link w wystąpieniu po jego utworzeniu, możesz użyć Azure Portal lub interfejsu wiersza polecenia platformy Azure. Każda z tych metod tworzenia daje te same opcje konfiguracji i ten sam wynik końcowy dla twojego wystąpienia.
Użyj kart w poniższych sekcjach, aby wybrać instrukcje dotyczące preferowanego środowiska.
Porada
Możesz również skonfigurować punkt końcowy Private Link za pośrednictwem usługi Private Link zamiast za pośrednictwem wystąpienia usługi Azure Digital Twins. Daje to również te same opcje konfiguracji i ten sam wynik końcowy.
Aby uzyskać więcej informacji na temat konfigurowania zasobów Private Link, zobacz dokumentację Private Link dotyczącą Azure Portal, interfejsu wiersza polecenia platformy Azure, usługi Azure Resource Manager lub programu PowerShell.
Dodawanie prywatnego punktu końcowego podczas tworzenia wystąpienia
W tej sekcji utworzysz prywatny punkt końcowy z Private Link w ramach początkowej konfiguracji wystąpienia usługi Azure Digital Twins. Tę akcję można wykonać tylko w Azure Portal.
W tej sekcji opisano sposób włączania Private Link podczas konfigurowania wystąpienia usługi Azure Digital Twins w Azure Portal.
Opcje Private Link znajdują się na karcie Sieć konfiguracji wystąpienia.
Rozpocznij konfigurowanie wystąpienia usługi Azure Digital Twins w Azure Portal. Aby uzyskać instrukcje, zobacz Konfigurowanie wystąpienia i uwierzytelniania.
Po osiągnięciu karty Sieć konfiguracji wystąpienia możesz włączyć prywatne punkty końcowe, wybierając opcję Prywatny punkt końcowydla metody łączności.
Spowoduje to dodanie sekcji o nazwie Połączenia prywatnego punktu końcowego , w której można skonfigurować szczegóły prywatnego punktu końcowego. Wybierz przycisk + Dodaj , aby kontynuować.
Na stronie Tworzenie prywatnego punktu końcowego , która zostanie otwarta, wprowadź szczegóły nowego prywatnego punktu końcowego.
Wypełnij opcje dla subskrypcji i grupy zasobów. Ustaw lokalizację na tę samą lokalizację co sieć wirtualna, której będziesz używać. Wybierz nazwę punktu końcowego, a w polu Docelowe zasoby podrzędne wybierz pozycję INTERFEJS API.
Następnie wybierz sieć wirtualną i podsieć , której chcesz użyć do wdrożenia punktu końcowego.
Na koniec wybierz, czy chcesz zintegrować z prywatną strefą DNS. Możesz użyć wartości domyślnej Tak lub, aby uzyskać pomoc dotyczącą tej opcji, możesz skorzystać z linku w portalu, aby dowiedzieć się więcej na temat integracji prywatnej usługi DNS.
Po wypełnieniu opcji konfiguracji wybierz przycisk OK , aby zakończyć.
Po zakończeniu tego procesu portal powróci do karty Sieć konfiguracji wystąpienia usługi Azure Digital Twins. Sprawdź, czy nowy punkt końcowy jest widoczny w obszarze Połączenia prywatnego punktu końcowego.
Użyj przycisków nawigacji dolnej, aby kontynuować konfigurację pozostałej części wystąpienia.
Dodawanie prywatnego punktu końcowego do istniejącego wystąpienia
W tej sekcji włączysz Private Link z prywatnym punktem końcowym dla wystąpienia usługi Azure Digital Twins, które już istnieje.
Najpierw przejdź do Azure Portal w przeglądarce. Wywołaj wystąpienie usługi Azure Digital Twins, wyszukując jego nazwę na pasku wyszukiwania portalu.
Wybierz pozycję Sieć w menu po lewej stronie.
Przejdź do karty Połączenia prywatnego punktu końcowego .
Wybierz pozycję + Prywatny punkt końcowy , aby otworzyć konfigurację utwórz prywatny punkt końcowy .
Na karcie Podstawy wprowadź lub wybierz grupę Subskrypcja i zasób projektu oraz nazwę i region dla punktu końcowego. Region musi być taki sam jak region dla używanej sieci wirtualnej.
Po zakończeniu wybierz przycisk Dalej : Zasób > , aby przejść do następnej karty.
Na karcie Zasób wprowadź lub wybierz następujące informacje:
- Metoda połączenia: wybierz pozycję Połącz z zasobem platformy Azure w moim katalogu, aby wyszukać wystąpienie usługi Azure Digital Twins.
- Subskrypcja: wprowadź swoją subskrypcję.
- Typ zasobu: wybierz pozycję Microsoft.DigitalTwins/digitalTwinsInstances
- Zasób: wybierz nazwę wystąpienia usługi Azure Digital Twins.
- Docelowy zasób podrzędny: wybierz pozycję Interfejs API.
Po zakończeniu wybierz przycisk Dalej : Konfiguracja > , aby przejść do następnej karty.
Na karcie Konfiguracja wprowadź lub wybierz następujące informacje:
- Sieć wirtualna: wybierz sieć wirtualną.
- Podsieć: wybierz podsieć z sieci wirtualnej.
- Integracja z prywatną strefą DNS: wybierz, czy chcesz zintegrować z prywatną strefą DNS. Możesz użyć wartości domyślnej Tak lub, aby uzyskać pomoc dotyczącą tej opcji, możesz skorzystać z linku w portalu, aby dowiedzieć się więcej na temat integracji prywatnej usługi DNS. Jeśli wybierzesz pozycję Tak, możesz pozostawić domyślne informacje o konfiguracji.
