Aktivieren des privaten Zugriffs auf Azure Digital Twins mithilfe von Private Link

Wenn Sie Azure Digital Twins mit Azure Private Link verwenden, können Sie private Endpunkte für Ihre Azure Digital Twins-Instanz aktivieren, um die öffentliche Exposition zu vermeiden und Clients in Ihrem virtuellen Netzwerk den sicheren Zugriff auf die Instanz über Private Link zu ermöglichen. Weitere Informationen zu dieser Sicherheitsstrategie für Azure Digital Twins finden Sie unter Zugriff auf private Netzwerke mit Azure Private Link.

Die folgenden Schritte werden in diesem Artikel behandelt:

1. Aktivieren Sie Private Link, und konfigurieren Sie einen privaten Endpunkt für eine Azure Digital Twins-Instanz.
2. Zeigen Sie einen privaten Endpunkt einer Azure Digital Twins-Instanz an, und bearbeiten oder löschen Sie den Endpunkt.
3. Deaktivieren oder aktivieren Sie Flags für den öffentlichen Netzwerkzugriff, um den API-Zugriff für eine Azure Digital Twins-Instanz nur auf Private Link-Verbindungen zu beschränken.

Dieser Artikel enthält auch Informationen zum Bereitstellen von Azure Digital Twins mit Private Link mithilfe einer ARM-Vorlage sowie zur Problembehandlung bei der Konfiguration.

Voraussetzungen

Bevor Sie einen privaten Endpunkt einrichten können, benötigen Sie eine Azure Virtual Network-Instanz (virtuelles Netzwerk) , in dem der Endpunkt bereitgestellt werden kann. Wenn Sie noch nicht über ein virtuelles Netzwerk verfügen, können Sie einen Schnellstart für Azure Virtual Network durchlaufen, um eines einzurichten.

Hinzufügen von privaten Endpunkten zu Azure Digital Twins

Sie können entweder das Azure-Portal oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden, um Private Link mit einem privaten Endpunkt für eine Azure Digital Twins-Instanz zu aktivieren.

Wenn Sie Private Link bei der Ersteinrichtung der Instanz einrichten möchten, müssen Sie das Azure-Portal verwenden. Wenn Sie andernfalls die Private Link einer Instanz aktivieren möchten, nachdem sie erstellt wurde, können Sie entweder die Azure-Portal oder die Azure CLI. Die Konfigurationsoptionen und das Endergebnis für Ihre Instanz sind bei beiden Erstellungsmethoden identisch.

Wählen Sie in den folgenden Abschnitten die Registerkarte „Portal“ oder „CLI“ aus, um die Anweisungen für Ihre bevorzugte Methode anzuzeigen.

Tipp

Sie können einen Private Link-Endpunkt auch über den Private Link-Dienst einrichten, anstatt über Ihre Azure Digital Twins-Instanz. Dies bietet Ihnen dieselben Konfigurationsoptionen und dasselbe Endergebnis.

Weitere Informationen zum Einrichten von Private Link-Ressourcen finden Sie in der Private Link-Dokumentation für das Azure-Portal, die Azure CLI, Azure Resource Manager oder PowerShell.

Hinzufügen eines privaten Endpunkts beim Erstellen der Instanz

In diesem Abschnitt erstellen Sie einen privaten Endpunkt mit Private Link im Rahmen der Ersteinrichtung einer Azure Digital Twins-Instanz. Dieser Vorgang kann nur im Azure-Portal ausgeführt werden.

Portal

In diesem Abschnitt wird beschrieben, wie Sie Private Link beim Einrichten einer Azure Digital Twins-Instanz im Azure-Portal aktivieren.

Die Private Link-Optionen finden Sie auf der Registerkarte Netzwerk des Instanzsetups.

1. Beginnen Sie mit dem Einrichten einer Azure Digital Twins-Instanz im Azure-Portal. Befolgen Sie dazu die Anweisungen unter Einrichten einer Instanz und der Authentifizierung.

2. Auf der Registerkarte Netzwerk im Einrichtungsprozess für die Instanz können Sie private Endpunkte aktivieren, indem Sie die Option Privater Endpunkt als Verbindungsmethode auswählen.

   Dadurch wird ein Abschnitt namens Private Endpunktverbindungen hinzugefügt, in dem Sie die Details Ihres privaten Endpunkts konfigurieren können. Klicken Sie auf + Hinzufügen, um fortzufahren.

   

3. Die Seite Privaten Endpunkt erstellen wird geöffnet. Geben Sie die Details eines neuen privaten Endpunkts ein.

   

   1. Wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus. Legen Sie denselben Standort fest, den Ihr virtuelles Netzwerk aufweist. Geben Sie einen Namen für den Endpunkt ein, und wählen Sie für Target sub-resources (Untergeordnete Zielressourcen) die Option API aus.

