Privát hozzáférés engedélyezése az Azure Digital Twinshez a Private Link használatával

Az Azure Digital Twins és a Azure Private Link együttes használatával privát végpontokat engedélyezhet az Azure Digital Twins-példány számára, így kiküszöbölheti a nyilvános kitettséget, és lehetővé teheti, hogy a virtuális hálózaton található ügyfelek biztonságosan elérhessék a példányt Private Link keresztül. Az Azure Digital Twins biztonsági stratégiájával kapcsolatos további információkért lásd: Private Link privát végponttal egy Azure Digital Twins-példányhoz.

A cikk a következő lépéseket ismerteti:

1. Kapcsolja be Private Link, és konfiguráljon privát végpontot egy Azure Digital Twins-példányhoz.
2. Privát végpont megtekintése, szerkesztése vagy törlése egy Azure Digital Twins-példányból.
3. Tiltsa le vagy engedélyezze a nyilvános hálózati hozzáférési jelzőket, hogy az Azure Digital Twins API-hozzáférése csak a kapcsolatok Private Link legyen korlátozva.

Ez a cikk az Azure Digital Twins ARM-sablonnal történő üzembe helyezésével és a konfiguráció hibaelhárításával kapcsolatos információkat is tartalmaz Private Link.

Előfeltételek

Mielőtt beállíthat egy privát végpontot, szüksége lesz egy Azure-Virtual Network (VNet), ahol a végpont üzembe helyezhető. Ha még nem rendelkezik virtuális hálózattal, a beállításhoz kövesse az Azure Virtual Network gyorsútmutatóit.

Privát végpontok hozzáadása az Azure Digital Twinshez

A Azure Portal vagy az Azure CLI használatával bekapcsolhatja a Private Link privát végponttal egy Azure Digital Twins-példányhoz.

Ha a példány kezdeti beállítása során Private Link szeretne beállítani, a Azure Portal kell használnia. Ellenkező esetben, ha a létrehozása után engedélyezni szeretné a Private Link egy példányon, használhatja a Azure Portal vagy az Azure CLI-t. A létrehozási módszerek bármelyike ugyanazokat a konfigurációs lehetőségeket és a végeredményt adja meg a példány számára.

Az alábbi szakaszokban található fülekkel kiválaszthatja az előnyben részesített felhasználói élményre vonatkozó utasításokat.

Tipp

Private Link végpontot is beállíthat a Private Link szolgáltatáson keresztül az Azure Digital Twins-példány helyett. Ez ugyanazokat a konfigurációs lehetőségeket és ugyanazt a végeredményt adja.

A Private Link erőforrások beállításával kapcsolatos további információkért tekintse meg a Azure Portal, az Azure CLI, az Azure Resource Manager vagy a PowerShelldokumentációját Private Link.

Privát végpont hozzáadása a példány létrehozása során

Ebben a szakaszban egy privát végpontot fog létrehozni Private Link az Azure Digital Twins-példány kezdeti beállításának részeként. Ez a művelet csak a Azure Portal végezhető el.

Portál

Ez a szakasz azt ismerteti, hogyan kapcsolhatja be a Private Link, miközben beállít egy Azure Digital Twins-példányt a Azure Portal.

A Private Link beállítások a példánybeállítás Hálózatkezelés lapján találhatók.

1. Kezdje el beállítani az Azure Digital Twins-példányt a Azure Portal. Útmutatásért lásd: Példány és hitelesítés beállítása.

2. Amikor eléri a példánybeállítás Hálózatkezelés lapját, engedélyezheti a privát végpontokat a Kapcsolati módszerPrivát végpont lehetőségének kiválasztásával.

   Ezzel hozzáad egy Privát végponti kapcsolatok nevű szakaszt, ahol konfigurálhatja a privát végpont részleteit. A folytatáshoz válassza a + Hozzáadás gombot.