Po zakończeniu możesz wybrać przycisk Przejrzyj i utwórz , aby zakończyć konfigurację.
Na karcie Przeglądanie + tworzenie przejrzyj wybrane opcje i wybierz przycisk Utwórz .
Po zakończeniu wdrażania punktu końcowego powinien zostać wyświetlony w połączeniach prywatnych punktów końcowych dla wystąpienia usługi Azure Digital Twins.
Zarządzanie prywatnymi punktami końcowymi
W tej sekcji zobaczysz, jak wyświetlać, edytować i usuwać prywatny punkt końcowy po jego utworzeniu.
Po utworzeniu prywatnego punktu końcowego dla wystąpienia usługi Azure Digital Twins możesz wyświetlić go na karcie Sieć dla wystąpienia usługi Azure Digital Twins. Na tej stronie zostaną wyświetlone wszystkie połączenia prywatnego punktu końcowego skojarzone z wystąpieniem.
Wybierz punkt końcowy, aby wyświetlić szczegółowe informacje, wprowadzić zmiany w ustawieniach konfiguracji lub usunąć połączenie.
Porada
Punkt końcowy można również wyświetlić w centrum Private Link w Azure Portal.
Wyłączanie/włączanie flag dostępu do sieci publicznej
Możesz skonfigurować wystąpienie usługi Azure Digital Twins tak, aby odrzucało wszystkie połączenia publiczne i zezwalało tylko na połączenia za pośrednictwem prywatnych punktów końcowych dostępu w celu zwiększenia bezpieczeństwa sieci. Ta akcja jest wykonywana za pomocą flagi dostępu do sieci publicznej.
Te zasady umożliwiają ograniczenie dostępu do interfejsu API tylko do Private Link połączeń. Gdy flaga dostępu do sieci publicznej jest ustawiona na disabled
, wszystkie wywołania interfejsu API REST do płaszczyzny danych wystąpienia usługi Azure Digital Twins z chmury publicznej będą zwracać wartość 403, Unauthorized
. W przeciwnym razie, gdy zasady zostaną ustawione na disabled
i żądanie zostanie wykonane za pośrednictwem prywatnego punktu końcowego, wywołanie interfejsu API powiedzie się.
Wartość flagi sieciowej można zaktualizować przy użyciu narzędzia poleceń Azure Portal, interfejsu wiersza polecenia platformy Azure lub ARMClient.
Aby wyłączyć lub włączyć dostęp do sieci publicznej w Azure Portal, otwórz portal i przejdź do wystąpienia usługi Azure Digital Twins.
Wdrażanie przy użyciu szablonów usługi ARM
Możesz również skonfigurować Private Link za pomocą usługi Azure Digital Twins przy użyciu szablonu usługi ARM.
Aby zapoznać się z przykładowym szablonem umożliwiającym funkcji platformy Azure łączenie się z usługą Azure Digital Twins za pośrednictwem punktu końcowego Private Link, zobacz Azure Digital Twins z funkcją platformy Azure i Private Link (szablon usługi ARM).
Ten szablon tworzy wystąpienie usługi Azure Digital Twins, sieć wirtualną, funkcję platformy Azure połączoną z siecią wirtualną oraz połączenie Private Link, aby wystąpienie usługi Azure Digital Twins było dostępne dla funkcji platformy Azure za pośrednictwem prywatnego punktu końcowego.
Rozwiązywanie problemów
Poniżej przedstawiono niektóre typowe problemy, które mogą wystąpić podczas korzystania z Private Link z usługą Azure Digital Twins.
Problem: Podczas próby uzyskania dostępu do interfejsów API usługi Azure Digital Twins w treści odpowiedzi zostanie wyświetlony kod błędu HTTP 403 z następującym błędem:
{ "statusCode": 403, "message": "Public network access disabled by policy." }
Rozdzielczość: Ten błąd występuje, gdy
publicNetworkAccess
dla wystąpienia usługi Azure Digital Twins i żądań interfejsu API oczekuje się, że nastąpi Private Link, ale wywołanie zostało przekierowane przez sieć publiczną (prawdopodobnie za pośrednictwem modułu równoważenia obciążenia skonfigurowanego dla sieci wirtualnej). Upewnij się, że klient interfejsu API rozpozna prywatny adres IP prywatnego punktu końcowego podczas próby uzyskania dostępu do interfejsu API za pośrednictwem nazwy hosta punktu końcowego.Aby ułatwić rozpoznawanie nazwy hosta dla prywatnego adresu IP prywatnego punktu końcowego w podsieci, można skonfigurować prywatną strefę DNS. Sprawdź, czy prywatna strefa DNS jest poprawnie połączona z siecią wirtualną i używa odpowiedniej nazwy strefy, takiej jak
privatelink.digitaltwins.azure.net
.Problem: Podczas próby uzyskania dostępu do usługi Azure Digital Twins za pośrednictwem prywatnego punktu końcowego przekroczono limit czasu połączenia.
Rozdzielczość: Sprawdź, czy nie ma żadnych reguł sieciowej grupy zabezpieczeń , które uniemożliwiają klientowi komunikację z prywatnym punktem końcowym i jego podsiecią. Komunikacja na porcie TCP 443 musi być dozwolona między źródłowym adresem IP/podsiecią klienta a docelowym adresem IP/podsiecią prywatnego punktu końcowego.
Aby uzyskać więcej Private Link sugestii dotyczących rozwiązywania problemów, zobacz Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.
Następne kroki
Szybko skonfiguruj chronione środowisko przy użyciu Private Link przy użyciu szablonu usługi ARM: Usługa Azure Digital Twins z funkcją platformy Azure i Private Link.
Możesz też dowiedzieć się więcej o Private Link dla platformy Azure: Co to jest usługa Azure Private Link?