使用 Private Link 啟用 TSI 的私人存取 (預覽)
注意
時間序列深入解析服務將於 2024 年 7 月 7 日淘汰。 請考慮儘快將現有的環境移轉至替代解決方案。 如需淘汰和移轉的詳細資訊,請瀏覽我們的 檔。
本文說明如何 使用 Azure 時間序列深入解析 Gen2 環境的私人端點啟用 Private Link(目前為預覽版)。 為 Azure 時間序列深入解析 Gen2 環境設定私人端點可讓您保護 Azure 時間序列深入解析環境,並消除公開暴露,以及防止數據從 Azure 虛擬網路(VNet)外洩。
本文會引導您使用 Azure 入口網站的過程。
以下是本文所涵蓋的步驟:
- 開啟私有鏈接,並為時間序列深入解析 Gen2 環境設定私有端點。
- 停用或啟用公用網路存取旗標,只限制對 Private Link 連線的存取。
注意
請注意,事件來源不支援 Private Link。 請勿限制公用網際網路對於時間序列深入解析使用的樞紐或事件來源的存取。
先決條件
在您可以設定私人端點之前,您需要一個 Azure 虛擬網路(VNet) 作為可以部署端點的地方。 如果您還沒有 VNet,可以按照其中一個 Azure 虛擬網路 的快速入門指南 來進行設定。
新增 Azure 時間序列洞察 Gen2 環境的私用端點
使用 Azure 入口網站時,您可以選擇在 Azure 時間序列洞察 Gen2 環境的初始設定中啟用私有連接和私有端點,或在已存在的環境中稍後啟用。
這兩種建立方法都會為您的環境提供相同的組態選項和相同的最終結果。 本節說明如何執行每個動作。
提示
您也可以透過私密連結服務設定私密連結端點,而不是透過 Azure 時序見解 Gen2 環境。 這也會提供相同的組態選項和相同的結束結果。
如需設定 Private Link 資源的詳細資訊,請參閱 Azure 入口網站、Azure CLI、ARM或 PowerShell的 Private Link 檔。
在建立環境期間新增私人端點
在本節中,您會在目前正在建立的 Azure Time Series Insights Gen2 環境中,啟用具有私人端點的 Private Link。 本節著重於建立程序中的網路步驟;如需建立新 Azure Time Series Insights Gen2 環境的完整指南,請參閱 操作說明:設定環境。
Private Link 選項位於環境設定的 [網絡] 標籤中。
在此索引標籤中,您可以選取 Connectivity 方法的 [私人端點] 選項來啟用私人端點。
這會新增名為 私人端點連線的區段, 您可以在其中設定私人端點的詳細數據。 選取 [+ 新增] 按鈕以繼續。
![Azure 入口網站的螢幕快照,其中顯示時間序列深入解析 Gen2 [建立資源] 對話方塊的 [網络] 索引標籤。索引標籤名稱、連線方法的 [私人端點] 選項,以及 [+ 新增] 按鈕以建立新的私人端點連線周圍會有醒目提示。](media/private-links/create-instance-networking.png#lightbox)
這會開啟頁面,以輸入新私人端點的詳細數據。
![Azure 入口網站的螢幕快照,其中顯示 [建立私人端點] 頁面。其中包含以下所述的欄位。](media/private-links/create-private-endpoint.png)
填入 訂用帳戶 和 資源群組的選取專案,。 將 位置 設定為與您將使用的 VNet 位置相同。 為端點選擇 名稱,並針對 目標子資源 選取 環境 或 tsiExplorer
接下來,選取您想要用來部署端點的虛擬網路 和
子網 虛擬網路。 最後,選擇是否要 與私人 DNS 區域進行整合。 您可以使用預設 [是],或者,如需此選項的說明,您可以遵循入口網站中的連結,以瞭解更多關於私人DNS整合 。
填寫組態選項之後,按下 確定 即可完成。
這會返回 Azure 時間序列深入解析 Gen2 環境設定的 [網路] 索引標籤,其中您的新端點應該會顯示在 私用端點連線下。
接著,您可以使用底部導覽按鈕繼續進行其餘環境設定。
將私人端點新增至現有的環境
在本節中,您將為已存在的 Azure 時間序列洞察 Gen2 環境啟用私人連接和私人端點。
首先,在瀏覽器中導航至 Azure 入口網站。 在入口網站搜尋列中輸入名稱,以開啟您的 Azure 時間序列見解 Gen2 環境。
選取左側功能表中 [網路功能][預覽]。
切換到 私人端點連線 索引標籤。
選取 私人端點+,開啟建立私人端點設置。
