Udostępnij za pośrednictwem

Włączanie dostępu prywatnego do usługi Azure Digital Twins przy użyciu usługi Private Link

  • Artykuł

Korzystając z usługi Azure Digital Twins razem z usługą Azure Private Link, możesz włączyć prywatne punkty końcowe dla wystąpienia usługi Azure Digital Twins, aby wyeliminować publiczne narażenie i zezwolić klientom znajdującym się w sieci wirtualnej na bezpieczny dostęp do wystąpienia za pośrednictwem usługi Private Link. Aby uzyskać więcej informacji na temat tej strategii zabezpieczeń dla usługi Azure Digital Twins, zobacz Usługa Private Link z prywatnym punktem końcowym wystąpienia usługi Azure Digital Twins.

Poniżej przedstawiono kroki opisane w tym artykule:

  1. Włącz usługę Private Link i skonfiguruj prywatny punkt końcowy dla wystąpienia usługi Azure Digital Twins.
  2. Wyświetlanie, edytowanie lub usuwanie prywatnego punktu końcowego z wystąpienia usługi Azure Digital Twins.
  3. Wyłącz lub włącz flagi dostępu do sieci publicznej, aby ograniczyć dostęp do interfejsu API tylko dla połączeń usługi Azure Digital Twins z usługą Private Link.

Ten artykuł zawiera również informacje dotyczące wdrażania usługi Azure Digital Twins z usługą Private Link przy użyciu szablonu usługi ARM oraz rozwiązywania problemów z konfiguracją.

Wymagania wstępne

Aby można było skonfigurować prywatny punkt końcowy, musisz mieć sieć wirtualną platformy Azure, w której można wdrożyć punkt końcowy. Jeśli nie masz jeszcze sieci wirtualnej, możesz skorzystać z jednego z przewodników Szybki start usługi Azure Virtual Network, aby to skonfigurować.

Dodawanie prywatnych punktów końcowych do usługi Azure Digital Twins

Możesz użyć witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure, aby włączyć usługę Private Link z prywatnym punktem końcowym dla wystąpienia usługi Azure Digital Twins.

Jeśli chcesz skonfigurować usługę Private Link w ramach początkowej konfiguracji wystąpienia, musisz użyć witryny Azure Portal. W przeciwnym razie, jeśli chcesz włączyć usługę Private Link w wystąpieniu po jego utworzeniu, możesz użyć witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure. Każda z tych metod tworzenia daje te same opcje konfiguracji i ten sam wynik końcowy dla twojego wystąpienia.

Użyj kart w poniższych sekcjach, aby wybrać instrukcje dotyczące preferowanego środowiska.

Napiwek

Możesz również skonfigurować punkt końcowy usługi Private Link za pośrednictwem usługi Private Link zamiast za pośrednictwem wystąpienia usługi Azure Digital Twins. Daje to również te same opcje konfiguracji i ten sam wynik końcowy.

Aby uzyskać więcej informacji na temat konfigurowania zasobów usługi Private Link, zobacz dokumentację usługi Private Link dotyczącą witryny Azure Portal, interfejsu wiersza polecenia platformy Azure, usługi Azure Resource Manager lub programu PowerShell.

Dodawanie prywatnego punktu końcowego podczas tworzenia wystąpienia

W tej sekcji utworzysz prywatny punkt końcowy z usługą Private Link w ramach początkowej konfiguracji wystąpienia usługi Azure Digital Twins. Tę akcję można wykonać tylko w witrynie Azure Portal.

W tej sekcji opisano sposób włączania usługi Private Link podczas konfigurowania wystąpienia usługi Azure Digital Twins w witrynie Azure Portal.

Opcje usługi Private Link znajdują się na karcie Sieć konfiguracji wystąpienia.

  1. Rozpocznij konfigurowanie wystąpienia usługi Azure Digital Twins w witrynie Azure Portal. Aby uzyskać instrukcje, zobacz Konfigurowanie wystąpienia i uwierzytelniania.

  2. Po osiągnięciu karty Sieć konfiguracji wystąpienia można włączyć prywatne punkty końcowe, wybierając opcję Prywatny punkt końcowy dla metody Łączności.

    Spowoduje to dodanie sekcji o nazwie Połączenia prywatnego punktu końcowego, w której można skonfigurować szczegóły prywatnego punktu końcowego. Wybierz przycisk + Dodaj, aby kontynuować.

    Zrzut ekranu witryny Azure Portal przedstawiający kartę Sieć nowego wystąpienia usługi Azure Digital Twins z wyróżnionym sposobem tworzenia prywatnego punktu końcowego. Przycisk

  3. Na stronie Tworzenie prywatnego punktu końcowego, która zostanie otwarta, wprowadź szczegóły nowego prywatnego punktu końcowego.

    Zrzut ekranu witryny Azure Portal przedstawiający stronę Tworzenie prywatnego punktu końcowego. Zawiera on pola opisane poniżej.

    1. Wypełnij opcje subskrypcji i grupy zasobów. Ustaw lokalizację na tę samą lokalizację co sieć wirtualna, której będziesz używać. Wybierz nazwę punktu końcowego, a w polu Docelowe zasoby podrzędne wybierz pozycję Interfejs API.

    2. Następnie wybierz sieć wirtualną i podsieć, której chcesz użyć do wdrożenia punktu końcowego.

    3. Na koniec wybierz, czy chcesz zintegrować z prywatną strefą DNS. Możesz użyć wartości domyślnej Tak lub, aby uzyskać pomoc dotyczącą tej opcji, możesz skorzystać z linku w portalu, aby dowiedzieć się więcej na temat integracji prywatnej usługi DNS.

    4. Po wypełnieniu opcji konfiguracji wybierz przycisk OK , aby zakończyć.

  4. Po zakończeniu tego procesu portal powróci do karty Sieć konfiguracji wystąpienia usługi Azure Digital Twins. Sprawdź, czy nowy punkt końcowy jest widoczny w obszarze Połączenia prywatnego punktu końcowego.

    Zrzut ekranu witryny Azure Portal przedstawiający kartę Sieć usługi Azure Digital Twins z nowo utworzonym prywatnym punktem końcowym.

  5. Użyj przycisków nawigacji dolnej, aby kontynuować konfigurację pozostałej części wystąpienia.

Dodawanie prywatnego punktu końcowego do istniejącego wystąpienia

W tej sekcji włączysz usługę Private Link z prywatnym punktem końcowym dla wystąpienia usługi Azure Digital Twins, które już istnieje.

  1. Najpierw przejdź do witryny Azure Portal w przeglądarce. Wywołaj wystąpienie usługi Azure Digital Twins, wyszukując jego nazwę na pasku wyszukiwania portalu.

  2. Wybierz pozycję Sieć w menu po lewej stronie.

  3. Przejdź do karty Połączenia prywatnego punktu końcowego.

  4. Wybierz pozycję + Prywatny punkt końcowy , aby otworzyć konfigurację utwórz prywatny punkt końcowy .

    Zrzut ekranu witryny Azure Portal przedstawiający stronę Sieć dla istniejącego wystąpienia usługi Azure Digital Twins z wyróżnionym sposobem tworzenia prywatnych punktów końcowych.

  5. Na karcie Podstawy wprowadź lub wybierz grupę Subskrypcja i Zasób projektu oraz nazwę i region dla punktu końcowego. Region musi być taki sam jak region dla używanej sieci wirtualnej.

    Zrzut ekranu witryny Azure Portal przedstawiający pierwszą kartę (Podstawowe) okna dialogowego Tworzenie prywatnego punktu końcowego. Zawiera on pola opisane powyżej.

    Po zakończeniu wybierz przycisk Dalej: Zasób > , aby przejść do następnej karty.

  6. Na karcie Zasób wprowadź lub wybierz następujące informacje:

    • Metoda połączenia: wybierz pozycję Połącz z zasobem platformy Azure w moim katalogu , aby wyszukać wystąpienie usługi Azure Digital Twins.
    • Subskrypcja: wprowadź subskrypcję.
    • Typ zasobu: wybierz pozycję Microsoft.DigitalTwins/digitalTwinsInstances
    • Zasób: wybierz nazwę wystąpienia usługi Azure Digital Twins.
    • Docelowy zasób podrzędny: wybierz pozycję Interfejs API.

    Zrzut ekranu witryny Azure Portal przedstawiający drugą kartę (zasób) w oknie dialogowym Tworzenie prywatnego punktu końcowego. Zawiera on pola opisane powyżej.

    Po zakończeniu wybierz przycisk Dalej: Konfiguracja > , aby przejść do następnej karty.

  7. Na karcie Konfiguracja wprowadź lub wybierz następujące informacje:

    • Sieć wirtualna: wybierz sieć wirtualną.
    • Podsieć: wybierz podsieć z sieci wirtualnej.
    • Integracja z prywatną strefą DNS: wybierz, czy chcesz zintegrować z prywatną strefą DNS. Możesz użyć wartości domyślnej Tak lub, aby uzyskać pomoc dotyczącą tej opcji, możesz skorzystać z linku w portalu, aby dowiedzieć się więcej na temat integracji prywatnej usługi DNS. Jeśli wybierzesz pozycję Tak, możesz pozostawić domyślne informacje o konfiguracji.

    Zrzut ekranu witryny Azure Portal przedstawiający trzecią kartę (Konfiguracja) w oknie dialogowym Tworzenie prywatnego punktu końcowego. Zawiera on pola opisane powyżej.

    Po zakończeniu możesz wybrać przycisk Przejrzyj i utwórz, aby zakończyć konfigurację.

  8. Na karcie Przeglądanie + tworzenie przejrzyj wybrane opcje i wybierz przycisk Utwórz.

Po zakończeniu wdrażania punktu końcowego powinien zostać wyświetlony w połączeniach prywatnych punktów końcowych dla wystąpienia usługi Azure Digital Twins.

Zarządzanie prywatnymi punktami końcowymi

W tej sekcji zobaczysz, jak wyświetlać, edytować i usuwać prywatny punkt końcowy po jego utworzeniu.

Po utworzeniu prywatnego punktu końcowego dla wystąpienia usługi Azure Digital Twins możesz wyświetlić go na karcie Sieć dla wystąpienia usługi Azure Digital Twins. Na tej stronie zostaną wyświetlone wszystkie połączenia prywatnego punktu końcowego skojarzone z wystąpieniem.

Zrzut ekranu witryny Azure Portal przedstawiający stronę Sieć dla istniejącego wystąpienia usługi Azure Digital Twins z jednym prywatnym punktem końcowym.

Wybierz punkt końcowy, aby wyświetlić szczegółowe informacje, wprowadzić zmiany w ustawieniach konfiguracji lub usunąć połączenie.

Napiwek

Punkt końcowy można również wyświetlić z Centrum usługi Private Link w witrynie Azure Portal.

Wyłączanie/włączanie flag dostępu do sieci publicznej

Możesz skonfigurować wystąpienie usługi Azure Digital Twins tak, aby blokowało wszystkie połączenia publiczne i zezwalało tylko na połączenia za pośrednictwem prywatnych punktów końcowych dostępu w celu zwiększenia bezpieczeństwa sieci. Ta akcja jest wykonywana za pomocą flagi dostępu do sieci publicznej.

Te zasady umożliwiają ograniczenie dostępu interfejsu API tylko do połączeń usługi Private Link. Gdy flaga dostępu do sieci publicznej jest ustawiona na disabled, wszystkie wywołania interfejsu API REST do płaszczyzny danych wystąpienia usługi Azure Digital Twins z chmury publicznej będą zwracać wartość 403, Unauthorized. W przeciwnym razie, gdy zasady zostaną ustawione na disabled i żądanie zostanie wykonane za pośrednictwem prywatnego punktu końcowego, wywołanie interfejsu API powiedzie się.

Wartość flagi sieciowej można zaktualizować przy użyciu witryny Azure Portal, interfejsu wiersza polecenia platformy Azure lub narzędzia poleceń ARMClient.

Aby wyłączyć lub włączyć dostęp do sieci publicznej w witrynie Azure Portal, otwórz portal i przejdź do wystąpienia usługi Azure Digital Twins.

  1. Wybierz pozycję Sieć w menu po lewej stronie.

  2. Na karcie Dostęp publiczny ustaw opcję Zezwalaj na dostęp do sieci publicznej na wartość Wyłączone lub Wszystkie sieci.

    Zrzut ekranu witryny Azure Portal przedstawiający stronę Sieć dla wystąpienia usługi Azure Digital Twins z wyróżnionym sposobem przełączania dostępu publicznego.

    Wybierz pozycję Zapisz.

Wdrażanie przy użyciu szablonów usługi ARM

Możesz również skonfigurować usługę Private Link za pomocą usługi Azure Digital Twins przy użyciu szablonu usługi ARM.

Aby zapoznać się z przykładowym szablonem, który umożliwia funkcji platformy Azure łączenie się z usługą Azure Digital Twins za pośrednictwem punktu końcowego usługi Private Link, zobacz Azure Digital Twins z funkcją platformy Azure i szablonem usługi Private Link (ARM).

Ten szablon tworzy wystąpienie usługi Azure Digital Twins, sieć wirtualną, funkcję platformy Azure połączoną z siecią wirtualną i połączenie usługi Private Link, aby wystąpienie usługi Azure Digital Twins było dostępne dla funkcji platformy Azure za pośrednictwem prywatnego punktu końcowego.

Ograniczenia i rozwiązywanie problemów

Ograniczenie korzystania z usługi Private Link z usługą Azure Digital Twins polega na tym, że scenariusze obejmujące wiele dzierżaw nie są obsługiwane.

Aby rozwiązać problemy, poniżej przedstawiono niektóre typowe problemy, które mogą wystąpić:

  • Problem: Podczas próby uzyskania dostępu do interfejsów API usługi Azure Digital Twins w treści odpowiedzi zostanie wyświetlony kod błędu HTTP 403 z następującym błędem:

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    Rozwiązanie: ten błąd występuje, gdy publicNetworkAccess dla wystąpienia usługi Azure Digital Twins i żądań interfejsu API oczekuje się, że nastąpi przekierowanie wywołania za pośrednictwem sieci publicznej (prawdopodobnie za pośrednictwem modułu równoważenia obciążenia skonfigurowanego dla sieci wirtualnej). Upewnij się, że klient interfejsu API rozpozna prywatny adres IP prywatnego punktu końcowego podczas próby uzyskania dostępu do interfejsu API za pośrednictwem nazwy hosta punktu końcowego.

    Aby ułatwić rozpoznawanie nazwy hosta dla prywatnego adresu IP prywatnego punktu końcowego w podsieci, można skonfigurować prywatną strefę DNS. Sprawdź, czy prywatna strefa DNS jest poprawnie połączona z siecią wirtualną i używa odpowiedniej nazwy strefy, takiej jak privatelink.digitaltwins.azure.net.

  • Problem: Podczas próby uzyskania dostępu do usługi Azure Digital Twins za pośrednictwem prywatnego punktu końcowego przekroczono limit czasu połączenia.

    Rozwiązanie: Sprawdź, czy nie ma żadnych reguł sieciowej grupy zabezpieczeń, które uniemożliwiają klientowi komunikację z prywatnym punktem końcowym i jego podsiecią. Komunikacja na porcie TCP 443 musi być dozwolona między źródłowym adresem IP/podsiecią klienta a docelowym adresem IP/podsiecią prywatnego punktu końcowego.

Aby uzyskać więcej sugestii dotyczących rozwiązywania problemów z usługą Private Link, zobacz Rozwiązywanie problemów z łącznością z prywatnym punktem końcowym platformy Azure.

Następne kroki

Szybko skonfiguruj chronione środowisko za pomocą usługi Private Link przy użyciu szablonu usługi ARM: Usługa Azure Digital Twins z funkcją platformy Azure i usługą Private Link.

Lub dowiedz się więcej o usłudze Private Link dla platformy Azure: Co to jest usługa Azure Private Link?