Ativar o acesso privado ao Azure Digital Twins com Private Link

Ao utilizar o Azure Digital Twins juntamente com Azure Private Link, pode ativar pontos finais privados para a sua instância do Azure Digital Twins, para eliminar a exposição pública e permitir que os clientes localizados na sua rede virtual acedam de forma segura à instância através de Private Link. Para obter mais informações sobre esta estratégia de segurança para o Azure Digital Twins, veja Private Link com um ponto final privado para uma instância do Azure Digital Twins.

Eis os passos abrangidos neste artigo:

  1. Ative Private Link e configure um ponto final privado para uma instância do Azure Digital Twins.
  2. Ver, editar ou eliminar um ponto final privado de uma instância do Azure Digital Twins.
  3. Desative ou ative sinalizadores de acesso à rede pública, para restringir o acesso à API de um Azure Digital Twins apenas para Private Link ligações.

Este artigo também contém informações para implementar o Azure Digital Twins com Private Link através de um modelo do ARM e para resolver problemas de configuração.

Pré-requisitos

Antes de poder configurar um ponto final privado, precisará de um Rede Virtual do Azure (VNet) onde o ponto final possa ser implementado. Se ainda não tiver uma VNet, pode seguir um dos inícios rápidos do Azure Rede Virtual para configurar esta opção.

Adicionar pontos finais privados ao Azure Digital Twins

Pode utilizar o portal do Azure ou a CLI do Azure para ativar Private Link com um ponto final privado para uma instância do Azure Digital Twins.

Se quiser configurar Private Link como parte da configuração inicial da instância, terá de utilizar o portal do Azure. Caso contrário, se quiser ativar Private Link numa instância após a sua criação, pode utilizar o portal do Azure ou a CLI do Azure. Qualquer um destes métodos de criação dará as mesmas opções de configuração e o mesmo resultado final para a sua instância.

Utilize os separadores nas secções abaixo para selecionar instruções para a sua experiência preferida.

Dica

Também pode configurar um ponto final Private Link através do serviço Private Link, em vez de através da sua instância do Azure Digital Twins. Isto também fornece as mesmas opções de configuração e o mesmo resultado final.

Para obter mais informações sobre como configurar recursos Private Link, veja Private Link documentação para o portal do Azure, a CLI do Azure, o Azure Resource Manager ou o PowerShell.

Adicionar um ponto final privado durante a criação da instância

Nesta secção, irá criar um ponto final privado com Private Link como parte da configuração inicial de uma instância do Azure Digital Twins. Esta ação só pode ser efetuada no portal do Azure.

Esta secção descreve como ativar Private Link ao configurar uma instância do Azure Digital Twins no portal do Azure.

As opções de Private Link estão localizadas no separador Rede da configuração da instância.

  1. Comece a configurar uma instância do Azure Digital Twins no portal do Azure. Para obter instruções, consulte Configurar uma instância e autenticação.

  2. Quando aceder ao separador Rede da configuração da instância, pode ativar pontos finais privados ao selecionar a opção Ponto final privado para o método conectividade.

    Ao fazê-lo, irá adicionar uma secção denominada Ligações de ponto final privado , onde pode configurar os detalhes do ponto final privado. Selecione o botão + Adicionar para continuar.

    Captura de ecrã do portal do Azure a mostrar o separador Rede de uma nova instância do Azure Digital Twins, realçando como criar um ponto final privado. O botão

  3. Na página Criar ponto final privado que é aberta, introduza os detalhes de um novo ponto final privado.

    Captura de ecrã do portal do Azure a mostrar a página Criar ponto final privado. Contém os campos descritos abaixo.

    1. Preencha as seleções da Subscrição e do Grupo de recursos. Defina a Localização para a mesma localização que a VNet que vai utilizar. Selecione um Nome para o ponto final e, para Sub-recursos de destino , selecione API.

    2. Em seguida, selecione a Rede virtual e a Sub-rede que pretende utilizar para implementar o ponto final.

    3. Por último, selecione se pretende Integrar com a zona DNS privada. Pode utilizar a predefinição Sim ou, para obter ajuda com esta opção, pode seguir a ligação no portal para saber mais sobre a integração de DNS privado.

    4. Depois de preencher as opções de configuração, selecione OK para concluir.

  4. Assim que concluir este processo, o portal irá devolvê-lo ao separador Rede da configuração da instância do Azure Digital Twins. Verifique se o novo ponto final está visível em Ligações de ponto final privado.

    Captura de ecrã do portal do Azure a mostrar o separador Rede de um Azure Digital Twins com um ponto final privado recentemente criado.

  5. Utilize os botões de navegação inferior para continuar com o resto da configuração da instância.

Adicionar um ponto final privado a uma instância existente

Nesta secção, irá ativar Private Link com um ponto final privado para uma instância do Azure Digital Twins que já existe.

  1. Primeiro, navegue para o portal do Azure num browser. Crie a sua instância do Azure Digital Twins ao procurar o respetivo nome na barra de pesquisa do portal.

  2. Selecione Rede no menu esquerdo.

  3. Mude para o separador Ligações de ponto final privado .

  4. Selecione + Ponto final privado para abrir a configuração Criar um ponto final privado .

    Captura de ecrã do portal do Azure a mostrar a página Rede de uma instância do Azure Digital Twins existente, realçando como criar pontos finais privados.

  5. No separador Noções Básicas , introduza ou selecione o grupo Subscrição e Recurso do seu projeto e um Nome e Região para o ponto final. A região tem de ser igual à região da VNet que está a utilizar.

    Captura de ecrã do portal do Azure a mostrar o primeiro separador (Básicos) da caixa de diálogo Criar um ponto final privado. Contém os campos descritos acima.

    Quando terminar, selecione o botão Seguinte : Recurso > para aceder ao separador seguinte.

  6. No separador Recurso , introduza ou selecione estas informações:

    • Método de ligação: selecione Ligar a um recurso do Azure no meu diretório para procurar a instância do Azure Digital Twins.
    • Subscrição: introduza a sua subscrição.
    • Tipo de recurso: selecione Microsoft.DigitalTwins/digitalTwinsInstances
    • Recurso: selecione o nome da sua instância do Azure Digital Twins.
    • Sub-recurso de destino: selecione API.

    Captura de ecrã do portal do Azure a mostrar o segundo separador (Recurso) da caixa de diálogo Criar um ponto final privado. Contém os campos descritos acima.

    Quando terminar, selecione o botão Seguinte : Configuração > para aceder ao separador seguinte.

  7. No separador Configuração , introduza ou selecione estas informações:

    • Rede virtual: selecione a sua rede virtual.
    • Sub-rede: escolha uma sub-rede na sua rede virtual.
    • Integrar com a zona DNS privada: selecione se pretende Integrar com a zona DNS privada. Pode utilizar a predefinição Sim ou, para obter ajuda com esta opção, pode seguir a ligação no portal para saber mais sobre a integração de DNS privado. Se selecionar Sim, pode deixar as informações de configuração predefinidas.

    Captura de ecrã do portal do Azure a mostrar o terceiro separador (Configuração) da caixa de diálogo Criar um ponto final privado. Contém os campos descritos acima.

    Quando terminar, pode selecionar o botão Rever + criar para concluir a configuração.

  8. No separador Rever + criar , reveja as suas seleções e selecione o botão Criar .

Quando o ponto final terminar de ser implementado, este deverá aparecer nas ligações de ponto final privado da instância do Azure Digital Twins.

Gerir pontos finais privados

Nesta secção, verá como ver, editar e eliminar um ponto final privado depois de ter sido criado.

Depois de ter sido criado um ponto final privado para a instância do Azure Digital Twins, pode vê-lo no separador Rede da instância do Azure Digital Twins. Esta página mostrará todas as ligações de ponto final privado associadas à instância.

Captura de ecrã do portal do Azure a mostrar a página Rede de uma instância do Azure Digital Twins existente com um ponto final privado.

Selecione o ponto final para ver as informações em detalhe, efetuar alterações às definições de configuração ou eliminar a ligação.

Dica

O ponto final também pode ser visualizado a partir do Centro de Private Link no portal do Azure.

Desativar/ativar sinalizadores de acesso à rede pública

Pode configurar a instância do Azure Digital Twins para negar todas as ligações públicas e permitir apenas ligações através de pontos finais de acesso privado para melhorar a segurança de rede. Esta ação é efetuada com um sinalizador de acesso à rede pública.

Esta política permite-lhe restringir o acesso à API apenas a ligações Private Link. Quando o sinalizador de acesso à rede pública estiver definido como disabled, todas as chamadas à API REST para o plano de dados da instância do Azure Digital Twins a partir da cloud pública irão devolver 403, Unauthorized. Caso contrário, quando a política estiver definida como disabled e um pedido for feito através de um ponto final privado, a chamada à API será efetuada com êxito.

Pode atualizar o valor do sinalizador de rede com a ferramenta de comandos portal do Azure, CLI do Azure ou ARMClient.

Para desativar ou ativar o acesso à rede pública no portal do Azure, abra o portal e navegue para a instância do Azure Digital Twins.

  1. Selecione Rede no menu esquerdo.

  2. No separador Acesso público , defina Permitir acesso à rede pública paraDesativado ou Todas as redes.

    Captura de ecrã do portal do Azure a mostrar a página Rede de uma instância do Azure Digital Twins, realçando como alternar o acesso público.

    Selecione Guardar.

Implementar com modelos do ARM

Também pode configurar Private Link com o Azure Digital Twins através de um modelo do ARM.

Para um modelo de exemplo que permite que uma função do Azure se ligue ao Azure Digital Twins através de um ponto final Private Link, veja Azure Digital Twins com a função do Azure e Private Link (modelo arm).

Este modelo cria uma instância do Azure Digital Twins, uma rede virtual, uma função do Azure ligada à rede virtual e uma ligação Private Link para tornar a instância do Azure Digital Twins acessível à função do Azure através de um ponto final privado.

Resolução de problemas

Seguem-se alguns problemas comuns que podem surgir ao utilizar Private Link com o Azure Digital Twins.

  • Problema: Ao tentar aceder às APIs do Azure Digital Twins, verá um código de erro HTTP 403 com o seguinte erro no corpo da resposta:

    {
        "statusCode": 403,
        "message": "Public network access disabled by policy."
    }
    

    Resolução: Este erro ocorre quando publicNetworkAccess foi desativado para a instância do Azure Digital Twins e espera-se que os pedidos de API sejam recebidos através de Private Link, mas a chamada foi encaminhada através da rede pública (possivelmente através de um balanceador de carga configurado para uma rede virtual). Confirme que o cliente da API está a resolver o IP privado para o ponto final privado ao tentar aceder à API através do nome de anfitrião do ponto final.

    Para facilitar a resolução do nome de anfitrião para o IP privado do ponto final privado numa sub-rede, pode configurar uma zona DNS privada. Verifique se a zona DNS privada está corretamente ligada à rede virtual e utiliza o nome de zona certo, como privatelink.digitaltwins.azure.net.

  • Problema: Ao tentar aceder ao Azure Digital Twins através de um ponto final privado, a ligação excede o limite de tempo.

    Resolução: Verifique se não existem regras de grupo de segurança de rede que proíbam o cliente de comunicar com o ponto final privado e a respetiva sub-rede. A comunicação na porta TCP 443 tem de ser permitida entre a sub-rede/endereço IP de origem do cliente e a sub-rede/endereço IP de destino de ponto final privado.

Para obter mais Private Link sugestões de resolução de problemas, veja Resolver problemas de conectividade do Ponto Final Privado do Azure.

Passos seguintes

Configure rapidamente um ambiente protegido com Private Link através de um modelo do ARM: Azure Digital Twins com a função do Azure e Private Link.

Em alternativa, saiba mais sobre Private Link para o Azure: O que é Azure Private Link serviço?