![Azure 入口網站的螢幕快照,其中顯示 Azure 時間序列深入解析 Gen2 環境的 [網路 (預覽)] 頁面。[私人端點連線] 索引標籤會反白顯示,且 [+ 私人端點] 按鈕也會反白顯示。](media/private-links/add-private-endpoint.png)
在 [基本] 索引標籤中,輸入或選取專案的 [訂用帳戶] 和 [資源群組],以及端點的 [名稱] 和 [區域]。 區域必須與您使用之 VNet 的區域相同。
![Azure 入口網站的螢幕快照,其中顯示 [建立私人端點] 對話框的第一個 [基本] 索引標籤。其中包含上述欄位。](media/private-links/create-private-endpoint-2.png)
當您完成時,請選取 [下一步:資源 >] 按鈕以移至下一個索引標籤。
在 [資源] 索引標籤中,輸入或選取此資訊:
- 連線方式:選取 [連線至我目錄中的 Azure 資源], 搜尋您的 Azure 時間序列洞察 Gen2 環境。
- 訂用帳戶:輸入您的訂用帳戶。
- 資源類型:選取 Microsoft.TimeSeriesInsights/environments
- 資源:選取您的 Azure Time Series Insights Gen2 環境的名稱。
- 目標子資源:選取 環境 或 tsiExplorer。
![Azure 入口網站的螢幕快照,其中顯示 [建立私人端點] 對話框的第二個 [資源] 索引標籤。其中包含上述欄位。](media/private-links/create-private-endpoint-3.png)
當您完成後,請選取 [下一步:設定 >] 按鈕,以移至下一個索引標籤。
在 [組態] 索引標籤中,輸入或選取此資訊:
- 虛擬網路:選取您的虛擬網路。
- 子網:從虛擬網路選擇子網。
- 與私人 DNS 區域整合:選取是否要 與私人 DNS 區域整合。 您可以使用預設 [是],或者,如需此選項的說明,您可以遵循入口網站中的連結,以 深入瞭解私人 DNS 整合。 如果您選取 是,您可以保留預設的設定資訊。
![Azure 入口網站的螢幕快照,其中顯示 [建立私人端點] 對話框的第三個 [組態] 索引標籤。其中包含上述欄位。](media/private-links/create-private-endpoint-4.png)
完成時,您可以選取 [檢閱 + 建立] 按鈕,以完成設定。
在 [檢閱 + 建立] 標籤頁中,檢閱您的選擇內容,然後選取 [建立] 按鈕。
![Azure 入口網站的螢幕快照,其中顯示 Azure 時間序列深入解析 Gen2 環境的 [網路 (預覽)] 頁面。[私人端點連線] 索引標籤會反白顯示,且 [+ 私人端點] 按鈕也會反白顯示。](media/private-links/add-private-endpoint.png#lightbox)
當端點完成部署時,它應該會顯示在您的 Azure 時間序列深入解析 Gen2 環境的專用端點連線中。
提示
您也可以從 Azure 入口網站中的 Private Link 中心檢視端點。
停用/啟用公用網路存取旗標
您可以將 Azure 時間序列深入解析 Gen2 環境設定為拒絕所有公用連線,並只允許透過私人端點連線來增強網路安全性。 此動作是使用 公用網路存取旗標來完成。
此原則可讓您限制僅存取 Private Link 連線。 當公用網路存取旗標設定為 停用時,從公用雲端傳回對 Azure 時間序列深入解析 Gen2 環境數據平面的所有 REST API 呼叫都會傳回 403, Unauthorized。 或者,當原則設定為 停用,且透過私人端點提出要求時,API 呼叫將會成功。
若要在 Azure 入口網站中停用或啟用公共網路存取,請開啟入口網站並導航至您的 Azure 時間序列深入解析 Gen2 環境。
選取左側功能表中 [聯網功能(預覽)]。
在 [公用存取] 頁籤中,將 [允許公用網路存取] 設定為 [停用] 或 [所有網路]。
![Azure 入口網站的螢幕快照,其中顯示 Azure 時間序列深入解析 Gen2 環境的 [網路 (預覽)] 頁面。[公用存取] 索引標籤會反白顯示,而選擇是否允許公用網路存取的選項也會反白顯示。](media/private-links/network-flag-portal.png)
選取 [儲存]。
![Azure 入口網站的螢幕快照,其中顯示 Azure 時間序列深入解析 Gen2 環境的 [網路 (預覽)] 頁面。[公用存取] 索引標籤會反白顯示,而選擇是否允許公用網路存取的選項也會反白顯示。](media/private-links/network-flag-portal.png#lightbox)
後續步驟
深入了解 Azure 的 Private Link: