Habilitar o acesso privado aos Gêmeos Digitais do Azure usando o Link Privado
Usando os Gêmeos Digitais do Azure junto com o Link Privado do Azure, você pode habilitar pontos de extremidade privados para sua instância dos Gêmeos Digitais do Azure para eliminar a exposição pública e permitir que os clientes localizados em sua rede virtual acessem a instância com segurança por meio do Link Privado. Para obter mais informações sobre essa estratégia de segurança para os Gêmeos Digitais do Azure, confira Link Privado com um ponto de extremidade privado para uma instância dos Gêmeos Digitais do Azure.
Estas são as etapas abordadas em detalhes neste artigo:
- Ative o Link Privado e configure um ponto de extremidade privado para uma instância dos Gêmeos Digitais do Azure.
- Veja, edite ou exclua um ponto de extremidade privado de uma instância dos Gêmeos Digitais do Azure.
- Desabilite ou habilite os sinalizadores de acesso à rede pública para restringir o acesso à API dos Gêmeos Digitais do Azure somente para conexões de Link Privado.
Este artigo também traz informações sobre a implantação dos Gêmeos Digitais do Azure com o Link Privado usando um modelo do ARM e a solução de problemas da configuração.
Pré-requisitos
Para configurar um ponto de extremidade privado, você precisará de uma VNet (Rede Virtual do Azure) em que o ponto de extremidade pode ser implantado. Caso ainda não tenha uma VNet, será possível seguir um dos guias de início rápido da Rede Virtual do Azure para configurá-la.
Adicionar pontos de extremidade privado nos Gêmeos Digitais do Azure
Você pode usar o portal do Azure ou a CLI do Azure para ativar o Link Privado com um ponto de extremidade privado para uma instância dos Gêmeos Digitais do Azure.
Se você quiser configurar o Link Privado como parte da configuração inicial da instância, precisará usar o portal do Azure. Caso contrário, se você quiser habilitar o Link Privado em uma instância depois que ela tiver sido criada, poderá usar o portal do Azure ou a CLI do Azure. Qualquer um desses métodos de criação fornecerá as mesmas opções de configuração e o mesmo resultado final para a sua instância.
Use as guias nas seções abaixo para selecionar as instruções da sua experiência preferida.
Dica
Você também pode configurar um ponto de extremidade de Link Privado por meio do serviço de Link Privado, em vez de por meio de sua instância dos Gêmeos Digitais do Azure. Isso também fornece as mesmas opções de configuração e o mesmo resultado final.
Para mais informações em configurar recursos de Link Privado, confira a documentação do Link Privado para o portal do Azure, a CLI do Azure, o Azure Resource Manager ou o PowerShell.
Adicionar um ponto de extremidade privado durante a criação da instância
Nesta seção, você criará um ponto de extremidade privado com o Link Privado como parte da configuração inicial de uma instância dos Gêmeos Digitais do Azure. Essa ação pode ser realizada apenas no portal do Azure.
Essa seção descreve como ativar o Link Privado durante a configuração de uma instância dos Gêmeos Digitais do Azure no portal do Azure.
As opções de Link Privado estão localizadas na guia Rede da configuração da instância.
Comece a configurar uma instância dos Gêmeos Digitais do Azure no portal do Azure. Para obter instruções, confira Configurar uma instância e uma autenticação.
Ao acessar a guia Rede da instalação da instância, você pode habilitar os pontos de extremidade privados selecionando a opção Ponto de extremidade privado do Método de conectividade.
Ao fazer isso, adicionará uma seção chamada Conexões de ponto de extremidade privado, em que você pode configurar os detalhes do seu ponto de extremidade privado. Selecione o botão + Adicionar para continuar.
Na página Criar ponto de extremidade privado que será aberta, insira os detalhes de um novo ponto de extremidade privado.
Preencha as seleções para sua Assinatura e o seu Grupo de recursos. Defina a Localização como a mesma localização da VNet que você usará. Escolha um Nome para o ponto de extremidade e, para Sub-recursos de destino, selecione API.
Depois selecione a Rede virtual e a Sub-rede que você deseja usar para implantar o ponto de extremidade.
Por fim, selecione se deseja Integrar-se à zona DNS privada. Você pode usar o padrão Sim ou, para obter ajuda com essa opção, pode seguir o link no portal para saber mais sobre a integração do DNS privado.
Após preencher as opções de configuração, clique em OK para concluir.
Ao concluir esse processo, o portal retornará você à guia Rede da configuração da instância dos Gêmeos Digitais do Azure. Verifique se o novo ponto de extremidade está visível em Conexões de ponto de extremidade privado.
Use os botões de navegação inferiores para continuar com o restante da configuração da instância.
Adicionar um ponto de extremidade privado a uma instância existente
Nesta seção, você habilitará o Link Privado com um ponto de extremidade privado para uma instância dos Gêmeos Digitais do Azure que já existe.
Primeiro, navegue até o portal do Azure em um navegador. Traga sua instância dos Gêmeos Digitais do Azure pesquisando o nome dela na barra de pesquisa do portal.
Selecione Rede no menu à esquerda.
Mude para a guia Conexões de ponto de extremidade privado.
Selecione + Ponto de extremidade privado para abrir a configuração Criar um ponto de extremidade privado.
Na guia Básico, insira ou selecione a Assinatura e o Grupo de recursos do projeto, bem como um Nome e uma Região para o ponto de extremidade. A região precisa ser a mesma que a região da VNet que você está usando.
Quando terminar, selecione o botão Avançar: Recurso para ir para a próxima guia.
Na guia Recurso, insira ou selecione estas informações:
- Método de conexão: selecione Conectar-se a um recurso do Azure em meu diretório para pesquisar sua instância dos Gêmeos Digitais do Azure.
- Assinatura: insira sua assinatura.
- Tipo de recurso: selecione Microsoft.DigitalTwins/digitalTwinsInstances
- Recurso: selecione o nome da sua instância dos Gêmeos Digitais do Azure.
- Sub-recurso de destino: selecione a API.
Quando terminar, selecione o botão Avançar: Configuração para acessar a próxima guia.
Na guia Configuração, insira ou selecione estas informações:
- Rede virtual: selecione sua rede virtual.
- Sub-rede: escolha uma sub-rede da sua rede virtual.
- Integrar-se à zona DNS privada: selecione se deseja integrar-se à zona DNS privada. Você pode usar o padrão Sim ou, para obter ajuda com essa opção, pode seguir o link no portal para saber mais sobre a integração do DNS privado. Se você selecionar Sim, poderá deixar as informações de configuração padrão.
Quando tiver terminado, você poderá selecionar o botão Examinar + criar para concluir a instalação.
Na guia Examinar + criar, examine suas opções e selecione o botão Criar.
Quando a implantação do ponto de extremidade for concluída, ela deverá aparecer nas conexões de ponto de extremidade privado para sua instância dos Gêmeos Digitais do Azure.
Gerenciar pontos de extremidade privados
Nesta seção, você verá como ver, editar e excluir um ponto de extremidade privado depois que ele tiver sido criado.
Depois que um ponto de extremidade privado for criado para a instância dos Gêmeos Digitais do Azure, você poderá vê-lo na guia Rede da instância dos Gêmeos Digitais do Azure. Esta página mostra todas as conexões de ponto de extremidade privado associadas à instância.
Selecione o ponto de extremidade para ver as informações em detalhes, fazer alterações nas definições de configuração ou excluir a conexão.
Dica
O ponto de extremidade também pode ser exibido no Centro de Link Privado no portal do Azure.
Desabilitar/habilitar sinalizadores de acesso à rede pública
Você pode configurar sua instância dos Gêmeos Digitais do Azure para negar todas as conexões públicas e permitir que apenas conexões por meio de pontos de extremidade de acesso privado aprimorem a segurança de rede. Essa ação é feita com um sinalizador de acesso à rede pública.
Essa política permite restringir o acesso à API somente para conexões de Link Privado. Quando o sinalizador de acesso à rede pública for definido como disabled
, todas as chamadas à API REST para o plano de dados da instância dos Gêmeos Digitais do Azure na nuvem pública retornarão 403, Unauthorized
. Caso contrário, quando a política está definida como disabled
e uma solicitação é feita por meio de um ponto de extremidade privado, a chamada à API será bem-sucedida.
É possível atualizar o valor do sinalizador de rede usando o portal do Azure, a CLI do Azure, ou a ferramenta de comando ARMClient.
Para desabilitar ou habilitar o acesso à rede pública no portal do Azure, abra o portal e navegue até sua instância dos Gêmeos Digitais do Azure.
Fazer a implantação com modelos do Resource Manager
Você também pode configurar o Link Privado com os Gêmeos Digitais do Azure usando um modelo do ARM.
Para ver um exemplo de modelo que permite que uma função do Azure se conecte aos Gêmeos Digitais do Azure por meio de um ponto de extremidade de Link Privado, confira Gêmeos Digitais do Azure com a função do Azure e o Link Privado (modelo do ARM).
Esse modelo cria uma instância dos Gêmeos Digitais do Azure, uma rede virtual, uma função do Azure conectada à rede virtual e uma conexão de Link Privado para tornar a instância dos Gêmeos Digitais do Azure acessível à função do Azure por meio de um ponto de extremidade privado.
Solucionar problemas
Apresentamos alguns problemas comuns que podem surgir ao usar o Link Privado com os Gêmeos Digitais do Azure.
Problema: ao tentar acessar as APIs dos Gêmeos Digitais do Azure, você recebe um código de erro HTTP 403 com o seguinte erro no corpo da resposta:
{ "statusCode": 403, "message": "Public network access disabled by policy." }
Resolução: esse erro ocorre quando
publicNetworkAccess
foi desabilitado para a instância dos Gêmeos Digitais do Azure e as solicitações de API são esperadas por meio do Link Privado, mas a chamada foi roteada por meio da rede pública (possivelmente por um balanceador de carga configurado para uma rede virtual). Verifique se o cliente de API resolve o IP privado para o ponto de extremidade privado ao tentar acessar a API por meio do nome do host do ponto de extremidade.Para facilitar a resolução do nome do host para o IP privado do ponto de extremidade privado em uma sub-rede, você pode configurar uma zona DNS privado. Verifique se a zona DNS privado está corretamente vinculada à rede virtual e usa o nome de zona correta, como
privatelink.digitaltwins.azure.net
.Problema: ao tentar acessar os Gêmeos Digitais do Azure por meio de um ponto de extremidade privado, a conexão atinge o tempo limite.
Resolução: verifique se não há regras do grupo de segurança de rede que proíbem que o cliente se comunique com o ponto de extremidade privado e a respectiva sub-rede. A comunicação na porta TCP 443 precisa ser permitida entre o endereço IP/a sub-rede de origem do cliente e o endereço IP/a sub-rede de destino do ponto de extremidade privado.
Para ver mais sugestões de solução de problemas do Link Privado, confira Solução de problemas de conectividade do ponto de extremidade privado do Azure.
Próximas etapas
Configure rapidamente um ambiente protegido com o Link Privado usando um modelo do ARM: Gêmeos Digitais do Azure com a função do Azure e o Link Privado.
Ou, então, saiba mais sobre o Link Privado do Azure: O que é o serviço de Link Privado do Azure?