Включение частного доступа к Azure Digital Twins с помощью Приватный канал

Используя Azure Digital Twins вместе с Приватный канал Azure, вы можете включить частные конечные точки для экземпляра Azure Digital Twins, чтобы устранить общедоступную экспозицию и разрешить клиентам, расположенным в виртуальной сети, безопасно доступ к экземпляру через Приватный канал. Дополнительные сведения об этой стратегии безопасности для Azure Digital Twins см. в Приватный канал с частной конечной точкой для экземпляра Azure Digital Twins.

Ниже перечислены действия, которые подробно описаны в этой статье.

1. Включите приватный канал и настройте частную конечную точку для экземпляра Azure Digital Twins.
2. Просмотр, изменение или удаление частной конечной точки из экземпляра Azure Digital Twins.
3. Отключите или включите флаги доступа к общедоступной сети, чтобы ограничить доступ API для Azure Digital Twins только для Приватный канал подключений.

В этой статье также содержатся сведения о развертывании Azure Digital Twins с Приватный канал с помощью шаблона ARM и устранении неполадок конфигурации.

Необходимые компоненты

Перед настройкой частной конечной точки вам потребуется Виртуальная сеть Azure, в которой можно развернуть эту точку. Если у вас еще нет виртуальной сети, для ее настройки можно воспользоваться одним из кратких руководств по виртуальной сети Azure.

Добавление частных конечных точек в Azure Digital Twins

Чтобы включить Приватный канал с частной конечной точкой для экземпляра Azure Digital Twins, можно использовать портал Azure или Azure CLI.

Если вы хотите настроить Приватный канал в рамках первоначальной настройки экземпляра, необходимо использовать портал Azure. В противном случае, если вы хотите включить Приватный канал на экземпляре после его создания, можно использовать портал Azure или Azure CLI. Любой из этих методов создания позволяет получить одинаковые параметры конфигурации и одинаковый результат для вашего экземпляра.

Используйте вкладки в следующих разделах, чтобы выбрать инструкции для желаемого способа.

Совет

Вы также можете настроить конечную точку приватного канала через службу Приватный канал Azure, а не через экземпляр Azure Digital Twins. Это позволяет получить те же параметры конфигурации и тот же конечный результат.

Дополнительные сведения о настройке Приватный канал ресурсов см. в Приватный канал документации по портал Azure, Azure CLI, Azure Resource Manager или PowerShell.

Добавление частной конечной точки во время создания экземпляра

В этом разделе вы создадите частную конечную точку вместе с Приватным каналом в ходе первоначальной настройки экземпляра Azure Digital Twins. Это действие можно выполнить только на портале Azure.

Портал

В этом разделе описано, как включить Приватный канал при настройке экземпляра Azure Digital Twins на портале Azure.

Параметры приватного канала находятся на вкладке Сеть в окне установки экземпляра.

1. Начните настройку экземпляра Azure Digital Twins на портале Azure. Инструкции см. в статье Настройка экземпляра Azure Digital Twins и аутентификация (портал).

2. На вкладке Сеть в настройке экземпляра можно включить частные конечные точки, выбрав параметр Частная конечная точка для параметра Метод подключения.

   Это приведет к добавлению раздела " Подключения к частной конечной точке", где можно настроить сведения о частной конечной точке. Нажмите кнопку + Добавить для продолжения.

   

3. На открывшейся странице Создание частной конечной точки введите сведения о новой частной конечной точке.

   

   1. Заполните поле выбора Подписка и Группы ресурсов. Установите для параметра Расположение то же расположение, что и для используемой сети VNet. Выберите Имя конечной точки, а для пункта Целевые подресурсы выберите API.

   2. Затем выберите виртуальную сеть и подсеть, которые хотите использовать для развертывания конечной точки.

   3. В заключение выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS.

   4. После заполнения параметров конфигурации нажмите кнопку ОК для завершения.

4. После завершения этого процесса портал вернется на вкладку "Сеть " установки экземпляра Azure Digital Twins. Убедитесь, что новая конечная точка отображается в разделе Подключения к частной конечной точке.

   

5. Чтобы продолжить установку экземпляра, используйте кнопки навигации внизу.

CLI

Невозможно добавить конечную точку Приватный канал во время создания экземпляра с помощью Azure CLI.

Вы можете переключиться на портал Azure, чтобы добавить конечную точку во время создания экземпляра, либо перейти к следующему разделу, чтобы использовать интерфейс командной строки для добавления частной конечной точки после создания экземпляра.

Добавление частной конечной точки в существующий экземпляр

В этом разделе вы включите приватный канал с частной конечной точкой в уже существующем экземпляре Azure Digital Twins.

Портал

1. Сначала откройте в веб-браузере портал Azure. Откройте экземпляр Azure Digital Twins, выполнив поиск по имени в панели поиска портала.

2. Выберите "Сеть" в меню слева.

3. Выберите вкладку Подключения частной конечной точки.

4. Выберите + Частная конечная точка, чтобы открыть настройку Создание частной конечной точки.

   

5. На вкладке "Основы" введите или выберите группу подписок и ресурсов проекта, а также имя и регион для конечной точки. Регион необходимо выбрать тот же, что и регион для используемой виртуальной сети VNet.

   

   По завершении нажмите кнопку "Далее: ресурс > ", чтобы перейти на следующую вкладку.

6. На вкладке Ресурс введите или выберите следующие данные.

   • Метод подключения. Выберите Подключиться к ресурсу Azure в моем каталоге, чтобы найти свой экземпляр Azure Digital Twins.
   • Подписка. Введите свою подписку.
   • Тип ресурса. Выберите Microsoft.DigitalTwins/digitalTwinsInstances.
   • Ресурс. Выберите имя вашего экземпляра Azure Digital Twins.
   • Целевой подресурс. Выберите API.

   

   По завершении нажмите кнопку "Далее: конфигурация > ", чтобы перейти на следующую вкладку.

7. На вкладке Конфигурация введите или выберите следующие данные.

   • Виртуальная сеть. Выберите виртуальную сеть.
   • Подсеть. Выберите подсеть из вашей виртуальной сети.
   • Интеграция с частной зоной DNS. Выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS. При выборе Да можно оставить сведения о конфигурации по умолчанию.

   

   По завершении можно нажать кнопку Обзор + создание, чтобы завершить установку.

8. На вкладке "Рецензирование и создание " просмотрите выбранные элементы и нажмите кнопку "Создать ".

После завершения развертывания конечная точка должна отображаться в подключениях частных конечных точек для своего экземпляра Azure Digital Twins.

CLI

Чтобы создать частную конечную точку и связать ее с экземпляром Azure Digital Twins с помощью Azure CLI, используйте команду az network private-endpoint create. Идентификация экземпляра Azure Digital Twins с помощью полного идентификатора в параметре --private-connection-resource-id.

Ниже приведен пример, использующий команду для создания частной конечной точки с обязательными параметрами.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Полный список обязательных и необязательных параметров, а также дополнительные примеры создания частных конечных точек см. в справочной документации по az network private-endpoint.

Управление частными конечными точками

Из этого раздела вы узнаете, как просмотреть, изменить и удалить частную конечную точку после ее создания.

Портал

После создания частной конечной точки для экземпляра Azure Digital Twins его можно просмотреть на вкладке "Сеть " для экземпляра Azure Digital Twins. На этой странице будут показаны все подключения к частным конечным точкам, связанные с экземпляром.

Выберите конечную точку, чтобы просмотреть сведения о ней, внести изменения в ее параметры конфигурации или удалить подключение.

Совет

Конечную точку можно просмотреть в Центре Приватного канала на портале Azure.

CLI

После создания частной конечной точки для экземпляра Azure Digital Twins можно использовать команды подключения az dt network private-endpoint для продолжения управления подключениями частной конечной точки относительно экземпляра. К этим операциям относятся:

• Показать подключения к частной конечной точке;
• установка состояния подключения к частной конечной точке;
• удаление подключения к частной конечной точке;
• создание списка всех подключений к частной конечной точке для экземпляра.

Дополнительные сведения и примеры см. в справочной документации по az dt network private-endpoint.

Получение дополнительных Приватный канал сведений

Дополнительные сведения о состоянии Приватный канал экземпляра можно получить с помощью команд az dt network private-link. К этим операциям относятся:

• Список приватных каналов связанных с экземпляром Azure Digital Twins
• Отображение приватного канала, связанного с экземпляром

Дополнительные сведения и примеры см. в справочной документации по az dt network private-link.

Отключение и включение флагов доступа к общедоступной сети

Вы можете настроить экземпляр Azure Digital Twins, чтобы запретить все общедоступные подключения и разрешить только подключения через конечные точки частного доступа, чтобы повысить безопасность сети. Это действие выполняется с помощью флага доступа к общедоступной сети.

Эта политика позволяет предоставить доступ через API только для соединений Приватного канала. Если установлен disabledфлаг доступа к общедоступной сети, все вызовы REST API в плоскость данных экземпляра Azure Digital Twins из общедоступного облака возвращаются 403, Unauthorized. В противном случае при установке disabled политики и выполнении запроса через частную конечную точку вызов API будет выполнен успешно.

Вы можете обновить значение флага сети с помощью средства команды портал Azure, Azure CLI или ARMClient.

Портал

Чтобы отключить или включить доступ к общедоступной сети на портале Azure, откройте портал и перейдите к своему экземпляру Azure Digital Twins.

1. Выберите "Сеть" в меню слева.

2. На вкладке Общий доступ установите переключатель Разрешить доступ к общедоступной сети либо в значение Выключить, либо Все сети.

   

   Выберите Сохранить.

CLI

В Azure CLI можно отключить или включить доступ к общедоступной сети, добавив --public-network-access параметр в команду az dt create. Хотя эта команда может использоваться для создания нового экземпляра, также ее можно использовать для изменения свойств существующего экземпляра, указав для него имя уже существующего экземпляра. (Дополнительные сведения об этой команде см. в справочной документации или общих инструкциях по настройке экземпляра Azure Digital Twins).

Чтобы отключить доступ к общедоступной сети для экземпляра Azure Digital Twins, используйте --public-network-access следующий параметр:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Чтобы включить доступ к общедоступной сети в экземпляре, в котором он сейчас отключен, используйте следующую команду:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Программа командной строки ARMClient позволяет включать или отключать доступ к общедоступной сети с помощью приведенных ниже команд.

Чтобы Отключить доступ к общедоступной сети, выполните следующие действия.

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Чтобы Включить доступ к общедоступной сети, выполните следующие действия.

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Развертывание с использованием шаблонов Resource Manager

Вы также можете настроить Приватный канал с помощью Azure Digital Twins с помощью шаблона ARM.

Пример шаблона, который позволяет функции Azure подключаться к Azure Digital Twins через конечную точку Приватный канал, см. в статье Azure Digital Twins с функцией Azure и Приватный канал (шаблон ARM).

Этот шаблон создает экземпляр Azure Digital Twins, виртуальную сеть, функцию Azure, подключенную к виртуальной сети, и подключение Приватный канал, чтобы сделать экземпляр Azure Digital Twins доступным для функции Azure через частную конечную точку.

Ограничения и устранение неполадок

Ограничение использования Приватный канал с Azure Digital Twins заключается в том, что сценарии между клиентами не поддерживаются.

Для устранения неполадок ниже приведены некоторые распространенные проблемы, которые могут возникнуть:

• Проблема. При попытке доступа к API Azure Digital Twins вы увидите код ошибки HTTP 403 со следующей ошибкой в тексте ответа:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Разрешение. Эта ошибка возникает при publicNetworkAccess отключении экземпляра Azure Digital Twins и запросов API через Приватный канал, но вызов был перенаправлен через общедоступную сеть (возможно, через подсистему балансировки нагрузки, настроенную для виртуальной сети). Убедитесь, что клиент API разрешает частный IP-адрес для частной конечной точки при попытке доступа к API через имя узла конечной точки.

  Чтобы упростить разрешение имен узлов частным IP-адресом частной конечной точки в подсети, можно настроить частную зону DNS. Убедитесь, что частная зона DNS правильно связана с виртуальной сетью и использует правильное имя зоны, например privatelink.digitaltwins.azure.net.

• Проблема. При попытке доступа к Azure Digital Twins через частную конечную точку время ожидания подключения истекает.

  Разрешение. Убедитесь, что нет правил группы безопасности сети, которые запрещают клиенту взаимодействовать с частной конечной точкой и ее подсетью. Должен быть разрешен обмен данными через TCP-порт 443 между IP-адресом источника/подсетью клиента и IP-адресом/подсетью назначения частной конечной точки.

Дополнительные Приватный канал рекомендации по устранению неполадок см. в статье "Устранение неполадок с подключением к частной конечной точке Azure".

Следующие шаги

Быстро настройте защищенную среду с Приватный канал с помощью шаблона ARM: Azure Digital Twins с функцией Azure и Приватный канал.

Кроме того, узнайте больше о Приватный канал для Azure: что такое служба Приватный канал Azure?