Privaten Zugang für TSI mit Private Link aktivieren (Vorschau)

  • Artikel

Hinweis

Der TSI-Dienst (Time Series Insights) wird nach März 2025 nicht mehr unterstützt. Erwägen Sie, vorhandene TSI-Umgebungen so bald wie möglich zu alternativen Lösungen zu migrieren. Weitere Informationen zur Einstellung und Migration finden Sie in unserer Dokumentation.

Dieser Artikel beschreibt das Aktivieren von Private Link mit einem privaten Endpunkt für eine Azure Time Series Insights Gen2-Umgebung (derzeit in der Vorschau). Die Konfiguration eines privaten Endpunkts für Ihre Azure Time Series Insights Gen2-Umgebung ermöglicht es Ihnen, Ihre Azure Time Series Insights-Umgebung zu sichern und die öffentliche Exposition zu beseitigen sowie Datenexfiltration aus Ihrem Azure Virtual Network (VNet) zu vermeiden.

In diesem Artikel wird die Vorgehensweise mit dem Azure-Portal beschrieben.

Die folgenden Schritte werden in diesem Artikel behandelt:

  1. Einschalten der Private Link-Verbindung und Konfigurieren eines privaten Endpunkts für eine Time Series Insights Gen2-Umgebung.
  2. Deaktivieren oder aktivieren Sie die Flags für den Zugang zum öffentlichen Netz, um den Zugang nur auf Private Link-Verbindungen zu beschränken.

Hinweis

Beachten Sie, dass Private Link für eine Ereignisquelle nicht unterstützt wird. Schränken Sie den öffentlichen Internetzugriff nicht auf einen Hub oder eine Ereignisquelle ein, der bzw. die von Time Series Insights verwendet wird.

Voraussetzungen

Bevor Sie einen privaten Endpunkt einrichten können, benötigen Sie eine Azure Virtual Network-Instanz (virtuelles Netzwerk), in dem der Endpunkt bereitgestellt werden kann. Wenn Sie noch nicht über ein virtuelles Netzwerk verfügen, können Sie einen Schnellstart für Azure Virtual Network durchlaufen, um eines einzurichten.

Hinzufügen eines privaten Endpunkts für eine Azure Time Series Insights Gen2-Umgebung

Bei Verwendung des Azure-Portals können Sie die Private Link-Verbindung mit einem privaten Endpunkt für eine Azure Time Series Insights Gen2-Umgebung als Teil der Ersteinrichtung der Umgebung aktivieren oder sie später für eine bereits vorhandene Umgebung aktivieren.

Beide Erstellungsmethoden bieten die gleichen Konfigurationsoptionen und das gleiche Endergebnis für Ihre Umgebung. In diesem Abschnitt werden beide Vorgehensweisen beschrieben.

Tipp

Sie können einen Private Link-Endpunkt auch über den Private Link-Dienst einrichten, anstatt über Ihre Azure Time Series Insights Gen2-Umgebung. Dies bietet Ihnen dieselben Konfigurationsoptionen und dasselbe Endergebnis.

Weitere Informationen zum Einrichten von Private Link-Ressourcen finden Sie in der Private Link-Dokumentation zum Azure-Portal, zur Azure CLI, zu ARM oder PowerShell.

Hinzufügen eines privaten Endpunkts während der Umgebungserstellung

In diesem Abschnitt werden Sie Private Link mit einem privaten Endpunkt in einer Azure Time Series Insights Gen2-Umgebung aktivieren, die gerade erstellt wird. Dieser Abschnitt fokussiert sich auf den Netzwerkschritt des Erstellungsprozesses; eine vollständige Anleitung zur Erstellung einer neuen Azure Time Series Insights Gen2-Umgebung finden Sie unter Vorgehensweise: Einrichten einer Umgebung.

Die Optionen für die Private Link-Verbindung befinden sich auf der Registerkarte Networking der Umgebungseinrichtung.

