Privát hozzáférés engedélyezése az Azure Digital Twinshez a Private Link használatával
Az Azure Digital Twins és a Azure Private Link együttes használatával privát végpontokat engedélyezhet az Azure Digital Twins-példány számára, így kiküszöbölheti a nyilvános kitettséget, és lehetővé teheti, hogy a virtuális hálózaton található ügyfelek biztonságosan elérhessék a példányt Private Link keresztül. Az Azure Digital Twins biztonsági stratégiájával kapcsolatos további információkért lásd: Private Link privát végponttal egy Azure Digital Twins-példányhoz.
A cikk a következő lépéseket ismerteti:
- Kapcsolja be Private Link, és konfiguráljon privát végpontot egy Azure Digital Twins-példányhoz.
- Privát végpont megtekintése, szerkesztése vagy törlése egy Azure Digital Twins-példányból.
- Tiltsa le vagy engedélyezze a nyilvános hálózati hozzáférési jelzőket, hogy az Azure Digital Twins API-hozzáférése csak a kapcsolatok Private Link legyen korlátozva.
Ez a cikk az Azure Digital Twins ARM-sablonnal történő üzembe helyezésével és a konfiguráció hibaelhárításával kapcsolatos információkat is tartalmaz Private Link.
Előfeltételek
Mielőtt beállíthat egy privát végpontot, szüksége lesz egy Azure-Virtual Network (VNet), ahol a végpont üzembe helyezhető. Ha még nem rendelkezik virtuális hálózattal, a beállításhoz kövesse az Azure Virtual Network gyorsútmutatóit.
Privát végpontok hozzáadása az Azure Digital Twinshez
A Azure Portal vagy az Azure CLI használatával bekapcsolhatja a Private Link privát végponttal egy Azure Digital Twins-példányhoz.
Ha a példány kezdeti beállítása során Private Link szeretne beállítani, a Azure Portal kell használnia. Ellenkező esetben, ha a létrehozása után engedélyezni szeretné a Private Link egy példányon, használhatja a Azure Portal vagy az Azure CLI-t. A létrehozási módszerek bármelyike ugyanazokat a konfigurációs lehetőségeket és a végeredményt adja meg a példány számára.
Az alábbi szakaszokban található fülekkel kiválaszthatja az előnyben részesített felhasználói élményre vonatkozó utasításokat.
Tipp
Private Link végpontot is beállíthat a Private Link szolgáltatáson keresztül az Azure Digital Twins-példány helyett. Ez ugyanazokat a konfigurációs lehetőségeket és ugyanazt a végeredményt adja.
A Private Link erőforrások beállításával kapcsolatos további információkért tekintse meg a Azure Portal, az Azure CLI, az Azure Resource Manager vagy a PowerShelldokumentációját Private Link.
Privát végpont hozzáadása a példány létrehozása során
Ebben a szakaszban egy privát végpontot fog létrehozni Private Link az Azure Digital Twins-példány kezdeti beállításának részeként. Ez a művelet csak a Azure Portal végezhető el.
Ez a szakasz azt ismerteti, hogyan kapcsolhatja be a Private Link, miközben beállít egy Azure Digital Twins-példányt a Azure Portal.
A Private Link beállítások a példánybeállítás Hálózatkezelés lapján találhatók.
Kezdje el beállítani az Azure Digital Twins-példányt a Azure Portal. Útmutatásért lásd: Példány és hitelesítés beállítása.
Amikor eléri a példánybeállítás Hálózatkezelés lapját, engedélyezheti a privát végpontokat a Kapcsolati módszerPrivát végpont lehetőségének kiválasztásával.
Ezzel hozzáad egy Privát végponti kapcsolatok nevű szakaszt, ahol konfigurálhatja a privát végpont részleteit. A folytatáshoz válassza a + Hozzáadás gombot.
A megnyíló Privát végpont létrehozása lapon adja meg egy új privát végpont részleteit.
Adja meg az előfizetés és az erőforráscsoport kijelöléseit. Állítsa a Hely beállítást a használni kívánt virtuális hálózattal megegyező helyre. Válassza ki a végpont nevét , majd a Cél alerőforrások területen válassza az API lehetőséget.
Ezután válassza ki a végpont üzembe helyezéséhez használni kívánt virtuális hálózatot és alhálózatot .
Végül válassza ki, hogy integrálható-e a privát DNS-zónával. Használhatja az Igen alapértelmezett beállítást, vagy ha segítségre van szüksége ehhez a beállításhoz, a portálon található hivatkozásra kattintva további információt kaphat a privát DNS-integrációról.
A konfigurációs beállítások megadása után kattintson az OK gombra a befejezéshez.
A folyamat befejezése után a portál visszatér az Azure Digital Twins-példány beállításának Hálózatkezelés lapjára. Ellenőrizze, hogy az új végpont látható-e a Privát végponti kapcsolatok területen.
Az alsó navigációs gombokkal folytathatja a többi példány beállítását.
Privát végpont hozzáadása meglévő példányhoz
Ebben a szakaszban egy már létező Azure Digital Twins-példány privát végpontjával fogja engedélyezni Private Link.
Először keresse meg a Azure Portal egy böngészőben. Az Azure Digital Twins-példányt úgy hozhatja létre, hogy rákeres a nevére a portál keresősávjában.
A bal oldali menüben válassza a Hálózatkezelés lehetőséget.
Váltson a Privát végponti kapcsolatok lapra .
Válassza a + Privát végpont lehetőséget a Privát végpont létrehozása beállítás megnyitásához.