   

3. A megnyíló Privát végpont létrehozása lapon adja meg egy új privát végpont részleteit.

   

   1. Adja meg az előfizetés és az erőforráscsoport kijelöléseit. Állítsa a Hely beállítást a használni kívánt virtuális hálózattal megegyező helyre. Válassza ki a végpont nevét , majd a Cél alerőforrások területen válassza az API lehetőséget.

   2. Ezután válassza ki a végpont üzembe helyezéséhez használni kívánt virtuális hálózatot és alhálózatot .

   3. Végül válassza ki, hogy integrálható-e a privát DNS-zónával. Használhatja az Igen alapértelmezett beállítást, vagy ha segítségre van szüksége ehhez a beállításhoz, a portálon található hivatkozásra kattintva további információt kaphat a privát DNS-integrációról.

   4. A konfigurációs beállítások megadása után kattintson az OK gombra a befejezéshez.

4. A folyamat befejezése után a portál visszatér az Azure Digital Twins-példány beállításának Hálózatkezelés lapjára. Ellenőrizze, hogy az új végpont látható-e a Privát végponti kapcsolatok területen.

   

5. Az alsó navigációs gombokkal folytathatja a többi példány beállítását.

Parancssori felület

Nem adhat hozzá Private Link végpontot a példány létrehozása során az Azure CLI használatával.

Váltson a Azure Portal a végpont hozzáadásához a példány létrehozása során, vagy folytassa a következő szakaszsal, hogy a parancssori felülettel privát végpontot adjon hozzá a példány létrehozása után.

Privát végpont hozzáadása meglévő példányhoz

Ebben a szakaszban egy már létező Azure Digital Twins-példány privát végpontjával fogja engedélyezni Private Link.

Portál

1. Először keresse meg a Azure Portal egy böngészőben. Az Azure Digital Twins-példányt úgy hozhatja létre, hogy rákeres a nevére a portál keresősávjában.

2. A bal oldali menüben válassza a Hálózatkezelés lehetőséget.

3. Váltson a Privát végponti kapcsolatok lapra .

4. Válassza a + Privát végpont lehetőséget a Privát végpont létrehozása beállítás megnyitásához.

   

5. Az Alapvető beállítások lapon adja meg vagy válassza ki a projekt Előfizetés és Erőforrás csoportját , valamint a végpont nevét és régióját . A régiónak meg kell egyeznie a használt virtuális hálózat régiójával.

   

   Ha végzett, a Tovább: Erőforrás > gombra kattintva lépjen a következő lapra.

6. Az Erőforrás lapon adja meg vagy válassza ki az alábbi adatokat:

   • Kapcsolati módszer: Válassza a Csatlakozás azure-erőforráshoz a címtáramban lehetőséget az Azure Digital Twins-példány megkereséséhez.
   • Előfizetés: Adja meg az előfizetését.
   • Erőforrás típusa: Válassza a Microsoft.DigitalTwins/digitalTwinsInstances lehetőséget
   • Erőforrás: Válassza ki az Azure Digital Twins-példány nevét.
   • Cél alerőforrás: Válassza az API lehetőséget.

   

   Ha végzett, a Következő: Konfiguráció > gombra kattintva lépjen a következő lapra.

7. A Konfiguráció lapon adja meg vagy válassza ki az alábbi adatokat:

   • Virtuális hálózat: Válassza ki a virtuális hálózatot.
   • Alhálózat: Válasszon egy alhálózatot a virtuális hálózatból.
   • Integrálás privát DNS-zónával: Válassza ki, hogy integrálható-e a privát DNS-zónával. Használhatja az Igen alapértelmezett beállítást, vagy ha segítségre van szüksége ehhez a beállításhoz, a portálon található hivatkozásra kattintva további információt kaphat a privát DNS-integrációról. Ha az Igen lehetőséget választja, meghagyhatja az alapértelmezett konfigurációs adatokat.

   

   Ha végzett, a beállítás befejezéséhez válassza a Felülvizsgálat + létrehozás gombot.

8. A Véleményezés + létrehozás lapon tekintse át a kijelöléseket, és válassza a Létrehozás gombot.

Amikor a végpont üzembe helyezése befejeződött, meg kell jelennie az Azure Digital Twins-példány privát végponti kapcsolataiban.

Parancssori felület

Ha privát végpontot szeretne létrehozni, és egy Azure Digital Twins-példányhoz szeretné kapcsolni az Azure CLI használatával, használja az az network private-endpoint create parancsot. Azonosítsa az Azure Digital Twins-példányt a paraméterben --private-connection-resource-id található teljes azonosítójával.

Íme egy példa, amely az paranccsal hoz létre egy privát végpontot, csak a szükséges paraméterekkel.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

A szükséges és választható paraméterek teljes listájáért, valamint további privát végpontlétrehozási példákért tekintse meg az az network private-endpoint create reference dokumentációt.

Privát végpontok kezelése

Ebben a szakaszban megtudhatja, hogyan tekinthet meg, szerkeszthet és törölhet privát végpontokat a létrehozása után.

Portál

Miután létrehozott egy privát végpontot az Azure Digital Twins-példányhoz, megtekintheti azt az Azure Digital Twins-példány Hálózatkezelés lapján. Ezen a lapon a példányhoz társított összes privát végponti kapcsolat látható.

Válassza ki a végpontot az információk részletes megtekintéséhez, a konfigurációs beállítások módosításához vagy a kapcsolat törléséhez.

Tipp

A végpont a Azure Portal Private Link-központból is megtekinthető.

Parancssori felület

Miután létrehozott egy privát végpontot az Azure Digital Twins-példányhoz, az az dt network private-endpoint connection parancsokkal folytathatja a privát végponti kapcsolatok kezelését a példány tekintetében. A műveletek közé tartoznak a következők:

• Privát végpontkapcsolat megjelenítése
• A privát végpontkapcsolat állapotának beállítása
• A privát végpont kapcsolatának törlése
• Egy példány összes privát végpontkapcsolatának listázása

További információkért és példákért tekintse meg az az dt network private-endpoint reference dokumentációját.

További Private Link információk

Az az dt network private-link parancsokkal további információt kaphat a példány Private Link állapotáról. A műveletek a következők:

• Azure Digital Twins-példányhoz társított privát hivatkozások listázása
• A példányhoz társított privát hivatkozás megjelenítése

További információkért és példákért tekintse meg az az dt network private-link reference dokumentációját.

Nyilvános hálózati hozzáférési jelzők letiltása/engedélyezése

Konfigurálhatja az Azure Digital Twins-példányt úgy, hogy az összes nyilvános kapcsolatot letiltsa, és csak a privát hozzáférési végpontokon keresztüli kapcsolatokat engedélyezze a hálózati biztonság növelése érdekében. Ez a művelet nyilvános hálózati hozzáférési jelzővel történik.

Ez a szabályzat lehetővé teszi, hogy az API-hozzáférést csak Private Link kapcsolatokra korlátozza. Ha a nyilvános hálózat hozzáférési jelzője értékre disabledvan állítva, a nyilvános felhőből az Azure Digital Twins-példány adatsíkjára irányuló összes REST API-hívás vissza fog térni 403, Unauthorized. Ellenkező esetben, ha a szabályzat értéke disabled , és a kérés privát végponton keresztül történik, az API-hívás sikeres lesz.

A hálózati jelző értékét az Azure Portal, az Azure CLI vagy az ARMClient parancseszköz használatával frissítheti.

Portál

A nyilvános hálózati hozzáférés Azure Portal való letiltásához vagy engedélyezéséhez nyissa meg a portált, és lépjen az Azure Digital Twins-példányra.

1. A bal oldali menüben válassza a Hálózatkezelés lehetőséget.

2. A Nyilvános hozzáférés lapon állítsa a Nyilvános hálózati hozzáférés engedélyezéseletiltott vagy a Minden hálózat beállítást.

   

   Válassza a Mentés lehetőséget.

Parancssori felület

Az Azure CLI-ben letilthatja vagy engedélyezheti a nyilvános hálózati hozzáférést úgy, hogy hozzáad egy paramétert --public-network-access a az dt create parancshoz. Bár ez a parancs egy új példány létrehozására is használható, használhatja egy meglévő példány tulajdonságainak szerkesztéséhez egy már létező példány nevének megadásával. (A paranccsal kapcsolatos további információkért tekintse meg a referenciadokumentációt vagy az Azure Digital Twins-példány beállítására vonatkozó általános utasításokat).

Ha le szeretné tiltani a nyilvános hálózati hozzáférést egy Azure Digital Twins-példányhoz, használja az --public-network-access alábbihoz hasonló paramétert:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Ha engedélyezni szeretné a nyilvános hálózati hozzáférést egy olyan példányon, ahol jelenleg le van tiltva, használja a következő hasonló parancsot:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Az ARMClient parancseszközzel a nyilvános hálózati hozzáférés engedélyezve van vagy le van tiltva az alábbi parancsokkal.

A nyilvános hálózati hozzáférés letiltása:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Nyilvános hálózati hozzáférés engedélyezése:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Üzembe helyezés ARM-sablonok használatával

A Private Link ARM-sablonnal is beállíthatja az Azure Digital Twins szolgáltatással.

Ha olyan mintasablont szeretne létrehozni, amely lehetővé teszi, hogy egy Azure-függvény egy Private Link végponton keresztül csatlakozzon az Azure Digital Twinshez, tekintse meg az Azure Digital Twins with Azure function and Private Link (ARM-sablon) című témakört.

Ez a sablon létrehoz egy Azure Digital Twins-példányt, egy virtuális hálózatot, egy Azure-függvényt, amely csatlakozik a virtuális hálózathoz, és egy Private Link kapcsolatot, hogy az Azure Digital Twins-példány egy privát végponton keresztül legyen elérhető az Azure-függvény számára.

Hibaelhárítás

Íme néhány gyakori probléma, amely az Azure Digital Twins Private Link használatakor merülhet fel.

• Kérdés: Amikor megpróbál hozzáférni az Azure Digital Twins API-khoz, egy 403-at tartalmazó HTTP-hibakód jelenik meg a válasz törzsében a következő hibával:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Felbontás: Ez a hiba akkor fordul elő, ha publicNetworkAccess az Azure Digital Twins-példány le van tiltva, és az API-kérések várhatóan Private Link érkeznek, de a hívást a nyilvános hálózaton keresztül irányították (esetleg egy virtuális hálózathoz konfigurált terheléselosztón keresztül). Győződjön meg arról, hogy az API-ügyfél feloldja a privát végpont privát IP-címét, amikor megpróbál hozzáférni az API-hoz a végpont gazdanevén keresztül.

  Az alhálózat privát végpontjának privát IP-címére való gazdanévfeloldás megkönnyítése érdekében konfigurálhat egy privát DNS-zónát. Ellenőrizze, hogy a privát DNS-zóna megfelelően van-e csatlakoztatva a virtuális hálózathoz, és a megfelelő zónanevet használja,például privatelink.digitaltwins.azure.net: .

• Kérdés: Amikor privát végponton keresztül próbál hozzáférni az Azure Digital Twinshez, a kapcsolat túllépi az időkorlátot.

  Felbontás: Ellenőrizze, hogy nincsenek-e olyan hálózati biztonsági csoportszabályok , amelyek tiltják az ügyfél számára a privát végponttal és annak alhálózatával való kommunikációt. A 443-as TCP-porton folytatott kommunikációt engedélyezni kell az ügyfél forrás IP-címe/alhálózata és a privát végpont cél IP-címe/alhálózata között.

További Private Link hibaelhárítási javaslatokért lásd: Az Azure Private Endpoint csatlakozási problémáinak elhárítása.

Következő lépések

Gyorsan állíthat be védett környezetet Private Link ARM-sablon használatával: Azure Digital Twins Azure-függvénnyel és Private Link.

Vagy további információ az Azure-hoz készült Private Link: Mi az Azure Private Link szolgáltatás?