Habilitar o acesso privado aos Gêmeos Digitais do Azure usando o Private Link

Usando os Gêmeos Digitais do Azure junto com o Azure Private Link, você pode habilitar pontos de extremidade privados para sua instância de Gêmeos Digitais do Azure, para eliminar a exposição pública e permitir que os clientes localizados em sua rede virtual acessem com segurança a instância pelo Link Privado. Para obter mais informações sobre essa estratégia de segurança para Gêmeos Digitais do Azure, consulte Link privado com um ponto de extremidade privado para uma instância de Gêmeos Digitais do Azure.

Aqui estão as etapas abordadas neste artigo:

1. Ative o Link Privado e configure um ponto de extremidade privado para uma instância do Azure Digital Twins.
2. Exibir, editar ou excluir um ponto de extremidade privado de uma instância do Azure Digital Twins.
3. Desabilite ou habilite sinalizadores de acesso à rede pública para restringir o acesso à API de um Azure Digital Twins apenas para conexões de Link Privado.

Este artigo também contém informações para implantar Gêmeos Digitais do Azure com Link Privado usando um modelo ARM e solucionar problemas de configuração.

Pré-requisitos

Antes de configurar um ponto de extremidade privado, você precisará de uma Rede Virtual do Azure (VNet) onde o ponto de extremidade possa ser implantado. Se você ainda não tiver uma rede virtual, poderá seguir um dos inícios rápidos da Rede Virtual do Azure para configurá-la.

Adicionar pontos de extremidade privados aos Gêmeos Digitais do Azure

Você pode usar o portal do Azure ou a CLI do Azure para ativar o Link Privado com um ponto de extremidade privado para uma instância do Azure Digital Twins.

Se quiser configurar o Private Link como parte da configuração inicial da instância, você precisará usar o portal do Azure. Caso contrário, se você quiser habilitar o Link Privado em uma instância depois que ela for criada, poderá usar o portal do Azure ou a CLI do Azure. Qualquer um desses métodos de criação fornecerá as mesmas opções de configuração e o mesmo resultado final para sua instância.

Use as guias nas seções abaixo para selecionar instruções para sua experiência preferida.

Gorjeta

Você também pode configurar um ponto de extremidade de Link Privado por meio do serviço de Link Privado, em vez de por meio de sua instância de Gêmeos Digitais do Azure. Isso também oferece as mesmas opções de configuração e o mesmo resultado final.

Para obter mais informações sobre como configurar recursos de Link Privado, consulte Documentação de Link Privado para o portal do Azure, CLI do Azure, Gerenciador de Recursos do Azure ou PowerShell.

Adicionar um ponto de extremidade privado durante a criação da instância

Nesta seção, você criará um ponto de extremidade privado com o Private Link como parte da configuração inicial de uma instância do Azure Digital Twins. Essa ação só pode ser feita no portal do Azure.

Portal

Esta seção descreve como ativar o Link Privado ao configurar uma instância do Azure Digital Twins no portal do Azure.

As opções de Link privado estão localizadas na guia Rede da configuração da instância.

1. Comece a configurar uma instância do Azure Digital Twins no portal do Azure. Para obter instruções, consulte Configurar uma instância e autenticação.

2. Ao acessar a guia Rede da configuração da instância, você pode habilitar pontos de extremidade privados selecionando a opção Ponto de extremidade privado para o método de conectividade.

   Isso adicionará uma seção chamada Private endpoint connections , onde você poderá configurar os detalhes do seu endpoint privado. Selecione o botão + Adicionar para continuar.

   

3. Na página Criar ponto de extremidade privado que é aberta, insira os detalhes de um novo ponto de extremidade privado.

   

   1. Preencha as seleções para o seu grupo de Subscrição e Recursos. Defina o Local para o mesmo local da VNet que você usará. Escolha um Nome para o ponto de extremidade e, para Subrecursos de destino, selecione API.

   2. Em seguida, selecione a rede virtual e a sub-rede que você deseja usar para implantar o ponto de extremidade.

   3. Por fim, selecione se deseja Integrar com a zona DNS privada. Você pode usar o padrão de Sim ou, para obter ajuda com essa opção, você pode seguir o link no portal para saber mais sobre a integração de DNS privado.

   4. Depois de preencher as opções de configuração, selecione OK para concluir.

4. Depois de concluir esse processo, o portal retornará à guia Rede da configuração da instância do Azure Digital Twins. Verifique se o novo ponto de extremidade está visível em Conexões de ponto de extremidade privado.

   

5. Use os botões de navegação inferiores para continuar com o restante da configuração da instância.

CLI

Não é possível adicionar um ponto de extremidade de Link Privado durante a criação da instância usando a CLI do Azure.

Você pode alternar para o portal do Azure para adicionar o ponto de extremidade durante a criação da instância ou continuar para a próxima seção para usar a CLI para adicionar um ponto de extremidade privado após a instância ter sido criada.

Adicionar um ponto de extremidade privado a uma instância existente

Nesta seção, você habilitará o Link Privado com um ponto de extremidade privado para uma instância do Azure Digital Twins que já existe.

Portal

1. Primeiro, navegue até o portal do Azure em um navegador. Abra sua instância do Azure Digital Twins pesquisando seu nome na barra de pesquisa do portal.

2. Selecione Rede no menu à esquerda.

3. Alterne para a guia Conexões de ponto de extremidade privadas.

4. Selecione + Ponto de extremidade privado para abrir a configuração Criar um ponto de extremidade privado.

   

5. Na guia Noções básicas, insira ou selecione o grupo Assinatura e Recursos do seu projeto e um Nome e Região para seu ponto de extremidade. A região precisa ser a mesma da VNet que você está usando.

   

   Quando terminar, selecione o botão Seguinte: Recurso > para ir para o separador seguinte.

6. Na guia Recurso, insira ou selecione estas informações:

   • Método de conexão: selecione Conectar a um recurso do Azure em meu diretório para pesquisar sua instância do Azure Digital Twins.
   • Subscrição: Introduza a sua subscrição.
   • Tipo de recurso: Selecione Microsoft.DigitalTwins/digitalTwinsInstances
   • Recurso: selecione o nome da sua instância do Azure Digital Twins.
   • Subrecurso de destino: Selecione API.

   

   Quando terminar, selecione o botão Seguinte: Configuração > para ir para o separador seguinte.

7. Na guia Configuração, insira ou selecione estas informações:

   • Rede virtual: Selecione sua rede virtual.
   • Sub-rede: escolha uma sub-rede da sua rede virtual.
   • Integrar com zona DNS privada: Selecione se deseja Integrar com zona DNS privada. Você pode usar o padrão de Sim ou, para obter ajuda com essa opção, você pode seguir o link no portal para saber mais sobre a integração de DNS privado. Se você selecionar Sim, poderá deixar as informações de configuração padrão.

   

   Quando terminar, pode selecionar o botão Rever + criar para concluir a configuração.

8. No separador Rever + criar, reveja as suas seleções e selecione o botão Criar.

Quando a implantação do ponto de extremidade estiver concluída, ele deverá aparecer nas conexões de ponto de extremidade privado para sua instância do Azure Digital Twins.

CLI

Para criar um ponto de extremidade privado e vinculá-lo a uma instância do Azure Digital Twins usando a CLI do Azure, use o comando az network private-endpoint create . Identifique a instância do Azure Digital Twins usando sua ID totalmente qualificada no --private-connection-resource-id parâmetro.

Aqui está um exemplo que usa o comando para criar um ponto de extremidade privado, com apenas os parâmetros necessários.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Para obter uma lista completa de parâmetros obrigatórios e opcionais, bem como exemplos de criação de pontos finais privados, consulte a documentação de referência az network private-endpoint create.

Gerir pontos finais privados

Nesta seção, você verá como exibir, editar e excluir um ponto de extremidade privado depois que ele for criado.

Portal

Depois que um ponto de extremidade privado tiver sido criado para sua instância de Gêmeos Digitais do Azure, você poderá exibi-lo na guia Rede para sua instância de Gêmeos Digitais do Azure. Esta página mostrará todas as conexões de ponto de extremidade privadas associadas à instância.

Selecione o ponto de extremidade para exibir suas informações em detalhes, fazer alterações em suas definições de configuração ou excluir a conexão.

Gorjeta

O ponto de extremidade também pode ser exibido no Private Link Center no portal do Azure.

CLI

Depois que um ponto de extremidade privado tiver sido criado para sua instância do Azure Digital Twins, você poderá usar os comandos az dt network private-endpoint connection para continuar gerenciando conexões de ponto de extremidade privado em relação à instância. As operações incluem:

• Mostrar uma conexão de ponto de extremidade privada
• Definir o estado da conexão de ponto de extremidade privado
• Excluir a conexão de ponto de extremidade privado
• Listar todas as conexões de ponto de extremidade privadas para uma instância

Para obter mais informações e exemplos, consulte a documentação de referência de ponto de extremidade privado da rede az dt.

Obter mais informações sobre links privados

Você pode obter mais informações sobre o status do Link privado de sua instância com os comandos az dt network private-link . As operações incluem:

• Listar links privados associados a uma instância do Azure Digital Twins
• Mostrar um link privado associado à instância

Para obter mais informações e exemplos, consulte a documentação de referência az dt network private-link.