Auf dieser Registerkarte können Sie private Endpunkte aktivieren, indem Sie die Option Privater Endpunkt als Verbindungsmethode auswählen.

Dadurch wird ein Abschnitt namens Private Endpunktverbindungen hinzugefügt, in dem Sie die Details Ihres privaten Endpunkts konfigurieren können. Klicken Sie auf + Hinzufügen, um fortzufahren.

Screenshot of the Azure portal showing the Networking tab of the Create Resource dialog for Time Series Insights Gen2. There's a highlight around the tab name, the Private endpoint option for Connectivity method, and the + Add button to create a new private endpoint connection.

Daraufhin wird eine Seite geöffnet, auf der Sie die Details des neuen privaten Endpunkts eingeben können.

Screenshot of the Azure portal showing the Create private endpoint page. It contains the fields described below.

  1. Wählen Sie Ihr Abonnement und Ihre Ressourcengruppe aus. Legen Sie denselben Standort fest, den Ihr virtuelles Netzwerk aufweist. Wählen Sie einen Namen für den Endpunkt, und für Ziel-Subressourcen wählen Sie Umgebung oder tsiExplorer.

  2. Wählen Sie als Nächstes das virtuelle Netzwerk und Subnetz aus, die Sie zum Bereitstellen des Endpunkts verwenden möchten.

  3. Entscheiden Sie zuletzt, ob Sie die Integration mit einer privaten DNS-Zone verwenden möchten. Sie können die Standardoption Ja verwenden, oder dem Link im Portal verwenden, um mehr über die private DNS-Integration zu erfahren.

Nachdem Sie die Konfigurationsoptionen ausgewählt haben, klicken Sie auf OK.

Daraufhin kehren Sie zur Registerkarte Netzwerk der Azure Time Series Insights Gen2-Umgebung zurück, wo Ihr neuer Endpunkt unter Private Endpunktverbindungen sichtbar sein sollte.

Sie können dann die unteren Navigationsschaltflächen verwenden, um mit dem Rest der Umgebungseinrichtung fortzufahren.

Hinzufügen eines privaten Endpunkts zu einer bestehenden Umgebung

In diesem Abschnitt aktivieren Sie die private Verbindung mit einem privaten Endpunkt für eine bereits vorhandene Azure Time Series Insights Gen2-Umgebung.

  1. Öffnen Sie zunächst das Azure-Portal in einem Browser. Rufen Sie Ihre Azure Time Series Insights Gen2-Umgebung auf, indem Sie in der Suchleiste des Portals nach ihrem Namen suchen.

  2. Klicken Sie im linken Menü auf Netzwerk (Vorschau).

  3. Wechseln Sie zur Registerkarte Privater Endpunktverbindungen.

  4. Klicken Sie auf + Privater Endpunkt, um das Dialogfeld Privaten Endpunkt erstellen zu öffnen.

    Screenshot of the Azure portal showing the Networking (preview) page for an Azure Time Series Insights Gen2 environment. The Private endpoint connections tab is highlighted, and the + Private endpoint button is also highlighted.

  5. Geben Sie auf dem Tab Grundlagen das Abonnement und die Ressourcengruppe Ihres Projekts, sowie einen Namen und eine Region ein oder wählen Sie aus für Ihren Endpunkt. Die Region muss mit der Region des verwendeten virtuellen Netzwerks übereinstimmen.

    Screenshot of the Azure portal showing the first (Basics) tab of the Create a private endpoint dialog. It contains the fields described above.

    Wenn Sie fertig sind, wählen Sie die Schaltfläche Weiter: Ressource > aus, um zur nächsten Registerkarte zu wechseln.

  6. Geben Sie auf der Registerkarte Ressource diese Informationen ein, oder wählen Sie sie aus:

    • Verbindungsmethode:Wählen Sie Mit einer Azure-Ressource in meinem Verzeichnis verbinden aus, um nach Ihrer Azure Time Series Insights Gen2-Umgebung zu suchen.
    • Abonnement: Geben Sie Ihr Abonnement ein.
    • Ressourcentyp: Wählen Sie Microsoft.TimeSeriesInsights/environments aus
    • Ressource: Wählen Sie den Namen Ihrer Azure Time Series Insights Gen2-Umgebung aus.
    • Zielunterressource: Wählen Sie Umgebung oder tsiExploreraus.

    Screenshot of the Azure portal showing the second (Resource) tab of the Create a private endpoint dialog. It contains the fields described above.

    Wenn Sie fertig sind, wählen Sie die Schaltfläche Weiter: Konfiguration> aus, um zur nächsten Registerkarte zu wechseln.

  7. Geben Sie diese Informationen auf der Registerkarte Konfiguration ein, oder wählen Sie sie aus:

    • Virtuelles Netzwerk: Wählen Sie Ihr virtuelles Netzwerk aus.
    • Subnetz: Wählen Sie ein Subnetz aus Ihrem virtuellen Netzwerk aus.
    • Integration in private DNS-Zone: Wählen Sie aus, ob sie in die private DNS-Zone integriert werden sollen. Sie können die Standardoption Ja verwenden, oder dem Link im Portal verwenden, um mehr über die private DNS-Integration zu erfahren. Wenn Sie Ja auswählen möchten, können Sie die Standardoption beibehalten.

    Screenshot of the Azure portal showing the third (Configuration) tab of the Create a private endpoint dialog. It contains the fields described above.

    Wenn Sie fertig sind, können Sie auf Überprüfen und erstellen klicken, um das Setup abzuschließen.

  8. Überprüfen Sie auf dem Tab Überprüfen + erstellen Ihre Auswahl und klicken Sie auf die Schaltfläche Erstellen.

Wenn die Bereitstellung des Endpunkts abgeschlossen ist, sollte er in den privaten Endpunktverbindungen für Ihre Azure Time Series Insights Gen2-Umgebung angezeigt werden.

Tipp

Der Endpunkt kann auch über Private Link Center im Azure-Portal angezeigt werden.

Deaktivieren und Aktivieren von Zugriffsflags für das öffentliche Netzwerk

Sie können Ihre Azure Time Series Insights Gen2-Umgebung so konfigurieren, dass alle öffentlichen Verbindungen verweigert und nur Verbindungen über private Endpunkte zugelassen werden, um die Sicherheit des Netzes zu erhöhen. Diese Aktion erfolgt mithilfe eines Zugriffsflags für das öffentliche Netzwerk.

Mit dieser Richtlinie können Sie den Zugriff nur auf Private Link-Verbindungen beschränken. Wenn das Zugriffsflag für das öffentliche Netzwerk auf deaktiviert gesetzt ist, kommen alle REST-API-Aufrufe an die Datenebene der Azure Time Series Insights Gen2-Umgebung aus der öffentlichen Cloud zurück403, Unauthorized. Wenn die Richtlinie auf deaktiviert festgelegt ist und eine Anforderung über einen privaten Endpunkt erfolgt, ist der API-Aufruf erfolgreich.

Um den Zugriff auf öffentliche Netze im Azure-Portal zu deaktivieren oder zu aktivieren, öffnen Sie das Portal und navigieren Sie zu Ihrer Azure Time Series Insights Gen2-Umgebung.

  1. Klicken Sie im linken Menü auf Netzwerk (Vorschau).

  2. Legen Sie auf der Registerkarte Öffentlicher Zugriff für Allow public network access to (Öffentlichen Netzwerkzugriff zulassen auf) entweder Deaktiviert oder Alle Netzwerke fest.

    Screenshot of the Azure portal showing the Networking (preview) page for an Azure Time Series Insights Gen2 environment. The Public access tab is highlighted, and the option to choose whether to allow public network access is also highlighted.

    Wählen Sie Speichern aus.

Nächste Schritte

Hier erfahren Sie mehr über Private Link für Azure: