Abilitare l'accesso privato ai gemelli digitali di Azure usando collegamento privato
Usando Gemelli digitali di Azure insieme a collegamento privato di Azure, è possibile abilitare gli endpoint privati per l'istanza di Gemelli digitali di Azure, per eliminare l'esposizione pubblica e consentire ai client che si trovano nella rete virtuale di accedere in modo sicuro all'istanza tramite collegamento privato. Per altre informazioni su questa strategia di sicurezza per Gemelli digitali di Azure, vedere collegamento privato con un endpoint privato per un'istanza di Gemelli digitali di Azure.
Ecco i passaggi descritti in questo articolo:
- Attivare collegamento privato e configurare un endpoint privato per un'istanza di Gemelli digitali di Azure.
- Visualizzare, modificare o eliminare un endpoint privato da un'istanza di Gemelli digitali di Azure.
- Disabilitare o abilitare i flag di accesso alla rete pubblica, per limitare l'accesso alle API per un gemelli digitali di Azure solo per collegamento privato connessioni.
Questo articolo contiene anche informazioni per la distribuzione di Gemelli digitali di Azure con collegamento privato usando un modello di Resource Manager e la risoluzione dei problemi della configurazione.
Prerequisiti
Prima di poter configurare un endpoint privato, è necessario un Rete virtuale di Azure (rete virtuale) in cui è possibile distribuire l'endpoint. Se non si dispone già di una rete virtuale, è possibile seguire una delle guide introduttive di Azure Rete virtuale per configurare questa funzionalità.
Aggiungere endpoint privati a Gemelli digitali di Azure
È possibile usare portale di Azure o l'interfaccia della riga di comando di Azure per attivare collegamento privato con un endpoint privato per un'istanza di Gemelli digitali di Azure.
Se si vuole configurare collegamento privato come parte della configurazione iniziale dell'istanza, è necessario usare il portale di Azure. In caso contrario, se si vuole abilitare collegamento privato in un'istanza dopo la creazione, è possibile usare l'portale di Azure o l'interfaccia della riga di comando di Azure. Uno di questi metodi di creazione darà le stesse opzioni di configurazione e lo stesso risultato finale per l'istanza.
Usare le schede nelle sezioni seguenti per selezionare le istruzioni per l'esperienza preferita.
Suggerimento
È anche possibile configurare un endpoint collegamento privato tramite il servizio collegamento privato anziché tramite l'istanza di Gemelli digitali di Azure. In questo modo vengono fornite anche le stesse opzioni di configurazione e lo stesso risultato finale.
Per altre informazioni sulla configurazione delle risorse collegamento privato, vedere la documentazione collegamento privato per l'portale di Azure, l'interfaccia della riga di comando di Azure, l'Resource Manager di Azure o PowerShell.
Aggiungere un endpoint privato durante la creazione dell'istanza
In questa sezione verrà creato un endpoint privato con collegamento privato come parte della configurazione iniziale di un'istanza di Gemelli digitali di Azure. Questa azione può essere eseguita solo nel portale di Azure.
Questa sezione descrive come attivare collegamento privato durante la configurazione di un'istanza di Gemelli digitali di Azure nell'portale di Azure.
Le opzioni di collegamento privato si trovano nella scheda Rete dell'installazione dell'istanza.
Iniziare a configurare un'istanza di Gemelli digitali di Azure nella portale di Azure. Per istruzioni, vedere Configurare un'istanza e l'autenticazione.
Quando si raggiunge la scheda Rete dell'installazione dell'istanza, è possibile abilitare gli endpoint privati selezionando l'opzione Endpoint privato per il metodo Connectivity.
In questo modo verrà aggiunta una sezione denominata Connessioni endpoint private in cui è possibile configurare i dettagli dell'endpoint privato. Selezionare il pulsante + Aggiungi per continuare.
Nella pagina Crea endpoint privato che si apre immettere i dettagli di un nuovo endpoint privato.
Compilare le selezioni per la sottoscrizione e il gruppo di risorse. Impostare La posizione sulla stessa posizione della rete virtuale in uso. Scegliere un nome per l'endpoint e selezionare API per le sotto-risorse di destinazione.
Selezionare quindi la rete virtuale e la subnet da usare per distribuire l'endpoint.
Infine, selezionare se integrare con la zona DNS privata. È possibile usare l'impostazione predefinita sì o, per informazioni su questa opzione, è possibile seguire il collegamento nel portale per altre informazioni sull'integrazione DNS privata.
Dopo aver compilato le opzioni di configurazione, selezionare OK per completare.
Al termine di questo processo, il portale restituirà la scheda Rete dell'istanza di Gemelli digitali di Azure. Verificare che il nuovo endpoint sia visibile in Connessioni endpoint private.
Usare i pulsanti di spostamento inferiore per continuare con il resto dell'installazione dell'istanza.
Aggiungere un endpoint privato a un'istanza esistente
In questa sezione si abiliterà collegamento privato con un endpoint privato per un'istanza di Gemelli digitali di Azure già esistente.
Passare prima di tutto alla portale di Azure in un browser. Visualizzare l'istanza di Gemelli digitali di Azure cercando il nome nella barra di ricerca del portale.
Selezionare Rete nel menu a sinistra.
Passare alla scheda Connessioni endpoint private .
Selezionare + Endpoint privato per aprire l'installazione di un endpoint privato .
Nella scheda Nozioni di base immettere o selezionare il gruppo sottoscrizione e risorsa del progetto e un nome e un'area per l'endpoint. L'area deve essere uguale all'area per la rete virtuale in uso.
Al termine, selezionare il pulsante Avanti : risorsa > per passare alla scheda successiva.
Nella scheda Risorsa immettere o selezionare queste informazioni:
- Metodo di connessione: selezionare Connetti a una risorsa di Azure nella directory per cercare l'istanza di Gemelli digitali di Azure.
- Sottoscrizione: immettere la sottoscrizione.
- Tipo di risorsa: selezionare Microsoft.DigitalTwins/digitalTwinsInstances
- Risorsa: selezionare il nome dell'istanza di Gemelli digitali di Azure.
- Risorsa secondaria di destinazione: selezionare l'API.
Al termine, selezionare il pulsante Avanti : Configurazione > per passare alla scheda successiva.
Nella scheda Configurazione immettere o selezionare queste informazioni:
- Rete virtuale: selezionare la rete virtuale.
- Subnet: scegliere una subnet dalla rete virtuale.
- Integrare con la zona DNS privata: selezionare se integrare con la zona DNS privata. È possibile usare l'impostazione predefinita sì o, per informazioni su questa opzione, è possibile seguire il collegamento nel portale per altre informazioni sull'integrazione DNS privata. Se si seleziona Sì, è possibile lasciare le informazioni di configurazione predefinite.
Al termine, è possibile selezionare il pulsante Rivedi e crea per completare la configurazione.
Nella scheda Rivedi e crea esaminare le selezioni e selezionare il pulsante Crea .
Al termine della distribuzione dell'endpoint, dovrebbe essere visualizzato nelle connessioni endpoint private per l'istanza di Gemelli digitali di Azure.
Gestire endpoint privati
In questa sezione verrà illustrato come visualizzare, modificare ed eliminare un endpoint privato dopo la creazione.
Dopo aver creato un endpoint privato per l'istanza di Gemelli digitali di Azure, è possibile visualizzarlo nella scheda Rete per l'istanza di Gemelli digitali di Azure. Questa pagina mostrerà tutte le connessioni endpoint private associate all'istanza.
Selezionare l'endpoint per visualizzarne le informazioni in dettaglio, apportare modifiche alle impostazioni di configurazione o eliminare la connessione.
Suggerimento
L'endpoint può essere visualizzato anche dal centro collegamento privato nel portale di Azure.
