Povolení privátního přístupu ke službě Azure Digital Twins pomocí Private Link

  • Článek

Pomocí služby Azure Digital Twins společně s Azure Private Link můžete povolit privátní koncové body pro vaši instanci Azure Digital Twins, abyste zabránili veřejnému ohrožení a umožnili klientům umístěným ve vaší virtuální síti zabezpečený přístup k instanci přes Private Link. Další informace o této strategii zabezpečení pro Azure Digital Twins najdete v tématu Private Link s privátním koncovým bodem pro instanci Služby Azure Digital Twins.

Tady jsou kroky popsané v tomto článku:

  1. Zapněte Private Link a nakonfigurujte privátní koncový bod pro instanci Azure Digital Twins.
  2. Zobrazení, úprava nebo odstranění privátního koncového bodu z instance Azure Digital Twins
  3. Pokud chcete omezit přístup k rozhraní API pro Azure Digital Twins jenom na Private Link připojení, zakažte nebo povolte příznaky veřejného přístupu k síti.

Tento článek obsahuje také informace o nasazení služby Azure Digital Twins s Private Link pomocí šablony ARM a řešení potíží s konfigurací.

Požadavky

Než budete moct nastavit privátní koncový bod, budete potřebovat virtuální síť Azure Virtual Network, ve které bude možné koncový bod nasadit. Pokud ještě virtuální síť nemáte, můžete ji nastavit podle některého z rychlých startů azure Virtual Network.

Přidání privátních koncových bodů do Služby Azure Digital Twins

K zapnutí Private Link s privátním koncovým bodem pro instanci Azure Digital Twins můžete použít Azure Portal nebo Azure CLI.

Pokud chcete nastavit Private Link v rámci počátečního nastavení instance, budete muset použít Azure Portal. Pokud chcete povolit Private Link v instanci po jejím vytvoření, můžete použít Azure Portal nebo Azure CLI. Každá z těchto metod vytváření poskytne stejné možnosti konfigurace a stejný konečný výsledek pro vaši instanci.

Pomocí karet v následujících částech vyberte pokyny pro vaše upřednostňované prostředí.

Tip

Koncový bod Private Link můžete také nastavit prostřednictvím služby Private Link místo prostřednictvím instance Služby Azure Digital Twins. To také poskytuje stejné možnosti konfigurace a stejný konečný výsledek.

Další informace o nastavení Private Link prostředků najdete v dokumentaci k Private Link pro Azure Portal, Azure CLI, Azure Resource Manager nebo PowerShell.

Přidání privátního koncového bodu během vytváření instance

V této části vytvoříte privátní koncový bod s Private Link jako součást počátečního nastavení instance Služby Azure Digital Twins. Tuto akci lze provést pouze v Azure Portal.

Tato část popisuje, jak zapnout Private Link při nastavování instance Azure Digital Twins v Azure Portal.

Možnosti Private Link se nacházejí na kartě Sítě v nastavení instance.

  1. Začněte nastavovat instanci Azure Digital Twins v Azure Portal. Pokyny najdete v tématu Nastavení instance a ověřování.

  2. Když se v nastavení instance dostanete na kartu Sítě , můžete privátní koncové body povolit výběrem možnosti Privátní koncový bod pro metodu připojení.

    Tím přidáte část s názvem Připojení privátního koncového bodu , ve které můžete nakonfigurovat podrobnosti o privátním koncovém bodu. Pokračujte výběrem tlačítka + Přidat .

    Snímek obrazovky Azure Portal zobrazující kartu Sítě nové instance Azure Digital Twins se zvýrazněným způsobem vytvoření privátního koncového bodu Tlačítko Přidat je zvýrazněné.

  3. Na stránce Vytvořit privátní koncový bod , která se otevře, zadejte podrobnosti o novém privátním koncovém bodu.

    Snímek obrazovky Azure Portal zobrazující stránku Vytvořit privátní koncový bod Obsahuje pole popsaná níže.

    1. Vyplňte výběry pro vaše předplatné a skupinu prostředků. Nastavte umístění na stejné umístění jako virtuální síť, kterou budete používat. Zvolte Název koncového bodu a jako Cílové dílčí prostředky vyberte ROZHRANÍ API.

    2. Dále vyberte virtuální síť a podsíť , které chcete použít k nasazení koncového bodu.

    3. Nakonec vyberte, jestli chcete integrovat s privátní zónou DNS. Můžete použít výchozí hodnotu Ano , nebo pokud s touto možností potřebujete pomoct, můžete použít odkaz na portálu a získat další informace o integraci privátního DNS.