   2. Wählen Sie als Nächstes das virtuelle Netzwerk und Subnetz aus, die Sie zum Bereitstellen des Endpunkts verwenden möchten.

   3. Entscheiden Sie zuletzt, ob Sie die Integration mit einer privaten DNS-Zone verwenden möchten. Sie können die Standardoption Ja verwenden, oder dem Link im Portal verwenden, um mehr über die private DNS-Integration zu erfahren.

   4. Nachdem Sie die Konfigurationsoptionen ausgefüllt haben, wählen Sie OK aus, um den Vorgang abzuschließen.

4. Nachdem Sie diesen Vorgang abgeschlossen haben, werden Sie im Portal zur Registerkarte Netzwerk des Setups Azure Digital Twins Instanz zurück. Vergewissern Sie sich, dass Ihr neuer Endpunkt unter Verbindungen mit privatem Endpunkt angezeigt wird.

   

5. Verwenden Sie die unteren Navigationsschaltflächen, um mit der Einrichtung der Instanz fortzufahren.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Sie können während der Instanzerstellung mit der Azure CLI keinen Private Link-Endpunkt hinzufügen.

Sie können zum Azure-Portal wechseln, um den Endpunkt während der Erstellung der Instanz hinzuzufügen, oder mit dem nächsten Abschnitt fortfahren, um nach dem Erstellen der Instanz mithilfe der CLI einen privaten Endpunkt hinzuzufügen.

Hinzufügen eines privaten Endpunkts zu einer vorhandenen Instanz

In diesem Abschnitt aktivieren Sie Private Link mit einem privaten Endpunkt für eine Azure Digital Twins-Instanz, die bereits vorhanden ist.

Portal

1. Öffnen Sie zunächst das Azure-Portal in einem Browser. Rufen Sie Ihre Azure Digital Twins-Instanz auf, indem Sie mithilfe der Suchleiste des Portals nach ihrem Namen suchen.

2. Wählen Sie im linken Menü die Option Netzwerk aus.

3. Wechseln Sie zur Registerkarte Privater Endpunktverbindungen.

4. Klicken Sie auf + Privater Endpunkt, um das Dialogfeld Privaten Endpunkt erstellen zu öffnen.

   

5. Geben Sie auf dem Tab Grundlagen das Abonnement und die Ressourcengruppe Ihres Projekts, sowie einen Namen und eine Region ein oder wählen Sie aus für Ihren Endpunkt. Die Region muss mit der Region des verwendeten virtuellen Netzwerks übereinstimmen.

   

   Wenn Sie fertig sind, wählen Sie die Schaltfläche Weiter: Ressource aus, um zur nächsten Registerkarte zu wechseln.

6. Geben Sie auf der Registerkarte Ressource diese Informationen ein, oder wählen Sie sie aus:

   • Verbindungsmethode: Klicken Sie auf Connect to an Azure resource in my directory (Verbindung mit einer Azure-Ressource in meinem Verzeichnis herstellen), um nach Ihrer Azure Digital Twins-Instanz zu suchen.
   • Abonnement: Geben Sie Ihr Abonnement an.
   • Ressourcentyp: Wählen Sie die Option Microsoft.DigitalTwins/digitalTwinsInstances aus.
   • Ressource: Wählen Sie den Namen Ihrer Azure Digital Twins-Instanz aus.
   • Target sub-resource (Untergeordnete Zielressourcen): Wählen Sie die Option API aus.

   

   Wenn Sie fertig sind, wählen Sie die Schaltfläche Weiter: Konfiguration aus, um zur nächsten Registerkarte zu wechseln.

7. Geben Sie diese Informationen auf der Registerkarte Konfiguration ein, oder wählen Sie sie aus:

   • Virtuelles Netzwerk: Wählen Sie Ihr virtuelles Netzwerk aus.
   • Subnetz: Wählen Sie ein Subnetz Ihres virtuellen Netzwerks aus.
   • Integration in eine private DNS-Zone: Entscheiden Sie, ob Sie die Integration mit einer privaten DNS-Zone verwenden möchten. Sie können die Standardoption Ja verwenden, oder dem Link im Portal verwenden, um mehr über die private DNS-Integration zu erfahren. Wenn Sie Ja auswählen möchten, können Sie die Standardoption beibehalten.

   

   Wenn Sie fertig sind, können Sie auf Überprüfen und erstellen klicken, um das Setup abzuschließen.

8. Überprüfen Sie auf dem Tab Überprüfen + erstellen Ihre Auswahl und klicken Sie auf die Schaltfläche Erstellen.

Wenn die Bereitstellung des Endpunkts abgeschlossen ist, sollte dieser unter den privaten Endpunktverbindungen für Ihre Azure Digital Twins-Instanz angezeigt werden.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Verwenden Sie den Befehl az network private-endpoint create, um mithilfe der Azure CLI einen privaten Endpunkt zu erstellen und mit einer Azure Digital Twins-Instanz zu verknüpfen. Identifizieren Sie die Azure Digital Twins-Instanz mithilfe ihrer vollqualifizierten ID im Parameter --private-connection-resource-id.

Im folgenden Beispiel wird der Befehl verwendet, um einen privaten Endpunkt mit nur den erforderlichen Parametern zu erstellen.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Eine vollständige Liste der erforderlichen und optionalen Parameter sowie weitere Beispiele zur Erstellung privater Endpunkte finden Sie in der Referenzdokumentation zu az network private-endpoint create.

Verwalten von privaten Endpunkten

In diesem Abschnitt erfahren Sie, wie Sie einen privaten Endpunkt anzeigen, bearbeiten und löschen, nachdem er erstellt wurde.

Portal

Nachdem ein privater Endpunkt für Ihre Azure Digital Twins-Instanz erstellt wurde, können Sie diesen auf der Registerkarte Netzwerk für Ihre Azure Digital Twins-Instanz anzeigen. Auf dieser Seite werden alle Verbindungen mit privaten Endpunkten angezeigt, die der Instanz zugeordnet sind.

Wählen Sie den Endpunkt aus, um detaillierte Informationen anzuzeigen, Änderungen an den Konfigurationseinstellungen vorzunehmen oder die Verbindung zu löschen.

Tipp

Der Endpunkt kann auch über Private Link Center im Azure-Portal angezeigt werden.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Sobald ein privater Endpunkt für Ihre Azure Digital Twins-Instanz erstellt wurde, können Sie den Befehl az dt network private-endpoint connection verwenden, um mit der Verwaltung privater Endpunktverbindungen in Bezug auf die Instanz fortzufahren. Folgende Vorgänge sind möglich:

• Anzeigen einer privaten Endpunktverbindung
• Festlegen des Zustands der privaten Endpunktverbindung
• Löschen der privaten Endpunktverbindung
• Auflisten aller privaten Endpunktverbindungen für eine Instanz

Weitere Informationen und Beispiele finden Sie in der Referenzdokumentation zu az dt network private-endpoint.

Weitere Informationen zu Private Link

Sie können weitere Informationen zum Private Link-Status Ihrer Instanz mithilfe des Befehls az dt network private-link abrufen. Folgende Vorgänge sind möglich:

• Auflisten privater Verbindungen einer Azure Digital Twins-Instanz
• Anzeigen einer privaten Verbindung der Instanz

Weitere Informationen und Beispiele finden Sie in der Referenzdokumentation zu az dt network private-link.

Deaktivieren und Aktivieren von Zugriffsflags für das öffentliche Netzwerk

Sie können Ihre Azure Digital Twins-Instanz so konfigurieren, dass alle öffentlichen Verbindungen verweigert und nur Verbindungen über private Zugriffsendpunkte zugelassen werden, um die Netzwerksicherheit zu erhöhen. Diese Aktion erfolgt mithilfe eines Zugriffsflags für das öffentliche Netzwerk.

Mithilfe dieser Richtlinie können Sie den API-Zugriff auf Private Link-Verbindungen einschränken. Wenn das Flag für den öffentlichen Netzwerkzugriff auf disabled festgelegt ist, geben alle REST-API-Aufrufe der Azure Digital Twins-Instanzdatenebene über die öffentliche Cloud den Wert 403, Unauthorized zurück. Wenn die Richtlinie auf disabled festgelegt ist und eine Anforderung über einen privaten Endpunkt erfolgt, ist der API-Aufruf erfolgreich.

Sie können den Wert des Netzwerkflags im Azure-Portal, mit der Azure CLI oder mit dem ARMClient-Befehlstool ändern.

Portal

Zum Deaktivieren oder Aktivieren des öffentlichen Netzwerkzugriffs über das Azure-Portal öffnen Sie das Portal, und navigieren Sie zu Ihrer Azure Digital Twins-Instanz.

1. Wählen Sie im linken Menü die Option Netzwerk aus.

2. Legen Sie auf der Registerkarte Öffentlicher Zugriff für Allow public network access to (Öffentlichen Netzwerkzugriff zulassen auf) entweder Deaktiviert oder Alle Netzwerke fest.

   

   Wählen Sie Speichern aus.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

In der Azure CLI können Sie den öffentlichen Netzwerkzugriff deaktivieren oder aktivieren, indem Sie einen --public-network-access-Parameter zum az dt create-Befehl hinzufügen. Obwohl dieser Befehl auch zum Erstellen einer neuen Instanz verwendet werden kann, können Sie ihn zum Bearbeiten der Eigenschaften einer vorhandenen Instanz verwenden, indem Sie den Namen einer bereits vorhandenen Instanz angeben. (Weitere Informationen zu diesem Befehl finden Sie in der zugehörigen Referenzdokumentation oder in den allgemeinen Anweisungen zum Einrichten einer Azure Digital Twins-Instanz.)

Verwenden Sie den Parameter --public-network-access wie folgt, um den öffentlichen Netzwerkzugriff für eine Azure Digital Twins-Instanz zu deaktivieren:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Verwenden Sie den folgenden ähnlichen Befehl, um den öffentlichen Netzwerkzugriff für eine Instanz zu aktivieren, für die er derzeit deaktiviert ist:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Mit dem ARMClient-Befehlstool können Sie den öffentlichen Netzwerkzugriff mithilfe der folgenden Befehle aktivieren oder deaktivieren.

So deaktivieren Sie den öffentlichen Netzwerkzugriff:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

So aktivieren Sie den öffentlichen Netzwerkzugriff:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Bereitstellen mit ARM-Vorlagen

Sie können auch Private Link mit Azure Digital Twins mithilfe einer ARM-Vorlage einrichten.

Eine Beispielvorlage, mit der eine Azure-Funktion über einen Private Link-Endpunkt eine Verbindung mit Azure Digital Twins herstellen kann, finden Sie unter Azure Digital Twins mit Azure-Funktion und Private Link (ARM-Vorlage).

Diese Vorlage erstellt eine Azure Digital Twins-Instanz, ein virtuelles Netzwerk, eine mit dem virtuellen Netzwerk verbundene Azure-Funktion und eine Private Link-Verbindung, damit die Azure-Funktion über einen privaten Endpunkt auf die Azure Digital Twins-Instanz zugreifen kann.

Problembehandlung

Nachfolgend sind einige häufige Probleme aufgeführt, die beim Verwenden von Private Link mit Azure Digital Twins auftreten können.

• Problem: Wenn Sie versuchen, auf Azure Digital Twins-APIs zuzugreifen, wird der HTTP-Fehlercode 403 mit dem folgenden Fehler im Antworttext angezeigt:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Lösung: Dieser Fehler tritt auf, wenn publicNetworkAccess für die Azure Digital Twins-Instanz deaktiviert wurde und API-Anforderungen über Private Link erwartet werden, der Aufruf jedoch über das öffentliche Netzwerk (möglicherweise über einen für ein virtuelles Netzwerk konfigurierten Lastenausgleich) weitergeleitet wurde. Stellen Sie sicher, dass Ihr API-Client die private IP-Adresse für den privaten Endpunkt auflöst, wenn Sie versuchen, über den Endpunkthostnamen auf die API zuzugreifen.

  Um die Hostnamenauflösung in die private IP-Adresse des privaten Endpunkts in einem Subnetz zu vereinfachen, können Sie eine private DNS-Zone konfigurieren. Vergewissern Sie sich, dass die private DNS-Zone ordnungsgemäß mit dem virtuellen Netzwerk verknüpft ist und dass der richtige Zonenname (z. B. privatelink.digitaltwins.azure.net) verwendet wird.

• Problem: Wenn Sie versuchen, über einen privaten Endpunkt auf Azure Digital Twins zuzugreifen, tritt bei der Verbindung eine Zeitüberschreitung auf.

  Lösung: Stellen Sie sicher, dass keine Regeln für Netzwerksicherheitsgruppen vorhanden sind, die verhindern, dass der Client mit dem privaten Endpunkt und seinem Subnetz kommuniziert. Die Kommunikation über TCP-Port 443 muss zwischen der IP-Quelladresse/dem Subnetz des Clients und der IP-Adresse/dem Subnetz des privaten Endpunktziels zulässig sein.

Weitere Vorschläge zur Problembehandlung bei Private Link finden Sie unter Behandeln von Problemen mit der Konnektivität privater Azure-Endpunkte.

Nächste Schritte

Richten Sie schnell eine geschützte Umgebung mit Private Link mithilfe einer ARM-Vorlage ein: Azure Digital Twins mit Azure-Funktion und Private Link.

Oder erfahren Sie mehr über Private Link für Azure: Was ist der Azure Private Link-Dienst?