Activer l’accès privé à Azure Digital Twins à l’aide de Private Link
En utilisant Azure Digital Twins avec Azure Private Link, vous pouvez activer des points de terminaison privés pour votre instance Azure Digital Twins, afin d’éliminer l’exposition publique et de permettre aux clients situés dans votre réseau virtuel d’accéder en toute sécurité à l’instance via Private Link. Pour plus d’informations sur cette stratégie de sécurité pour Azure Digital Twins, consultez Private Link avec un point de terminaison privé pour une instance Azure Digital Twins.
Les étapes décrites dans cet article sont les suivantes :
- Activer la liaison privée et configurer un point de terminaison privé pour une instance Azure Digital Twins.
- Affichez, modifiez ou supprimez un point de terminaison privé d’une instance Azure Digital Twins.
- Désactiver ou activer des indicateurs d’accès au réseau public pour limiter l’accès de l’API d’une instance Azure Digital Twins aux connexions de liaison privées uniquement.
Cet article contient également des informations sur le déploiement d’Azure Digital Twins avec Private Link à l’aide d’un modèle ARM et la résolution des problèmes de configuration.
Prérequis
Avant de pouvoir configurer un point de terminaison privé, vous avez besoin d’un réseau virtuel Azure (VNet) où le point de terminaison peut être déployé. Si vous ne disposez pas déjà d’un réseau virtuel, vous pouvez suivre l’un des guides de démarrage rapide de réseau virtuel Azure pour en configurer un.
Ajouter des points de terminaison privés à Azure Digital Twins
Vous pouvez utiliser soit le Portail Azure soit l’interface de ligne de commande Azure pour activer Private Link avec un point de terminaison privé pour une instance Azure Digital Twins.
Si vous souhaitez configurer Private Link dans le cadre de la configuration initiale de l’instance, vous devrez utiliser le Portail Azure. Si au contraire vous souhaitez activer Private Link sur une instance après sa création, vous avez le choix entre le Portail Azure et Azure CLI. L’une ou l’autre de ces méthodes de création donnera les mêmes options de configuration et le même résultat final pour votre instance.
Utilisez les onglets dans les sections ci-dessous pour sélectionner les instructions de votre expérience préférée.
Conseil
Vous pouvez également configurer un point de terminaison de liaison privé via le service de liaison privée, plutôt que par le biais de votre instance Azure Digital Twins. Vous obtenez également les mêmes options de configuration et le même résultat final.
Pour plus d’informations sur la configuration des ressources Private Link, consultez la documentation relative à Private Link pour le Portail Azure, Azure CLI, Azure Resource Manager ou PowerShell.
Ajouter un point de terminaison privé pendant la création de l’instance
Dans cette section, vous allez créer un point de terminaison privé avec un lien privé dans le cadre de la configuration initiale d’une instance Azure Digital Twins. Cette action peut uniquement être effectuée dans le Portail Azure.
Cette section décrit comment activer Private Link lors de la configuration d’une instance Azure Digital Twins dans le Portail Azure.
Les options de liaison privée se trouvent dans l’onglet Mise en réseau de la configuration de l’instance.
Commencez la configuration d’une instance Azure Digital Twins dans le Portail Azure. Pour obtenir des instructions, consultez Configurer une instance et l’authentification.
Lorsque vous atteignez l’onglet Mise en réseau de la configuration d’instance, vous pouvez activer des points de terminaison privés en sélectionnant l’option Point de terminaison privé comme Méthode de connectivité.
Cela permet d’ajouter une section nommée Connexions des points de terminaison privés, dans laquelle vous pouvez configurer les informations relatives à votre point de terminaison privé. Sélectionnez le bouton Ajouter pour continuer.
Sur la page Créer un point de terminaison privé qui s’ouvre, entrez les informations relatives à un nouveau point de terminaison privé.
Spécifiez les détails de votre abonnement et de votre groupe de ressources. Définissez l’option Emplacement sur le même emplacement que celui du réseau virtuel que vous allez utiliser. Choisissez le nom du point de terminaison puis, pour Sous-ressources cibles, sélectionnez API.
Sélectionnez ensuite le réseau virtuel et le sous-réseau que vous souhaitez utiliser pour déployer le point de terminaison.
Pour terminer, indiquez si vous souhaitez intégrer à une zone DNS privée. Vous pouvez utiliser la valeur par défaut Oui ou, pour obtenir de l’aide sur cette option, vous pouvez suivre le lien du portail pour en savoir plus sur l’intégration à une zone DNS privée.
Après avoir défini les options de configuration, sélectionnez OK pour terminer.
Une fois ce processus terminé, le portail vous renvoie sur l’onglet Mise en réseau de la configuration de l’instance Azure Digital Twins. Vérifiez que votre nouveau point de terminaison est visible sous connexions de point de terminaison privé.
Utilisez les boutons de navigation inférieurs pour poursuivre la configuration de l’instance.
Ajouter un point de terminaison privé à une instance existante
Dans cette section, vous allez activer Private Link avec un point de terminaison privé pour une instance d’Azure Digital Twins qui existe déjà.
Tout d’abord, accédez au portail Azure dans un navigateur. Affichez votre instance Azure Digital Twins en recherchant son nom dans la barre de recherche du portail.
Sélectionnez Réseau dans le menu de gauche.
Basculez vers l’onglet Connexions des points de terminaison privés.
Sélectionnez Point de terminaison privé pour ouvrir la boîte de dialogue Créer un point de terminaison privé.
Dans l’onglet Informations de base, entrez ou sélectionnez les informations Abonnement et Groupe de ressources de votre projet, puis le Nom et la Région de votre point de terminaison. La région doit être la même que celle du réseau virtuel que vous utilisez.
Lorsque vous avez terminé, sélectionnez le bouton Suivant : Ressource pour accéder à l’onglet suivant.
Dans l’onglet Ressource, entrez ou sélectionnez ces informations :
- Méthode de connexion : Sélectionnez Se connecter à une ressource Azure dans mon répertoire pour rechercher votre instance Azure Digital Twins.
- Abonnement: Entrez votre abonnement.
- Type de ressource : Sélectionnez Microsoft.DigitalTwins/digitalTwinsInstances
- Ressource : Sélectionnez le nom de votre instance Azure Digital Twins.
- Sous-ressource cible : Sélectionnez l’API.
Lorsque vous avez terminé, sélectionnez le bouton Suivant : Configuration pour accéder à l’onglet suivant.
Dans l’onglet Configuration, entrez ou sélectionnez les informations suivantes :
- Réseau virtuel : Sélectionnez votre réseau virtuel.
- Sous-réseau : Choisissez un sous-réseau de votre réseau virtuel.
- Intégrer à une zone DNS privée : Indiquez si vous souhaitez intégrer à une zone DNS privée. Vous pouvez utiliser la valeur par défaut Oui ou, pour obtenir de l’aide sur cette option, vous pouvez suivre le lien du portail pour en savoir plus sur l’intégration à une zone DNS privée. Si vous sélectionnez Oui, vous pouvez conserver les informations de configuration par défaut.
Lorsque vous avez terminé, vous pouvez sélectionner le bouton Vérifier + créer pour terminer l’installation.
Dans l’onglet Vérifier + créer, vérifiez vos sélections et sélectionnez le bouton Créer.
Une fois le déploiement du point de terminaison terminé, le point de terminaison devrait apparaître dans les connexions des points de terminaison privés de votre instance Azure Digital Twins.
Gérer les points de terminaison privés
Dans cette section, vous allez voir comment afficher, modifier et supprimer un point de terminaison privé après sa création.
Une fois qu’un point de terminaison privé a été créé pour votre instance Azure Digital Twins, vous pouvez l’afficher sous l’onglet Réseau de votre instance Azure Digital Twins. Cette page affichera toutes les connexions de point de terminaison privées associées à l’instance.
Sélectionnez le point de terminaison pour afficher ses informations en détail, apporter des modifications à ses paramètres de configuration ou supprimer la connexion.
Conseil
Le point de terminaison privé peut également s’afficher dans le centre de liaisons privées du portail Azure.
Activer/désactiver les indicateurs d’accès au réseau public
Vous pouvez configurer votre instance Azure Digital Twins pour refuser toutes les connexions publiques et autoriser uniquement les connexions via des points de terminaison d’accès privés afin d’améliorer la sécurité réseau. Cette action s’effectue à l’aide d’un indicateur d’accès public au réseau.
Cette stratégie vous permet de limiter l’accès de l’API aux connexions de liaison privées uniquement. Lorsque l’indicateur d’accès public au réseau est défini sur disabled
, tous les appels de l’API REST vers le plan de données de l’instance Azure Digital Twins à partir du cloud public retournent 403, Unauthorized
. Si au contraire la stratégie est définie sur disabled
et qu’une demande est effectuée à travers un point de terminaison privé, l’appel d’API réussit.
Pour mettre à jour la valeur de l’indicateur de réseau, vous pouvez utiliser le Portail Azure, Azure CLI ou l’outil de commande ARMClient.
Pour désactiver ou activer l’accès public au réseau dans le portail Azure, ouvrez le portail, puis accédez à votre instance Azure Digital Twins.
Déployer avec des modèles ARM
Vous pouvez également configurer Private Link avec Azure Digital Twins à l’aide d’un modèle ARM.
Pour obtenir un exemple de modèle qui permet à une fonction Azure de se connecter à Azure Digital Twins par le biais d’un point de terminaison Private Link, consultez Azure Digital Twins avec fonction Azure et Private Link (modèle ARM).
Ce modèle crée une instance Azure Digital Twins, un réseau virtuel, une fonction Azure connectée au réseau virtuel et une connexion Private Link pour rendre l’instance Azure Digital Twins accessible à la fonction Azure via un point de terminaison privé.
Dépanner
Voici quelques problèmes courants qui peuvent se produire lors de l’utilisation de Private Link avec Azure Digital Twins.
Problème : Lorsque vous tentez d’accéder aux API Azure Digital Twins, vous voyez un code d’erreur HTTP 403 avec l’erreur suivante dans le corps de la réponse :
{ "statusCode": 403, "message": "Public network access disabled by policy." }
Résolution : Cette erreur se produit lorsque
publicNetworkAccess
a été désactivé pour l’instance Azure Digital Twins et que les requêtes d’API sont supposées être envoyées via Private Link, mais que l’appel a été routé via le réseau public (éventuellement par le biais d’un équilibreur de charge configuré pour un réseau virtuel). Vérifiez que votre client API résout l’adresse IP privée pour le point de terminaison privé quand vous tentez d’accéder à l’API via le nom d’hôte du point de terminaison.Pour faciliter la résolution du nom d’hôte en l’adresse IP privée du point de terminaison privé dans un sous-réseau, vous pouvez configurer une zone DNS privée. Vérifiez que la zone DNS privée est correctement liée au réseau virtuel, et qu’elle utilise le nom de zone correct, par exemple
privatelink.digitaltwins.azure.net
.Problème : Lorsque vous tentez d’accéder à Azure Digital Twins via un point de terminaison privé, la connexion expire.
Résolution : Vérifiez qu’il n’existe aucune règle de groupe de sécurité réseau qui empêche le client de communiquer avec le point de terminaison privé et son sous-réseau. La communication sur le port TCP 443 doit être autorisée entre l’adresse IP source/le sous-réseau du client et l’adresse IP de destination/le sous-réseau du point de terminaison privé.
Pour plus d’informations sur les suggestions de dépannage de Private Link, consultez Résoudre les problèmes de connectivité d’Azure Private Endpoint.
Étapes suivantes
Configurez rapidement un environnement protégé avec Private Link à l’aide d’un modèle ARM : Azure Digital Twins avec fonction Azure et Private Link.
Ou apprenez-en davantage sur Private Link pour Azure : Qu’est-ce que le service Azure Private Link ?