    4. Po vyplnění možností konfigurace vyberte OK a dokončete to.

  4. Po dokončení tohoto procesu se na portálu vrátíte na kartu Sítě v nastavení instance Služby Azure Digital Twins. Ověřte, že je váš nový koncový bod viditelný v části Připojení privátního koncového bodu.

    Snímek obrazovky Azure Portal zobrazující kartu Sítě služby Azure Digital Twins s nově vytvořeným privátním koncovým bodem

  5. Pomocí dolních navigačních tlačítek můžete pokračovat ve zbývající části nastavení instance.

Přidání privátního koncového bodu do existující instance

V této části povolíte Private Link s privátním koncovým bodem pro instanci Azure Digital Twins, která už existuje.

  1. Nejprve v prohlížeči přejděte na Azure Portal. Vyvolejte instanci Azure Digital Twins vyhledáním jejího názvu na panelu hledání na portálu.

  2. V nabídce vlevo vyberte Sítě .

  3. Přepněte na kartu Připojení privátního koncového bodu .

  4. Vyberte + Privátní koncový bod a otevřete nastavení Vytvořit privátní koncový bod .

    Snímek obrazovky Azure Portal zobrazující stránku Sítě pro existující instanci Azure Digital Twins se zvýrazněným způsobem vytváření privátních koncových bodů

  5. Na kartě Základy zadejte nebo vyberte skupinu Předplatné a prostředky vašeho projektu a název a oblast pro váš koncový bod. Oblast musí být stejná jako oblast pro virtuální síť, kterou používáte.

    Snímek obrazovky Azure Portal zobrazující první kartu (Základy) dialogového okna Vytvořit privátní koncový bod Obsahuje pole popsaná výše.

    Až budete hotovi, vyberte tlačítko Další: Prostředek > a přejděte na další kartu.

  6. Na kartě Zdroj zadejte nebo vyberte tyto informace:

    • Metoda připojení: Vyberte Připojit k prostředku Azure v mém adresáři a vyhledejte instanci Služby Azure Digital Twins.
    • Předplatné: Zadejte své předplatné.
    • Typ prostředku: Vyberte Microsoft.DigitalTwins/digitalTwinsInstances.
    • Prostředek: Vyberte název instance služby Azure Digital Twins.
    • Cílový dílčí prostředek: Vyberte rozhraní API.

    Snímek obrazovky Azure Portal zobrazující druhou kartu (Prostředek) dialogového okna Vytvořit privátní koncový bod Obsahuje pole popsaná výše.

    Až budete hotovi, vyberte tlačítko Další: Konfigurace > a přejděte na další kartu.

  7. Na kartě Konfigurace zadejte nebo vyberte tyto informace:

    • Virtuální síť: Vyberte virtuální síť.
    • Podsíť: Zvolte podsíť z virtuální sítě.
    • Integrace s privátní zónou DNS: Vyberte, jestli chcete integrovat s privátní zónou DNS. Můžete použít výchozí hodnotu Ano , nebo pokud s touto možností potřebujete pomoct, můžete použít odkaz na portálu a získat další informace o integraci privátního DNS. Pokud vyberete Ano, můžete ponechat výchozí informace o konfiguraci.

    Snímek obrazovky Azure Portal zobrazující třetí kartu (Konfigurace) dialogového okna Vytvořit privátní koncový bod Obsahuje pole popsaná výše.

    Až budete hotovi, můžete výběrem tlačítka Zkontrolovat a vytvořit nastavení dokončit.

  8. Na kartě Zkontrolovat a vytvořit zkontrolujte vybrané možnosti a vyberte tlačítko Vytvořit .

Po dokončení nasazení by se koncový bod měl zobrazit v připojení privátních koncových bodů pro vaši instanci Azure Digital Twins.

Správa privátních koncových bodů

V této části se dozvíte, jak zobrazit, upravit a odstranit privátní koncový bod po jeho vytvoření.

Po vytvoření privátního koncového bodu pro vaši instanci Azure Digital Twins ho můžete zobrazit na kartě Sítě pro vaši instanci Služby Azure Digital Twins. Na této stránce se zobrazí všechna připojení privátního koncového bodu přidružená k instanci.

Snímek obrazovky Azure Portal zobrazující stránku Sítě pro existující instanci Azure Digital Twins s jedním privátním koncovým bodem

Výběrem koncového bodu zobrazíte jeho podrobné informace, změníte jeho nastavení konfigurace nebo odstraníte připojení.

Tip

Koncový bod je také možné zobrazit v centru Private Link v Azure Portal.

Zakázání nebo povolení příznaků přístupu k veřejné síti

Instanci Služby Azure Digital Twins můžete nakonfigurovat tak, aby odepřela všechna veřejná připojení a povolila pouze připojení prostřednictvím koncových bodů privátního přístupu, aby se zlepšilo zabezpečení sítě. Tato akce se provádí s příznakem přístupu k veřejné síti.

Tato zásada umožňuje omezit přístup rozhraní API pouze na Private Link připojení. Pokud je příznak přístupu k veřejné síti nastavený na disabledhodnotu , všechna volání rozhraní REST API do roviny dat instance služby Azure Digital Twins z veřejného cloudu vrátí 403, Unauthorized. Pokud je zásada nastavená na disabled a požadavek se provede prostřednictvím privátního koncového bodu, volání rozhraní API proběhne úspěšně.

Hodnotu příznaku sítě můžete aktualizovat pomocí Azure Portal, Azure CLI nebo příkazového nástroje ARMClient.

Pokud chcete zakázat nebo povolit přístup k veřejné síti v Azure Portal, otevřete portál a přejděte do své instance Služby Azure Digital Twins.

  1. V nabídce vlevo vyberte Sítě .

  2. Na kartě Veřejný přístup nastavte Možnost Povolit přístup z veřejné sítě naZakázané nebo Všechny sítě.

    Snímek obrazovky s Azure Portal zobrazující stránku Sítě pro instanci Azure Digital Twins se zvýrazněným způsobem přepnutí veřejného přístupu

    Vyberte Uložit.

Nasazení s využitím šablon ARM

Můžete také nastavit Private Link se službou Azure Digital Twins pomocí šablony ARM.

Ukázkovou šablonu, která umožňuje funkci Azure připojit se ke službě Azure Digital Twins prostřednictvím koncového bodu Private Link, najdete v tématu Azure Digital Twins s funkcí Azure a Private Link (šablona ARM).

Tato šablona vytvoří instanci Služby Azure Digital Twins, virtuální síť, funkci Azure připojenou k virtuální síti a Private Link připojení, aby byla instance Služby Azure Digital Twins přístupná pro funkci Azure prostřednictvím privátního koncového bodu.

Řešení potíží

Tady jsou některé běžné problémy, ke kterým může dojít při používání Private Link se službou Azure Digital Twins.

  • Problém: Při pokusu o přístup k rozhraním API služby Azure Digital Twins se v textu odpovědi zobrazí kód chyby HTTP 403 s následující chybou:

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    Rozlišení: K této chybě dochází, když publicNetworkAccess je pro instanci Azure Digital Twins zakázaná a očekává se, že požadavky rozhraní API přicházejí přes Private Link, ale volání bylo směrováno přes veřejnou síť (možná přes nástroj pro vyrovnávání zatížení nakonfigurovaný pro virtuální síť). Při pokusu o přístup k rozhraní API prostřednictvím názvu hostitele koncového bodu se ujistěte, že váš klient rozhraní API překládá privátní IP adresu privátního koncového bodu.

    Pokud chcete usnadnit překlad názvu hostitele na privátní IP adresu privátního koncového bodu v podsíti, můžete nakonfigurovat zónu privátního DNS. Ověřte, že je privátní zóna DNS správně propojená s virtuální sítí a používá správný název zóny, například privatelink.digitaltwins.azure.net.

  • Problém: Při pokusu o přístup ke službě Azure Digital Twins prostřednictvím privátního koncového bodu vyprší časový limit připojení.

    Rozlišení: Ověřte, že neexistují žádná pravidla skupiny zabezpečení sítě , která by klientovi nezakazovala komunikovat s privátním koncovým bodem a jeho podsítí. Komunikace na portu TCP 443 musí být povolená mezi zdrojovou IP adresou/podsítí klienta a cílovou IP adresou/podsítí privátního koncového bodu.

Další Private Link návrhy řešení potíží najdete v tématu Řešení potíží s připojením k privátnímu koncovému bodu Azure.

Další kroky

Rychle nastavte chráněné prostředí pomocí Private Link pomocí šablony ARM: Azure Digital Twins s funkcí Azure a Private Link.

Nebo si přečtěte další informace o Private Link pro Azure: Co je služba Azure Private Link?