Включите частный доступ к Azure Digital Twins с помощью Private Link

Используя Azure Digital Twins вместе с Azure Private Link, вы можете настроить частные конечные точки для экземпляра Azure Digital Twins, чтобы устранить общедоступный доступ и разрешить клиентам, расположенным в виртуальной сети, безопасно получить доступ к экземпляру через Azure Private Link. Дополнительные сведения об этой стратегии безопасности для Azure Digital Twins см. в разделе Private Link с частной конечной точкой для экземпляра Azure Digital Twins.

Ниже приведены процессы, описанные в этой статье:

Включите приватный канал и настройте частную конечную точку для экземпляра Azure Digital Twins.
Просмотрите, измените или удалите частную конечную точку из экземпляра Azure Digital Twins.
Отключите или включите флаги доступа для общедоступной сети, чтобы ограничить доступ API для Azure Digital Twins только для подключений Private Link.
Развертывание Azure Digital Twins с помощью Private Link и шаблона ARM
Устранение неполадок конфигурации.

Предварительные требования

Прежде чем настроить частную конечную точку, вам потребуется виртуальная сеть Azure, где можно развернуть конечную точку. Если у вас еще нет виртуальной сети, следуйте краткому руководству по настройке виртуальной сети Azure.

Добавление частных конечных точек в Azure Digital Twins

Чтобы включить Private Link с частной конечной точкой для экземпляра Azure Digital Twins, можно использовать портал Azure или Azure CLI.

Если вы хотите настроить Private Link как часть начальной настройки экземпляра, необходимо использовать портал Azure. В противном случае, если вы хотите включить Private Link на экземпляре после его создания, вы можете использовать портал Azure или Azure CLI. Любой из этих методов создания предоставляет одинаковые параметры конфигурации и тот же конечный результат для экземпляра.

Используйте вкладки в следующих разделах, чтобы выбрать инструкции для предпочитаемого интерфейса.

Совет

Вы также можете настроить конечную точку через службу Azure Private Link, а не через экземпляр Azure Digital Twins. Это позволяет получить те же параметры конфигурации и тот же конечный результат.

Дополнительные сведения о настройке ресурсов Private Link см. в документации Private Link для портал Azure, Azure CLI, Azure Resource Manager или PowerShell.

Добавьте частную конечную точку при создании экземпляра.

В этом разделе вы создаете частную конечную точку с Private Link в рамках начальной настройки экземпляра Azure Digital Twins. Это действие можно выполнить только на портале Azure.

Параметры приватного канала находятся на вкладке Сеть в окне установки экземпляра.

Начните настройку экземпляра Azure Digital Twins на портале Azure. Инструкции см. в статье Настройка экземпляра и аутентификация.
На вкладке Сеть в настройке экземпляра можно включить частные конечные точки, выбрав параметр Частная конечная точка для параметра Метод подключения.

При этом добавляется раздел "Подключения к частной конечной точке ", где можно настроить сведения о частной конечной точке. Нажмите кнопку + Добавить для продолжения.
На открывшейся странице Создание частной конечной точки введите сведения о новой частной конечной точке.
1. Заполните поле выбора Подписка и Группы ресурсов. Задайте расположение в том же расположении, что и используемая виртуальная сеть. Выберите Имя конечной точки, а для пункта Целевые подресурсы выберите API.
2. Затем выберите виртуальную сеть и подсеть, которые хотите использовать для развертывания конечной точки.
3. В заключение выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS.
4. После заполнения параметров конфигурации нажмите кнопку ОК для завершения.
После завершения этого процесса портал возвращается на вкладку "Сеть " установки экземпляра Azure Digital Twins. Убедитесь, что новая конечная точка отображается в разделе Подключения к частной конечной точке.
Чтобы продолжить установку экземпляра, используйте кнопки навигации внизу.

Добавьте частную конечную точку к существующему экземпляру

В этом разделе описано, как включить приватный канал с частной конечной точкой для уже существующего экземпляра Azure Digital Twins. Это действие можно выполнить на портале Azure или с помощью Azure CLI.

Портал
CLI

Сначала откройте в веб-браузере портал Azure. Откройте экземпляр Azure Digital Twins, найдя его имя в строке поиска портала.
Выберите "Параметры > сети" в меню слева.
Выберите вкладку Подключения частной конечной точки.
Выберите + Частная конечная точка, чтобы открыть настройку Создание частной конечной точки.
На вкладке "Основные сведения" введите или выберите группуподписок и ресурсов проекта, а также имя, имя сетевого интерфейса (можно использовать значения по умолчанию, заполняемые) и регион для конечной точки. Регион необходимо выбрать тот же, что и регион для используемой виртуальной сети VNet.

По завершении нажмите кнопку "Далее: ресурс > ", чтобы перейти на следующую вкладку.
На вкладке Ресурс введите или выберите следующие данные.
- Метод подключения. Выберите Подключиться к ресурсу Azure в моем каталоге, чтобы найти свой экземпляр Azure Digital Twins.
- Подписка. Введите свою подписку.
- Тип ресурса. Выберите Microsoft.DigitalTwins/digitalTwinsInstances.
- Ресурс. Выберите имя вашего экземпляра Azure Digital Twins.
- Целевой подресурс. Выберите API.
По завершении нажмите кнопку "Далее: виртуальная сеть > ", чтобы перейти на следующую вкладку.
На вкладке "Виртуальная сеть" введите или выберите следующие сведения:
- Виртуальная сеть. Выберите виртуальную сеть.
- Подсеть. Выберите подсеть из вашей виртуальной сети.
- Политика сети для частных конечных точек: включение или отключение. Дополнительные сведения см. в разделе "Управление политиками сети для частных конечных точек".
- Конфигурация частного IP-адреса: выберите, следует ли динамически выделять IP-адрес или статически выделять его с частным IP-адресом.
- Группа безопасности приложений. Настройка сведений о безопасности по мере необходимости. Дополнительные сведения см. в разделе "Группы безопасности приложений".
Нажмите кнопку "Далее: DNS".
В разделе DNS оставьте значения по умолчанию. Нажмите Далее: Теги, затем Далее: Проверка и создание.
На вкладке "Рецензирование и создание " просмотрите выбранные элементы и нажмите кнопку "Создать ".

После завершения развертывания конечной точки он отображается в подключениях к частной конечной точке для экземпляра Azure Digital Twins.

Чтобы создать частную конечную точку и связать ее с экземпляром Azure Digital Twins с помощью Azure CLI, используйте команду az network private-endpoint create. Идентифицируйте экземпляр Azure Digital Twins с помощью полного идентификатора в параметре --private-connection-resource-id.

Ниже приведен пример, использующий команду для создания частной конечной точки с обязательными параметрами. Он содержит заполнители для имен ваших ресурсов.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>"

Полный список обязательных и необязательных параметров, а также примеры создания частных конечных точек см. в справочной документации по az network private-endpoint.

Управление частными конечными точками

В этом разделе показано, как просматривать, изменять и удалять частную конечную точку после ее создания. Эти действия можно выполнить на портале Azure или с помощью Azure CLI.

Портал
CLI

После создания частной конечной точки для экземпляра Azure Digital Twins его можно просмотреть на странице "Параметры > сети " для экземпляра Azure Digital Twins. На этой странице показаны все подключения к частной конечной точке, связанные с экземпляром.

Выберите конечную точку, чтобы просмотреть сведения о ней, внести изменения в ее параметры конфигурации или удалить подключение.

Совет

Конечную точку можно просмотреть в центре Private Link на портале Azure.

Отключение и включение флагов доступа к общедоступной сети

Вы можете настроить экземпляр Azure Digital Twins, чтобы запретить все общедоступные подключения и разрешить только подключения через конечные точки частного доступа, чтобы повысить безопасность сети. Это действие выполняется с помощью флага доступа к общедоступной сети.

Эта политика позволяет ограничить доступ к API только соединениями Private Link. Если установлен флаг доступа к общедоступной сети disabled, все вызовы REST API к данным экземпляра Azure Digital Twins из общедоступного облака возвращаются 403, Unauthorized. В противном случае, если политика задана disabled и запрос выполняется через частную конечную точку, вызов API завершается успешно.

Вы можете обновить значение флага сети с помощью портала Azure, Azure CLI или командного инструмента ARMClient.

Чтобы отключить или включить доступ к общедоступной сети на портале Azure, откройте портал и перейдите к своему экземпляру Azure Digital Twins.

Выберите "Параметры > сети" в меню слева.
На вкладке Общий доступ установите переключатель Разрешить доступ к общедоступной сети либо в значение Выключить, либо Все сети.

Выберите Сохранить.

В Azure CLI можно отключить или включить доступ к общедоступной сети, добавив --public-network-access параметр в команду az dt create. Хотя эта команда может использоваться для создания нового экземпляра, также ее можно использовать для изменения свойств существующего экземпляра, указав для него имя уже существующего экземпляра. (Дополнительные сведения об этой команде см. в справочной документации или общих инструкциях по настройке экземпляра Azure Digital Twins).

Чтобы отключить доступ к общедоступной сети для экземпляра Azure Digital Twins, используйте --public-network-access следующий параметр:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Чтобы включить доступ к общедоступной сети в экземпляре, в котором он сейчас отключен, используйте следующую команду:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

С помощью средства командной команды ARMClient доступ к общедоступной сети включен или отключен с помощью следующих команд.

Чтобы Отключить доступ к общедоступной сети, выполните следующие действия.

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"

Чтобы Включить доступ к общедоступной сети, выполните следующие действия.

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"

Развертывание с использованием шаблонов Azure Resource Manager

Вы также можете настроить Private Link с Azure Digital Twins, используя шаблон ARM.

Для получения примера шаблона, который позволяет функции Azure подключаться к Azure Digital Twins через конечную точку Private Link, см. Azure Digital Twins с функцией Azure и Private Link (шаблон ARM).

Этот шаблон создает экземпляр Azure Digital Twins, виртуальную сеть, функцию Azure, подключенную к виртуальной сети, и подключение Private Link, которое делает экземпляр Azure Digital Twins доступным для функции Azure через приватную конечную точку.

Ограничения и устранение неполадок

Ограничение использования Private Link с Azure Digital Twins заключается в том, что межарендаторские сценарии не поддерживаются.

Для устранения неполадок ниже приведены некоторые решения распространенных проблем:

Выпуск: При попытке получить доступ к API Azure Digital Twins вы увидите код ошибки HTTP 403 со следующей ошибкой в тексте ответа:
```
{
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}
```
Резолюция: Эта ошибка возникает, когда publicNetworkAccess отключено для экземпляра Azure Digital Twins, и ожидается, что запросы API будут поступать через приватное соединение, однако вызов был перенаправлен через общедоступную сеть (возможно, через балансировщик нагрузки, настроенный для виртуальной сети). Убедитесь, что клиент API определяет частный IP-адрес для частной конечной точки при попытке доступа к API через имя узла конечной точки.

Чтобы упростить разрешение имени узла на частный IP-адрес частной конечной точки в подсети, можно настроить частную зону DNS. Убедитесь, что частная зона DNS правильно связана с виртуальной сетью и использует правильное имя зоны, например privatelink.digitaltwins.azure.net.
Проблема: При попытке доступа к Azure Digital Twins через частную конечную точку время ожидания подключения истекает.

Разрешение. Убедитесь, что нет правил группы безопасности сети, которые запрещают клиенту взаимодействовать с частной конечной точкой и ее подсетью. Должен быть разрешен обмен данными через TCP-порт 443 между IP-адресом источника/подсетью клиента и IP-адресом/подсетью назначения частной конечной точки.

Дополнительные предложения по устранению неполадок Private Link см. в статье Устранение проблем с подключением к частной конечной точке Azure.

Следующие шаги

Быстро настройте защищенную среду с Private Link с помощью шаблона ARM: Azure Digital Twins с функцией Azure и Private Link.

Кроме того, узнайте больше о службе Private Link для Azure: Что такое служба Azure Private Link?

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-06-19

Поделиться через

Получение дополнительной информации о Private Link.