共用方式為

使用 Private Link 啟用 Azure Digital Twins 的私人存取

  • 發行項

藉由搭配 Azure Digital Twins 搭配 Azure Private Link,您可以啟用 Azure Digital Twins 實例的私人端點,以消除公開暴露,並允許位於虛擬網路中的用戶端透過 Private Link 安全地存取實例。 如需 Azure Digital Twins 此安全性策略的詳細資訊,請參閱 私人連結與 Azure Digital Twins 實例的私人端點。

以下是本文所涵蓋的步驟:

  1. 開啟 Private Link 並設定 Azure Digital Twins 實例的私人端點。
  2. 從 Azure Digital Twins 實例檢視、編輯或刪除私人端點。
  3. 停用或啟用公用網路存取旗標,將 Azure Digital Twins 的 API 存取限制為僅限 Private Link 連線。

本文也包含使用 ARM 範本部署 Azure Digital Twins 與 Private Link 的資訊,以及針對設定進行疑難解答。

必要條件

在可以設定私人端點之前,您將需要可在其中部署端點的 Azure 虛擬網路 (VNet)。 如果您還沒有 VNet,則可以遵循其中一個 Azure 虛擬網路快速入門來進行設定。

將私人端點新增至 Azure Digital Twins

您可以使用 Azure 入口網站Azure CLI 來開啟 Private Link 與 Azure Digital Twins 實例的私人端點。

如果您想要將 Private Link 設定為實例初始設定的一部分,您必須使用 Azure 入口網站。 否則,如果您想要在實例建立之後在實例上啟用 Private Link,您可以使用 Azure 入口網站 或 Azure CLI。 這些建立方法中的任何一個都會為您的實例提供相同的組態選項和相同的結束結果。

使用下列各節中的索引標籤來選取您慣用體驗的指示。

提示

您也可以透過 Private Link 服務來設定 Private Link 端點,而不是透過您的 Azure Digital Twins 實例。 這也會提供相同的組態選項和相同的最終結果。

如需設定 Private Link 資源的詳細資訊,請參閱 Azure 入口網站、Azure CLIAzure Resource ManagerPowerShell 的私人鏈接檔。

在實例建立期間新增私人端點

在本節中,您將使用 Private Link 建立私人端點,作為 Azure Digital Twins 實例初始設定的一部分。 此動作只能在 Azure 入口網站 中完成。

本節說明如何在 Azure 入口網站 中設定 Azure Digital Twins 實例時開啟 Private Link。

Private Link 選項位於 實例設定的 [網络] 索引 標籤中。

  1. 開始在 Azure 入口網站 中設定 Azure Digital Twins 實例。 如需指示,請參閱設定執行個體和驗證

  2. 當您到達實例設定的 [網络] 索引標籤時,您可以選取 [連線方法] 的 [私人端點] 選項來啟用私人端點

    這樣做會新增名為 私人端點連線 的區段,您可以在其中設定私人端點的詳細數據。 選取 [+ 新增] 按鈕以繼續。

    Azure 入口網站 的螢幕快照,其中顯示新 Azure Digital Twins 實例的 [網路] 索引卷標,其中醒目提示如何建立私人端點。[新增] 按鈕會反白顯示。

  3. 在開啟的 [ 建立私人端點 ] 頁面中,輸入新私人端點的詳細數據。

    顯示 [建立私人端點] 頁面 Azure 入口網站 的螢幕快照。其中包含以下所述的欄位。

    1. 填入選取的 [訂用帳戶] 和 [資源群組]。 將 [位置] 設定為與要使用的 VNet 相同的位置。 選擇端點的 [ 名稱 ],然後針對 [目標子資源 ] 選取 [API]。

    2. 接下來,選取 您要用來部署端點的虛擬網路子網

    3. 最後,選取是否要 [與私人 DNS 區域整合]。 您可以使用預設值 [是],或者,如需此選項的說明,則可以遵循入口網站中的連結來深入了解私人 DNS 整合

    4. 填寫組態選項之後,選取 [ 確定 ] 以完成。

  4. 完成此程序之後,入口網站會返回 Azure Digital Twins 實例設定的 [網络 ] 索引標籤。 確認您的新端點在私人端點連線可見。

    Azure 入口網站 的螢幕快照,其中顯示具有新建立私人端點之 Azure Digital Twins 的網路索引標籤。

  5. 使用底部導覽按鈕繼續執行其餘的實例設定。

將私人端點新增至現有的實例

在本節中,您會為已經存在的 Azure Digital Twins 實例啟用 Private Link 與私人端點。

  1. 首先,在瀏覽器中瀏覽至 Azure 入口網站。 在入口網站搜尋列中搜尋 Azure Digital Twins 實例的名稱,以啟動您的 Azure Digital Twins 實例。

  2. 選取 左側功能表中的 [網络 ]。

  3. 切換至 [私人端點連線] 索引標籤。

  4. 選取 [+ 私人端點] 以開啟 [建立私人端點] 設定。

    Azure 入口網站 的螢幕快照,其中顯示現有 Azure Digital Twins 實例的網路功能頁面,其中醒目提示如何建立私人端點。

  5. 在 [基本資料] 索引標籤中,輸入或選取專案的 [訂用帳戶] 和 [資源群組],以及端點的 [名稱] 和 [區域]。 區域必須與要使用的 VNet 區域相同。

    Azure 入口網站 的螢幕快照,其中顯示 [建立私人端點] 對話框的第一個 [基本] 索引標籤。其中包含上述欄位。

    完成時,選取 [下一步:資源 >] 按鈕以移至下一個索引標籤。

  6. 在 [資源] 索引標籤中,輸入或選取下列資訊:

    • 線上方法:選取 [ 連線到我的目錄中 的 Azure 資源],以搜尋您的 Azure Digital Twins 實例。
    • 訂用帳戶:輸入您的訂用帳戶。
    • 資源類型:選取 [Microsoft.DigitalTwins/digitalTwinsInstances
    • 資源:選取 Azure Digital Twins 實例的名稱。
    • 目標子資源:選取 [API]。

    Azure 入口網站 的螢幕快照,其中顯示 [建立私人端點] 對話框的第二個 [資源] 索引標籤。其中包含上述欄位。

    完成時,選取 [下一步: 設定 >] 按鈕以移至下一個索引標籤。

  7. 在 [設定] 索引標籤中,輸入或選取下列資訊:

    • 虛擬網路:選取您的虛擬網路。
    • 子網路:從虛擬網路中選擇子網路。
    • 與私人 DNS 區域整合:選取是否要 [與私人 DNS 區域整合]。 您可以使用預設值 [是],或者,如需此選項的說明,則可以遵循入口網站中的連結來深入了解私人 DNS 整合。 如果您選取 [是],則可以保留預設的設定資訊。

    Azure 入口網站 的螢幕快照,其中顯示 [建立私人端點] 對話框的第三個 [組態] 索引標籤。其中包含上述欄位。

    完成時,您可以選取 [檢閱 + 建立] 按鈕以完成設定。

  8. 在 [檢閱 + 建立] 索引標籤中,檢閱您的選取項目,然後選取 [建立] 按鈕。

當端點完成部署時,它應該會顯示在 Azure Digital Twins 實例的私人端點連線中。

管理私人端點

在本節中,您將瞭解如何在建立私人端點之後檢視、編輯和刪除私人端點。

建立 Azure Digital Twins 實例的私人端點之後,您可以在 Azure Digital Twins 實例的 [網路 ] 索引卷標中檢視它。 此頁面會顯示與 實例相關聯的所有私人端點連線。

Azure 入口網站 的螢幕快照,其中顯示具有一個私人端點的現有 Azure Digital Twins 實例的網路頁面。

選取端點以詳細檢視其資訊、變更其組態設定,或刪除連線。

提示

您也可以從 Azure 入口網站的 Private Link 中心檢視端點。

停用/啟用公用網路存取旗標

您可以將 Azure Digital Twins 實例設定為拒絕所有公用連線,並只允許透過私人存取端點的連線來增強網路安全性。 您可以使用公用網路存取旗標來完成此動作。

此原則可讓您僅限制對 Private Link 連線的 API 存取。 當公用網路存取旗標設定為 disabled時,從公用雲端呼叫 Azure Digital Twins 實例資料平面的所有 REST API 都會傳回 403, Unauthorized。 否則,當原則設定為 disabled 且透過私人端點提出要求時,API 呼叫將會成功。

您可以使用 Azure 入口網站Azure CLIARMClient 命令工具來更新網路旗標的值。

若要在 Azure 入口網站停用或啟用公用網路存取,請開啟入口網站並流覽至您的 Azure Digital Twins 實例。

  1. 選取 左側功能表中的 [網络 ]。

  2. 在 [公用存取] 索引標籤中,將 [允許公用網路存取] 設定為 [已停用] 或 [所有網路]

    Azure 入口網站 螢幕快照,其中顯示 Azure Digital Twins 實例的網路功能頁面,其中醒目提示如何切換公用存取。

    選取儲存

使用 ARM 範本進行部署

您也可以使用 ARM 範本設定 Private Link 與 Azure Digital Twins。

如需可讓 Azure 函式透過 Private Link 端點連線到 Azure Digital Twins 的範例範本,請參閱 Azure Digital Twins 搭配 Azure 函式和 Private Link(ARM 範本)。

此範本會建立 Azure Digital Twins 實例、虛擬網路、連線至虛擬網路的 Azure 函式,以及 Private Link 連線,讓 Azure 函式可透過私人端點存取 Azure Digital Twins 實例。

限制和疑難解答

搭配 Azure Digital Twins 使用 Private Link 的限制是不支援跨租使用者案例。

若要進行疑難解答,以下是可能發生的一些常見問題:

  • 問題: 嘗試存取 Azure Digital Twins API 時,您會在回應本文中看到 HTTP 錯誤碼 403,並出現下列錯誤:

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    解決方式: 如果 publicNetworkAccess Azure Digital Twins 實例和 API 要求已停用,則會發生此錯誤,預期會透過 Private Link 進行,但呼叫是透過公用網路路由傳送的(可能透過針對虛擬網路設定的負載平衡器)。 在嘗試透過端點主機名存取 API 時,請確定您的 API 用戶端正在解析私人端點的私人 IP。

    若要協助解析子網中私人端點的私人IP,您可以設定 私人 DNS 區域。 確認私人 DNS 區域已正確連結至虛擬網路,並使用正確的區域名稱,例如 privatelink.digitaltwins.azure.net

  • 問題: 嘗試透過私人端點存取 Azure Digital Twins 時,連線逾時。

    解決方案: 確認沒有任何 網路安全組 規則禁止用戶端與私人端點及其子網通訊。 用戶端的來源 IP 位址/子網路和私人端點目的地 IP 位址/子網路之間必須允許 TCP 連接埠 443 上的通訊。

如需更多 Private Link 疑難解答建議,請參閱 針對 Azure 私人端點連線問題進行疑難解答。

下一步

使用ARM範本快速設定具有 Private Link 的受保護環境: Azure Digital Twins 搭配 Azure 函式和 Private Link

或者,深入瞭解 Azure 的 Private Link: 什麼是 Azure Private Link 服務?