Disabilitare/abilitare i flag di accesso alla rete pubblica
È possibile configurare l'istanza di Gemelli digitali di Azure per negare tutte le connessioni pubbliche e consentire solo le connessioni tramite endpoint di accesso privato per migliorare la sicurezza di rete. Questa azione viene eseguita con un flag di accesso alla rete pubblica.
Questo criterio consente di limitare l'accesso api solo alle connessioni collegamento privato. Quando il flag di accesso alla rete pubblica è impostato su disabled
, tutte le chiamate API REST al piano dati dell'istanza di Gemelli digitali di Azure dal cloud pubblico restituiranno 403, Unauthorized
. In caso contrario, quando il criterio è impostato su disabled
e viene effettuata una richiesta tramite un endpoint privato, la chiamata API avrà esito positivo.
È possibile aggiornare il valore del flag di rete usando lo strumento di comando portale di Azure, l'interfaccia della riga di comando di Azure o ARMClient.
Per disabilitare o abilitare l'accesso alla rete pubblica nel portale di Azure, aprire il portale e passare all'istanza di Gemelli digitali di Azure.
Distribuire con i modelli di Resource Manager
È anche possibile configurare collegamento privato con Gemelli digitali di Azure usando un modello di Resource Manager.
Per un modello di esempio che consente a una funzione di Azure di connettersi a Gemelli digitali di Azure tramite un endpoint di collegamento privato, vedere Gemelli digitali di Azure con funzione di Azure e collegamento privato (modello arm).
Questo modello crea un'istanza di Gemelli digitali di Azure, una rete virtuale, una funzione di Azure connessa alla rete virtuale e una connessione collegamento privato per rendere l'istanza di Gemelli digitali di Azure accessibile alla funzione di Azure tramite un endpoint privato.
Risolvere problemi
Ecco alcuni problemi comuni che possono verificarsi quando si usano collegamento privato con Gemelli digitali di Azure.
Problema: Quando si tenta di accedere alle API di Gemelli digitali di Azure, viene visualizzato un codice di errore HTTP 403 con l'errore seguente nel corpo della risposta:
{ "statusCode": 403, "message": "Public network access disabled by policy." }
Risoluzione: Questo errore si verifica quando
publicNetworkAccess
è stato disabilitato per l'istanza di Gemelli digitali di Azure e le richieste API vengono inviate tramite collegamento privato, ma la chiamata è stata instradata attraverso la rete pubblica (possibilmente tramite un servizio di bilanciamento del carico configurato per una rete virtuale). Assicurarsi che il client API stia risolvendo l'INDIRIZZO IP privato per l'endpoint privato quando si tenta di accedere all'API tramite il nome host dell'endpoint.Per facilitare la risoluzione dei nomi host all'indirizzo IP privato dell'endpoint privato in una subnet, è possibile configurare una zona DNS privata. Verificare che la zona DNS privata sia collegata correttamente alla rete virtuale e usi il nome della zona corretto, ad esempio
privatelink.digitaltwins.azure.net
.Problema: Quando si tenta di accedere a Gemelli digitali di Azure tramite un endpoint privato, si verifica il timeout della connessione.
Risoluzione: Verificare che non siano presenti regole del gruppo di sicurezza di rete che impediscono al client di comunicare con l'endpoint privato e la relativa subnet. Deve essere consentita la comunicazione sulla porta TCP 443 tra l'indirizzo IP/subnet di origine del client e l'indirizzo IP/subnet di destinazione dell'endpoint privato.
Per altre collegamento privato suggerimenti per la risoluzione dei problemi, vedere Risolvere i problemi di connettività dell'endpoint privato di Azure.
Passaggi successivi
Configurare rapidamente un ambiente protetto con collegamento privato usando un modello di Resource Manager: Gemelli digitali di Azure con funzione di Azure e collegamento privato.
In alternativa, altre informazioni su collegamento privato per Azure: Che cos'è collegamento privato di Azure servizio?