通过

使用专用链接为 TSI 启用专用访问(预览版)

  • 项目

注释

时序见解服务将于 2024 年 7 月 7 日停用。 请考虑尽快将现有环境迁移到备用解决方案。 有关弃用和迁移的详细信息,请访问我们的 文档

本文介绍如何 为 Azure 时序见解第 2 代环境(目前为预览版)启用专用终结点的专用链接。 为你的 Azure 时序见解第2代环境配置专用终结点,可以增强你的 Azure 时序见解环境的安全性,消除公开暴露的风险,并避免从 Azure 虚拟网络(VNet)中的数据外泄。

本文逐步讲解如何使用 Azure 门户

下面是本文中介绍的步骤:

  1. 打开专用链接,并为时序见解 Gen2 环境配置私有终结点。
  2. 禁用或启用公用网络访问标志,以仅限制对专用链接连接的访问。

注意

请注意,不支持事件源的专用链接。 不要限制对 Time Series Insights 使用的枢纽或事件源的公共互联网访问。

先决条件

在设置专用终结点之前,您需要一个可用于部署终结点的 Azure 虚拟网络(VNet)。 如果您还没有虚拟网络 (VNet),可以按照其中一个 Azure 虚拟网络快速入门指南来进行设置。

为 Azure 第 2 代时序见解环境添加专用终结点

使用 Azure 门户时,可以选择在环境的初始设置过程中为 Azure 时序见解第 2 代环境启用专用链接,或稍后在已存在的环境中启用专用链接。

这些创建方法之一将为环境提供相同的配置选项和相同的最终结果。 本部分介绍如何执行每个操作。

提示

还可以通过专用链接服务设置专用链接终结点,而不是通过 Azure 时序见解第 2 代环境设置专用链接终结点。 这还提供了相同的配置选项和相同的最终结果。

有关设置专用链接资源的更多详细信息,请参阅 Azure 门户专用链接文档、Azure CLIARMPowerShell

在创建环境期间添加专用终结点

在本部分中,您将为当前创建的 Azure 时序见解 Gen2 环境启用带有专用终结点的专用链接。 本部分重点介绍创建过程的网络步骤;有关创建新的 Azure 时序见解第 2 代环境的完整演练,请参阅 操作说明:设置环境

专用链接选项位于环境设置 “网络” 选项卡中。

在此选项卡中,您可以通过在 连接方法中选择 专用终结点 选项来进行启用。

这将添加一个名为 专用终端连接的部分, 在这里您可以配置您专用终端的详细信息。 选择“+ 添加”按钮以继续。

Azure 门户的屏幕截图,显示了 Time Series Insights Gen2 “创建资源”对话框的“网络”选项卡。选项卡名称、连接方法的“专用终结点”选项和“+ 添加”按钮周围有一个突出显示,用于创建新的专用终结点连接。

这将打开一个页面,以输入新的专用终结点的详细信息。

Azure 门户的屏幕截图,其中显示了“创建专用终结点”页。它包含下面所述的字段。

  1. 输入您的 订阅资源组的选项。 将 位置 设置为与将使用的 VNet 相同的位置。 为终结点选择 名称目标子资源 选择 环境tsiExplorer

  2. 接下来,选择要用于部署终结点的 虚拟网络子网

  3. 最后,选择是否 与专用 DNS 区域集成。 可以使用默认 ,或者,若要获取有关此选项的帮助,可以按照门户中的链接 详细了解专用 DNS 集成

填写配置选项后,点击 确定 完成。

这会返回到 Azure 时序见解第 2 代环境设置 网络 选项卡,新终结点应在 专用终结点连接下可见。

然后,可以使用底部导航按钮继续执行环境设置的其余部分。

向现有环境添加私有终结点

在本节中,你将为现有的 Azure 时序见解 Gen2 环境启用私有链接和私有终结点。

  1. 首先,在浏览器中导航到 Azure 门户。 在门户搜索栏中搜索其名称以打开 Azure 时序见解第 2 代环境。

  2. 在左侧菜单中选择 网络(预览版)

  3. 切换到 专用终端连接 选项卡。

  4. 选择 + 专用终结点 打开 创建专用终结点 设置。

    Azure 门户的屏幕截图,其中显示了 Azure 时序见解第 2 代环境的“网络”(预览)页。“专用终结点连接”选项卡突出显示,同时突出显示“+ 专用终结点”按钮。

  5. 在“基本信息”选项卡中,输入或选择项目的 订阅资源组,以及终端的 名称区域。 该区域必须与所使用的 VNet 的区域相同。

    Azure 门户的屏幕截图,其中显示了“创建专用终结点”对话框的第一个“基本信息”选项卡。它包含上述字段。

    完成后,选择 “下一步:资源 >”按钮转到下一个选项卡。

  6. 在“资源”选项卡中,输入或选择以下信息:

    • 连接方法:选择 连接到我目录中的 Azure 资源, 搜索你的 Azure Time Series Insights Gen2 环境。
    • 订阅:输入您的订阅。
    • 资源类型:选择 Microsoft.TimeSeriesInsights/environments
    • 资源:选择 Azure 时间序列洞察 Gen2 环境的名称。
    • 目标子资源:选择 环境tsiExplorer

    Azure 门户的屏幕截图,其中显示了“创建专用终结点”对话框的第二个“资源”选项卡。它包含上述字段。

    完成后,选择 “下一步:配置 >”按钮转到下一个选项卡。

  7. 配置 选项卡中,输入或选择以下信息:

    • 虚拟网络:选择虚拟网络。
    • 子网:从虚拟网络中选择子网。
    • 与专用 DNS 区域集成:选择是否 与专用 DNS 区域集成。 可以使用默认的设置 ,或者,若要获取有关此选项的帮助,可以通过门户中的链接 详细了解私有 DNS 集成。 如果选择“是”,则可以保留默认配置信息。

    Azure 门户的屏幕截图,其中显示了“创建专用终结点”对话框的第三个“配置”选项卡。它包含上述字段。

    完成后,您可以选择审查并创建按钮以完成设置。

  8. 在“审核 + 创建”选项卡中,查看所选内容,然后选择“创建”按钮。

端点完成部署后,它会显示在 Azure 第 2 代时序见解环境的专用端点连接中。

提示

还可以从 Azure 门户中的专用链接中心查看终结点。

禁用/启用公用网络访问标志

可以将 Azure 时序见解第 2 代环境配置为拒绝所有公共连接,并仅允许通过专用终结点建立连接以增强网络安全。 此操作是通过 公用网络访问标志完成的。

此策略允许你仅限制对专用链接连接的访问。 当公共网络访问标记设置为 禁用时,从公有云对 Azure 时序见解 Gen2 环境数据平面的所有 REST API 调用都将返回 403, Unauthorized。 或者,当策略设置为 禁用 并通过专用终结点发出请求时,API 调用将成功。

若要在 Azure 门户中禁用或启用公用网络访问,请打开门户并导航到 Azure 时序见解第 2 代环境。

  1. 在左侧菜单中选择 网络(预览版)

  2. 公共访问 选项卡中,设置 允许公共网络访问禁用所有网络

    Azure 门户的屏幕截图,其中显示了 Azure 时序见解第 2 代环境的“网络”(预览)页。突出显示了“公共访问”选项卡,并突出显示了选择是否允许公用网络访问的选项。

    选择 保存

后续步骤

详细了解 Azure Private Link: