Поделиться через

Включите частный доступ к Azure Digital Twins с помощью Private Link

  • Статья

Используя Azure Digital Twins вместе с Azure Private Link, вы можете настроить частные конечные точки для экземпляра Azure Digital Twins, чтобы устранить общедоступный доступ и разрешить клиентам, расположенным в виртуальной сети, безопасно получить доступ к экземпляру через Azure Private Link. Дополнительные сведения об этой стратегии безопасности для Azure Digital Twins см. в разделе Private Link с частной конечной точкой для экземпляра Azure Digital Twins.

Ниже перечислены действия, которые подробно описаны в этой статье.

  1. Включите приватный канал и настройте частную конечную точку для экземпляра Azure Digital Twins.
  2. Просмотрите, измените или удалите частную конечную точку из экземпляра Azure Digital Twins.
  3. Отключите или включите флаги доступа для общедоступной сети, чтобы ограничить доступ API для Azure Digital Twins только для подключений Private Link.

В этой статье также содержатся сведения о развертывании Azure Digital Twins с использованием Private Link и шаблона ARM, а также о поиске и устранении неполадок конфигурации.

Предварительные требования

Перед настройкой частной конечной точки вам потребуется Виртуальная сеть Azure, в которой можно развернуть эту точку. Если у вас еще нет виртуальной сети, для ее настройки можно воспользоваться одним из кратких руководств по виртуальной сети Azure.

Добавление частных конечных точек в Azure Digital Twins

Чтобы включить Private Link с частной конечной точкой для экземпляра Azure Digital Twins, можно использовать портал Azure или Azure CLI.

Если вы хотите настроить Private Link в рамках первоначальной настройки экземпляра, необходимо использовать портал Azure. Если вы хотите включить Private Link на экземпляре после его создания, можно использовать портал Azure или Azure CLI. Любой из этих методов создания позволяет получить одинаковые параметры конфигурации и одинаковый результат для вашего экземпляра.

Используйте вкладки в следующих разделах, чтобы выбрать инструкции для предпочитаемого варианта.

Совет

Вы также можете настроить конечную точку через службу Azure Private Link, а не через экземпляр Azure Digital Twins. Это позволяет получить те же параметры конфигурации и тот же конечный результат.

Дополнительные сведения о настройке ресурсов Private Link см. в документации Private Link для портал Azure, Azure CLI, Azure Resource Manager или PowerShell.

Добавьте частную конечную точку при создании экземпляра.

В этом разделе вы создадите частную конечную точку с использованием Private Link в рамках первоначальной настройки экземпляра Azure Digital Twins. Это действие можно выполнить только на портале Azure.

В этом разделе описано, как включить Private Link при настройке экземпляра Azure Digital Twins на портале Azure.

Параметры приватного канала находятся на вкладке Сеть в окне установки экземпляра.

  1. Начните настройку экземпляра Azure Digital Twins на портале Azure. Инструкции см. в статье Настройка экземпляра и аутентификация.

  2. На вкладке Сеть в настройке экземпляра можно включить частные конечные точки, выбрав параметр Частная конечная точка для параметра Метод подключения.

    Это приведет к добавлению раздела " Подключения к частной конечной точке", где можно настроить сведения о частной конечной точке. Нажмите кнопку + Добавить для продолжения.

    Снимок экрана: портал Azure с вкладкой

  3. На открывшейся странице Создание частной конечной точки введите сведения о новой частной конечной точке.

    Снимок экрана: портал Azure, на котором отображается страница

    1. Заполните поле выбора Подписка и Группы ресурсов. Установите для параметра Расположение то же расположение, что и для используемой сети VNet. Выберите Имя конечной точки, а для пункта Целевые подресурсы выберите API.

    2. Затем выберите виртуальную сеть и подсеть, которые хотите использовать для развертывания конечной точки.

    3. В заключение выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS.

    4. После заполнения параметров конфигурации нажмите кнопку ОК для завершения.

  4. После завершения этого процесса портал вернется на вкладку "Сеть " установки экземпляра Azure Digital Twins. Убедитесь, что новая конечная точка отображается в разделе Подключения к частной конечной точке.

    Снимок экрана портала Azure, на котором отображается вкладка

  5. Чтобы продолжить установку экземпляра, используйте кнопки навигации внизу.

Добавьте частную конечную точку к существующему экземпляру

В этом разделе вы включите приватную связь с приватной конечной точкой в уже существующем экземпляре Azure Digital Twins.

  1. Сначала откройте в веб-браузере портал Azure. Откройте экземпляр Azure Digital Twins, выполнив поиск по имени в строке поиска портала.

  2. Выберите "Сеть" в меню слева.

  3. Выберите вкладку Подключения частной конечной точки.

  4. Выберите + Частная конечная точка, чтобы открыть настройку Создание частной конечной точки.

    Снимок экрана: портал Azure, на котором отображается страница

  5. На вкладке "Основы" введите или выберите группу подписок и ресурсов проекта, а также имя и регион для конечной точки. Регион необходимо выбрать тот же, что и регион для используемой виртуальной сети VNet.

    Снимок экрана: портал Azure, на котором показана первая вкладка (основные сведения) диалогового окна

    По завершении нажмите кнопку "Далее: ресурс > ", чтобы перейти на следующую вкладку.

  6. На вкладке Ресурс введите или выберите следующие данные.

    • Метод подключения. Выберите Подключиться к ресурсу Azure в моем каталоге, чтобы найти свой экземпляр Azure Digital Twins.
    • Подписка. Введите свою подписку.
    • Тип ресурса. Выберите Microsoft.DigitalTwins/digitalTwinsInstances.
    • Ресурс. Выберите имя вашего экземпляра Azure Digital Twins.
    • Целевой подресурс. Выберите API.

    Снимок экрана: портал Azure, на котором показана вторая вкладка (Ресурс) диалогового окна

    По завершении нажмите кнопку "Далее: конфигурация > ", чтобы перейти на следующую вкладку.

  7. На вкладке Конфигурация введите или выберите следующие данные.

    • Виртуальная сеть. Выберите виртуальную сеть.
    • Подсеть. Выберите подсеть из вашей виртуальной сети.
    • Интеграция с частной зоной DNS. Выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS. При выборе Да можно оставить сведения о конфигурации по умолчанию.

    Снимок экрана: портал Azure, на котором показана Третья вкладка (Конфигурация) диалогового окна

    По завершении можно нажать кнопку Обзор + создание, чтобы завершить установку.

  8. На вкладке "Рецензирование и создание " просмотрите выбранные элементы и нажмите кнопку "Создать ".

После завершения развертывания конечная точка должна отображаться в подключениях частных конечных точек для вашего экземпляра Azure Digital Twins.

Управление частными конечными точками

Из этого раздела вы узнаете, как просмотреть, изменить и удалить частную конечную точку после ее создания.

После создания частной конечной точки для экземпляра Azure Digital Twins его можно просмотреть на вкладке "Сеть " для экземпляра Azure Digital Twins. На этой странице будут показаны все подключения к частным конечным точкам, связанные с экземпляром.

Снимок экрана с портала Azure, на котором изображена страница

Выберите конечную точку, чтобы просмотреть сведения о ней, внести изменения в ее параметры конфигурации или удалить подключение.

Совет

Конечную точку можно просмотреть в центре Private Link на портале Azure.

Отключение и включение флагов доступа к общедоступной сети

Вы можете настроить экземпляр Azure Digital Twins, чтобы запретить все общедоступные подключения и разрешить только подключения через конечные точки частного доступа, чтобы повысить безопасность сети. Это действие выполняется с помощью флага доступа к общедоступной сети.

Эта политика позволяет ограничить доступ к API только соединениями Private Link. Если установлен флаг доступа к общедоступной сети disabled, все вызовы REST API на уровень данных экземпляра Azure Digital Twins из общедоступного облака будут возвращать 403, Unauthorized. В противном случае при установке disabled политики и выполнении запроса через частную конечную точку вызов API будет выполнен успешно.

Вы можете обновить значение флага сети с помощью портала Azure, Azure CLI или командного инструмента ARMClient.

Чтобы отключить или включить доступ к общедоступной сети на портале Azure, откройте портал и перейдите к своему экземпляру Azure Digital Twins.

  1. Выберите "Сеть" в меню слева.

  2. На вкладке Общий доступ установите переключатель Разрешить доступ к общедоступной сети либо в значение Выключить, либо Все сети.

    Снимок экрана: портал Azure, на котором отображается страница

    Выберите Сохранить.

Развертывание с использованием шаблонов Azure Resource Manager

Вы также можете настроить Private Link с Azure Digital Twins, используя шаблон ARM.

Для получения примера шаблона, который позволяет функции Azure подключаться к Azure Digital Twins через конечную точку Private Link, см. Azure Digital Twins с функцией Azure и Private Link (шаблон ARM).

Этот шаблон создает экземпляр Azure Digital Twins, виртуальную сеть, функцию Azure, подключенную к виртуальной сети, и подключение Private Link, которое делает экземпляр Azure Digital Twins доступным для функции Azure через приватную конечную точку.

Ограничения и устранение неполадок

Ограничение использования Private Link с Azure Digital Twins заключается в том, что кросс-арендаторские сценарии не поддерживаются.

Для устранения неполадок ниже приведены некоторые распространенные проблемы, которые могут возникнуть:

  • Проблема. При попытке доступа к API Azure Digital Twins вы увидите код ошибки HTTP 403 со следующей ошибкой в тексте ответа:

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    Разрешение: Эта ошибка возникает, когда publicNetworkAccess отключен для экземпляра Azure Digital Twins и ожидается, что запросы API будут проходить через Private Link, но вызов был перенаправлен через общедоступную сеть (возможно, через систему балансировки нагрузки, настроенную для виртуальной сети). Убедитесь, что клиент API определяет частный IP-адрес для частной конечной точки при попытке доступа к API через имя узла конечной точки.

    Чтобы упростить разрешение имени узла на частный IP-адрес частной конечной точки в подсети, можно настроить частную зону DNS. Убедитесь, что частная зона DNS правильно связана с виртуальной сетью и использует правильное имя зоны, например privatelink.digitaltwins.azure.net.

  • Проблема. При попытке доступа к Azure Digital Twins через частную конечную точку время ожидания подключения истекает.

    Разрешение. Убедитесь, что нет правил группы безопасности сети, которые запрещают клиенту взаимодействовать с частной конечной точкой и ее подсетью. Должен быть разрешен обмен данными через TCP-порт 443 между IP-адресом источника/подсетью клиента и IP-адресом/подсетью назначения частной конечной точки.

Дополнительные предложения по устранению неполадок Private Link см. в статье Устранение проблем с подключением к частной конечной точке Azure.

Следующие шаги

Быстро настройте защищенную среду с Private Link с помощью шаблона ARM: Azure Digital Twins с функцией Azure и Private Link.

Кроме того, узнайте больше о службе Private Link для Azure: Что такое служба Azure Private Link?