Condividi tramite

Abilitare l'accesso privato a Gemelli digitali di Azure usando collegamento privato

  • Articolo

Usando Gemelli digitali di Azure insieme a collegamento privato di Azure, è possibile abilitare gli endpoint privati per l'istanza di Gemelli digitali di Azure, per eliminare l'esposizione pubblica e consentire ai client che si trovano nella rete virtuale di accedere in modo sicuro all'istanza tramite collegamento privato. Per altre informazioni su questa strategia di sicurezza per Gemelli digitali di Azure, vedere collegamento privato con un endpoint privato per un'istanza di Gemelli digitali di Azure.

Ecco i passaggi illustrati in questo articolo:

  1. Attivare collegamento privato e configurare un endpoint privato per un'istanza di Gemelli digitali di Azure.
  2. Visualizzare, modificare o eliminare un endpoint privato da un'istanza di Gemelli digitali di Azure.
  3. Disabilitare o abilitare i flag di accesso alla rete pubblica per limitare l'accesso all'API per un dispositivo Gemelli digitali di Azure solo per collegamento privato connessioni.

Questo articolo contiene anche informazioni per la distribuzione di Gemelli digitali di Azure con collegamento privato usando un modello di Resource Manager e la risoluzione dei problemi relativi alla configurazione.

Prerequisiti

Prima di poter configurare un endpoint privato, è necessario un'Rete virtuale (VNet) di Azure in cui è possibile distribuire l'endpoint. Se non si ha già una rete virtuale, è possibile seguire una delle guide introduttive di Azure Rete virtuale per configurare questa impostazione.

Aggiungere endpoint privati a Gemelli digitali di Azure

È possibile usare il portale di Azure o l'interfaccia della riga di comando di Azure per attivare collegamento privato con un endpoint privato per un'istanza di Gemelli digitali di Azure.

Se si vuole configurare collegamento privato come parte della configurazione iniziale dell'istanza, è necessario usare il portale di Azure. In caso contrario, se si vuole abilitare collegamento privato in un'istanza dopo la creazione, è possibile usare il portale di Azure o l'interfaccia della riga di comando di Azure. Uno di questi metodi di creazione fornirà le stesse opzioni di configurazione e lo stesso risultato finale per l'istanza.

Usare le schede nelle sezioni seguenti per selezionare le istruzioni per l'esperienza preferita.

Suggerimento

È anche possibile configurare un endpoint collegamento privato tramite il servizio collegamento privato, anziché tramite l'istanza di Gemelli digitali di Azure. In questo modo vengono fornite anche le stesse opzioni di configurazione e lo stesso risultato finale.

Per altre informazioni sulla configurazione delle risorse collegamento privato, vedere collegamento privato documentazione per l'portale di Azure, l'interfaccia della riga di comando di Azure, Azure Resource Manager o PowerShell.

Aggiungere un endpoint privato durante la creazione dell'istanza

In questa sezione si creerà un endpoint privato con collegamento privato come parte della configurazione iniziale di un'istanza di Gemelli digitali di Azure. Questa azione può essere eseguita solo nel portale di Azure.

Questa sezione descrive come attivare collegamento privato durante la configurazione di un'istanza di Gemelli digitali di Azure nel portale di Azure.

Le opzioni di collegamento privato si trovano nella scheda Rete della configurazione dell'istanza.

  1. Iniziare a configurare un'istanza di Gemelli digitali di Azure nella portale di Azure. Per istruzioni, vedere Configurare un'istanza e l'autenticazione.

  2. Quando si raggiunge la scheda Rete dell'installazione dell'istanza, è possibile abilitare gli endpoint privati selezionando l'opzione Endpoint privato per il metodo Connectivity .

    In questo modo verrà aggiunta una sezione denominata Connessioni endpoint privato in cui è possibile configurare i dettagli dell'endpoint privato. Selezionare il pulsante + Aggiungi per continuare.

    Screenshot della portale di Azure che mostra la scheda Rete di una nuova istanza di Gemelli digitali di Azure, che illustra come creare un endpoint privato. Il pulsante 'Aggiungi' è evidenziato.

  3. Nella pagina Crea endpoint privato visualizzata immettere i dettagli di un nuovo endpoint privato.

    Screenshot della portale di Azure che mostra la pagina Crea endpoint privato. Contiene i campi descritti di seguito.

    1. Compilare le selezioni per la sottoscrizione e il gruppo di risorse. Impostare Percorso sulla stessa posizione della rete virtuale che verrà usata. Scegliere un nome per l'endpoint e selezionare API per Le sotto-risorse di destinazione.

    2. Selezionare quindi la rete virtuale e la subnet da usare per distribuire l'endpoint.

    3. Infine, selezionare se eseguire l'integrazione con la zona DNS privata. È possibile usare l'impostazione predefinita o, per informazioni su questa opzione, è possibile seguire il collegamento nel portale per altre informazioni sull'integrazione DNS privata.

    4. Dopo aver compilato le opzioni di configurazione, selezionare OK per completare.

  4. Al termine di questo processo, il portale tornerà alla scheda Rete della configurazione dell'istanza di Gemelli digitali di Azure. Verificare che il nuovo endpoint sia visibile in Connessioni endpoint privato.

    Screenshot della portale di Azure che mostra la scheda Rete di gemelli digitali di Azure con un nuovo endpoint privato creato.

  5. Usare i pulsanti di spostamento inferiore per continuare con il resto della configurazione dell'istanza.

Aggiungere un endpoint privato a un'istanza esistente

In questa sezione si abiliterà collegamento privato con un endpoint privato per un'istanza di Gemelli digitali di Azure già esistente.

  1. Passare prima di tutto al portale di Azure in un browser. Visualizzare l'istanza di Gemelli digitali di Azure cercandone il nome nella barra di ricerca del portale.

  2. Selezionare Rete nel menu a sinistra.

  3. Passare alla scheda Connessioni endpoint privato.

  4. Selezionare + Endpoint privato per aprire la configurazione crea un endpoint privato.

    Screenshot del portale di Azure che mostra la pagina Rete per un'istanza di Gemelli digitali di Azure esistente, evidenziando come creare endpoint privati.

  5. Nella scheda Informazioni di base immettere o selezionare la sottoscrizione e il gruppo di risorse del progetto e un nome e un'area per l'endpoint. L'area deve corrispondere all'area per la rete virtuale in uso.

    Screenshot della portale di Azure che mostra la prima scheda (Informazioni di base) della finestra di dialogo Crea un endpoint privato. Contiene i campi descritti in precedenza.

    Al termine, selezionare il pulsante Avanti : Risorsa > per passare alla scheda successiva.

  6. Nella scheda Risorsa immettere o selezionare queste informazioni:

    • Metodo di connessione: selezionare Connetti a una risorsa di Azure nella directory per cercare l'istanza di Gemelli digitali di Azure.
    • Sottoscrizione: immettere la sottoscrizione.
    • Tipo di risorsa: selezionare Microsoft.DigitalTwins/digitalTwinsInstances
    • Risorsa: selezionare il nome dell'istanza di Gemelli digitali di Azure.
    • Sotto-risorsa di destinazione: selezionare API.

    Screenshot della portale di Azure che mostra la seconda scheda (Risorsa) della finestra di dialogo Crea un endpoint privato. Contiene i campi descritti in precedenza.

    Al termine, selezionare il pulsante Avanti : Configurazione > per passare alla scheda successiva.

  7. Nella scheda Configurazione immettere o selezionare queste informazioni:

    • Rete virtuale: selezionare la rete virtuale.
    • Subnet: scegliere una subnet dalla rete virtuale.
    • Integrazione con la zona DNS privata: selezionare se eseguire l'integrazione con la zona DNS privata. È possibile usare l'impostazione predefinita o, per informazioni su questa opzione, è possibile seguire il collegamento nel portale per altre informazioni sull'integrazione DNS privata. Se si seleziona , è possibile lasciare le informazioni di configurazione predefinite.

    Screenshot della portale di Azure che mostra la terza scheda (Configurazione) della finestra di dialogo Crea un endpoint privato. Contiene i campi descritti in precedenza.

    Al termine, è possibile selezionare il pulsante Rivedi e crea per completare l'installazione.

  8. Nella scheda Rivedi e crea esaminare le selezioni e selezionare il pulsante Crea .

Al termine della distribuzione dell'endpoint, dovrebbe essere visualizzato nelle connessioni endpoint private per l'istanza di Gemelli digitali di Azure.

Gestire endpoint privati

In questa sezione verrà illustrato come visualizzare, modificare ed eliminare un endpoint privato dopo la creazione.

Dopo aver creato un endpoint privato per l'istanza di Gemelli digitali di Azure, è possibile visualizzarlo nella scheda Rete per l'istanza di Gemelli digitali di Azure. Questa pagina mostrerà tutte le connessioni endpoint private associate all'istanza di .

Screenshot del portale di Azure che mostra la pagina Rete per un'istanza di Gemelli digitali di Azure esistente con un endpoint privato.

Selezionare l'endpoint per visualizzarne le informazioni in dettaglio, apportare modifiche alle impostazioni di configurazione o eliminare la connessione.

Suggerimento

L'endpoint può essere visualizzato anche dal centro collegamento privato nel portale di Azure.

Disabilitare/abilitare i flag di accesso alla rete pubblica

È possibile configurare l'istanza di Gemelli digitali di Azure per negare tutte le connessioni pubbliche e consentire solo le connessioni tramite endpoint di accesso privato per migliorare la sicurezza di rete. Questa azione viene eseguita con un flag di accesso alla rete pubblica.

Questo criterio consente di limitare l'accesso api solo alle connessioni collegamento privato. Quando il flag di accesso alla rete pubblica è impostato su disabled, tutte le chiamate API REST al piano dati dell'istanza di Gemelli digitali di Azure dal cloud pubblico restituiranno 403, Unauthorized. In caso contrario, quando i criteri sono impostati su disabled e viene effettuata una richiesta tramite un endpoint privato, la chiamata API avrà esito positivo.

È possibile aggiornare il valore del flag di rete usando lo strumento di comando portale di Azure, l'interfaccia della riga di comando di Azure o ARMClient.

Per disabilitare o abilitare l'accesso alla rete pubblica nel portale di Azure, aprire il portale e passare all'istanza di Gemelli digitali di Azure.

  1. Selezionare Rete nel menu a sinistra.

  2. Nella scheda Accesso pubblico impostare Consenti l'accesso alla rete pubblica su Disabilitate o Tutte le reti.

    Screenshot della portale di Azure che mostra la pagina Rete per un'istanza di Gemelli digitali di Azure, evidenziando come attivare o disattivare l'accesso pubblico.

    Seleziona Salva.

Distribuire con i modelli di Resource Manager

È anche possibile configurare collegamento privato con Gemelli digitali di Azure usando un modello di Resource Manager.

Per un modello di esempio che consente a una funzione di Azure di connettersi a Gemelli digitali di Azure tramite un endpoint collegamento privato, vedere Gemelli digitali di Azure con la funzione di Azure e collegamento privato (modello arm).

Questo modello crea un'istanza di Gemelli digitali di Azure, una rete virtuale, una funzione di Azure connessa alla rete virtuale e una connessione collegamento privato per rendere accessibile l'istanza di Gemelli digitali di Azure alla funzione di Azure tramite un endpoint privato.

Limitazioni e risoluzione dei problemi

Una limitazione dell'uso di collegamento privato con Gemelli digitali di Azure è che gli scenari tra tenant non sono supportati.

Per la risoluzione dei problemi, ecco alcuni problemi comuni che possono verificarsi:

  • Problema: quando si tenta di accedere alle API di Gemelli digitali di Azure, viene visualizzato un codice di errore HTTP 403 con l'errore seguente nel corpo della risposta:

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    Soluzione: questo errore si verifica quando publicNetworkAccess è stato disabilitato per l'istanza di Gemelli digitali di Azure e le richieste API devono provenire attraverso collegamento privato, ma la chiamata è stata instradata attraverso la rete pubblica (possibilmente tramite un servizio di bilanciamento del carico configurato per una rete virtuale). Assicurarsi che il client API stia risolvendo l'indirizzo IP privato per l'endpoint privato quando si tenta di accedere all'API tramite il nome host dell'endpoint.

    Per facilitare la risoluzione dei nomi host all'indirizzo IP privato dell'endpoint privato in una subnet, è possibile configurare una zona DNS privata. Verificare che la zona DNS privata sia collegata correttamente alla rete virtuale e che usi il nome di zona corretto, ad esempio privatelink.digitaltwins.azure.net.

  • Problema: quando si tenta di accedere a Gemelli digitali di Azure tramite un endpoint privato, si verifica il timeout della connessione.

    Soluzione: verificare che non siano presenti regole del gruppo di sicurezza di rete che impediscono al client di comunicare con l'endpoint privato e la relativa subnet. Deve essere consentita la comunicazione sulla porta TCP 443 tra l'indirizzo IP/subnet di origine del client e l'indirizzo IP/subnet di destinazione dell'endpoint privato.

Per altre collegamento privato suggerimenti per la risoluzione dei problemi, vedere Risolvere i problemi di connettività dell'endpoint privato di Azure.

Passaggi successivi

Configurare rapidamente un ambiente protetto con collegamento privato usando un modello di Resource Manager: Gemelli digitali di Azure con funzione di Azure e collegamento privato.

Altre informazioni su collegamento privato per Azure: Che cos'è collegamento privato di Azure servizio?