Desativar / ativar sinalizadores de acesso à rede pública

Você pode configurar sua instância do Azure Digital Twins para negar todas as conexões públicas e permitir apenas conexões por meio de pontos de extremidade de acesso privado para aprimorar a segurança da rede. Esta ação é feita com um sinalizador de acesso à rede pública.

Esta política permite restringir o acesso à API apenas a conexões de Link Privado. Quando o sinalizador de acesso à rede pública estiver definido como disabled, todas as chamadas da API REST para o plano de dados da instância do Azure Digital Twins da nuvem pública retornarão 403, Unauthorized. Caso contrário, quando a política for definida como disabled e uma solicitação for feita por meio de um ponto de extremidade privado, a chamada de API será bem-sucedida.

Você pode atualizar o valor do sinalizador de rede usando o portal do Azure, a CLI do Azure ou a ferramenta de comando ARMClient.

Portal

Para desabilitar ou habilitar o acesso à rede pública no portal do Azure, abra o portal e navegue até sua instância do Azure Digital Twins.

1. Selecione Rede no menu à esquerda.

2. Na guia Acesso público, defina Permitir acesso à rede pública paraDesabilitado ou Todas as redes.

   

   Selecione Guardar.

CLI

Na CLI do Azure, você pode desabilitar ou habilitar o acesso à rede pública adicionando um --public-network-access parâmetro ao az dt create comando. Embora esse comando também possa ser usado para criar uma nova instância, você pode usá-lo para editar as propriedades de uma instância existente, fornecendo-lhe o nome de uma instância que já existe. (Para obter mais informações sobre esse comando, consulte sua documentação de referência ou as instruções gerais para configurar uma instância do Azure Digital Twins).

Para desabilitar o acesso à rede pública para uma instância do Azure Digital Twins, use o --public-network-access parâmetro da seguinte forma:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Para habilitar o acesso à rede pública em uma instância em que ele está desativado no momento, use o seguinte comando semelhante:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Com a ferramenta de comando ARMClient, o acesso à rede pública é ativado ou desativado usando os comandos abaixo.

Para desativar o acesso à rede pública:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Para habilitar o acesso à rede pública:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Implementar com modelos do ARM

Você também pode configurar o Private Link com os Gêmeos Digitais do Azure usando um modelo ARM.

Para obter um modelo de exemplo que permite que uma função do Azure se conecte aos Gêmeos Digitais do Azure por meio de um ponto de extremidade de Link Privado, consulte Gêmeos Digitais do Azure com função do Azure e Link Privado (modelo ARM).

Este modelo cria uma instância de Gêmeos Digitais do Azure, uma rede virtual, uma função do Azure conectada à rede virtual e uma conexão de Link Privado para tornar a instância dos Gêmeos Digitais do Azure acessível à função do Azure por meio de um ponto de extremidade privado.

Limitações e solução de problemas

Uma limitação do uso do Private Link com o Azure Digital Twins é que os cenários entre locatários não são suportados.

Para solucionar problemas, aqui estão alguns problemas comuns que podem surgir:

• Problema: ao tentar acessar as APIs do Azure Digital Twins, você verá um código de erro HTTP 403 com o seguinte erro no corpo da resposta:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Resolução: este erro ocorre quando publicNetworkAccess foi desabilitado para a instância do Azure Digital Twins e espera-se que as solicitações de API venham por meio do Private Link, mas a chamada foi roteada pela rede pública (possivelmente por meio de um balanceador de carga configurado para uma rede virtual). Certifique-se de que seu cliente de API está resolvendo o IP privado para o ponto de extremidade privado ao tentar acessar a API por meio do nome de host do ponto de extremidade.

  Para facilitar a resolução de nome de host para o IP privado do ponto de extremidade privado em uma sub-rede, você pode configurar uma zona DNS privada. Verifique se a zona DNS privada está corretamente vinculada à rede virtual e usa o nome da zona correta, como privatelink.digitaltwins.azure.net.

• Problema: ao tentar acessar os Gêmeos Digitais do Azure por meio de um ponto de extremidade privado, a conexão expira.

  Resolução: verifique se não há regras de grupo de segurança de rede que proíbam o cliente de se comunicar com o ponto de extremidade privado e sua sub-rede. A comunicação na porta TCP 443 tem de ser permitida entre a sub-rede/endereço IP de origem do cliente e a sub-rede/endereço IP de destino de ponto final privado.

Para obter mais sugestões de solução de problemas de Link Privado, consulte Solucionar problemas de conectividade do Ponto de Extremidade Privado do Azure.

Próximos passos

Configure rapidamente um ambiente protegido com o Private Link usando um modelo ARM: Gêmeos Digitais do Azure com função do Azure e Link Privado.

Ou, saiba mais sobre o Private Link for Azure: O que é o serviço Azure Private Link?