Az Alapvető beállítások lapon adja meg vagy válassza ki a projekt Előfizetés és Erőforrás csoportját , valamint a végpont nevét és régióját . A régiónak meg kell egyeznie a használt virtuális hálózat régiójával.
Ha végzett, a Tovább: Erőforrás > gombra kattintva lépjen a következő lapra.
Az Erőforrás lapon adja meg vagy válassza ki az alábbi adatokat:
- Kapcsolati módszer: Válassza a Csatlakozás azure-erőforráshoz a címtáramban lehetőséget az Azure Digital Twins-példány megkereséséhez.
- Előfizetés: Adja meg az előfizetését.
- Erőforrás típusa: Válassza a Microsoft.DigitalTwins/digitalTwinsInstances lehetőséget
- Erőforrás: Válassza ki az Azure Digital Twins-példány nevét.
- Cél alerőforrás: Válassza az API lehetőséget.
Ha végzett, a Következő: Konfiguráció > gombra kattintva lépjen a következő lapra.
A Konfiguráció lapon adja meg vagy válassza ki az alábbi adatokat:
- Virtuális hálózat: Válassza ki a virtuális hálózatot.
- Alhálózat: Válasszon egy alhálózatot a virtuális hálózatból.
- Integrálás privát DNS-zónával: Válassza ki, hogy integrálható-e a privát DNS-zónával. Használhatja az Igen alapértelmezett beállítást, vagy ha segítségre van szüksége ehhez a beállításhoz, a portálon található hivatkozásra kattintva további információt kaphat a privát DNS-integrációról. Ha az Igen lehetőséget választja, meghagyhatja az alapértelmezett konfigurációs adatokat.
Ha végzett, a beállítás befejezéséhez válassza a Felülvizsgálat + létrehozás gombot.
A Véleményezés + létrehozás lapon tekintse át a kijelöléseket, és válassza a Létrehozás gombot.
Amikor a végpont üzembe helyezése befejeződött, meg kell jelennie az Azure Digital Twins-példány privát végponti kapcsolataiban.
Privát végpontok kezelése
Ebben a szakaszban megtudhatja, hogyan tekinthet meg, szerkeszthet és törölhet privát végpontokat a létrehozása után.
Miután létrehozott egy privát végpontot az Azure Digital Twins-példányhoz, megtekintheti azt az Azure Digital Twins-példány Hálózatkezelés lapján. Ezen a lapon a példányhoz társított összes privát végponti kapcsolat látható.
Válassza ki a végpontot az információk részletes megtekintéséhez, a konfigurációs beállítások módosításához vagy a kapcsolat törléséhez.
Tipp
A végpont a Azure Portal Private Link-központból is megtekinthető.
Nyilvános hálózati hozzáférési jelzők letiltása/engedélyezése
Konfigurálhatja az Azure Digital Twins-példányt úgy, hogy az összes nyilvános kapcsolatot letiltsa, és csak a privát hozzáférési végpontokon keresztüli kapcsolatokat engedélyezze a hálózati biztonság növelése érdekében. Ez a művelet nyilvános hálózati hozzáférési jelzővel történik.
Ez a szabályzat lehetővé teszi, hogy az API-hozzáférést csak Private Link kapcsolatokra korlátozza. Ha a nyilvános hálózat hozzáférési jelzője értékre disabled
van állítva, a nyilvános felhőből az Azure Digital Twins-példány adatsíkjára irányuló összes REST API-hívás vissza fog térni 403, Unauthorized
. Ellenkező esetben, ha a szabályzat értéke disabled
, és a kérés privát végponton keresztül történik, az API-hívás sikeres lesz.
A hálózati jelző értékét az Azure Portal, az Azure CLI vagy az ARMClient parancseszköz használatával frissítheti.
A nyilvános hálózati hozzáférés Azure Portal való letiltásához vagy engedélyezéséhez nyissa meg a portált, és lépjen az Azure Digital Twins-példányra.
Üzembe helyezés ARM-sablonok használatával
A Private Link ARM-sablonnal is beállíthatja az Azure Digital Twins szolgáltatással.
Ha olyan mintasablont szeretne létrehozni, amely lehetővé teszi, hogy egy Azure-függvény egy Private Link végponton keresztül csatlakozzon az Azure Digital Twinshez, tekintse meg az Azure Digital Twins with Azure function and Private Link (ARM-sablon) című témakört.
Ez a sablon létrehoz egy Azure Digital Twins-példányt, egy virtuális hálózatot, egy Azure-függvényt, amely csatlakozik a virtuális hálózathoz, és egy Private Link kapcsolatot, hogy az Azure Digital Twins-példány egy privát végponton keresztül legyen elérhető az Azure-függvény számára.
Hibaelhárítás
Íme néhány gyakori probléma, amely az Azure Digital Twins Private Link használatakor merülhet fel.
Kérdés: Amikor megpróbál hozzáférni az Azure Digital Twins API-khoz, egy 403-at tartalmazó HTTP-hibakód jelenik meg a válasz törzsében a következő hibával:
{ "statusCode": 403, "message": "Public network access disabled by policy." }
Felbontás: Ez a hiba akkor fordul elő, ha
publicNetworkAccess
az Azure Digital Twins-példány le van tiltva, és az API-kérések várhatóan Private Link érkeznek, de a hívást a nyilvános hálózaton keresztül irányították (esetleg egy virtuális hálózathoz konfigurált terheléselosztón keresztül). Győződjön meg arról, hogy az API-ügyfél feloldja a privát végpont privát IP-címét, amikor megpróbál hozzáférni az API-hoz a végpont gazdanevén keresztül.Az alhálózat privát végpontjának privát IP-címére való gazdanévfeloldás megkönnyítése érdekében konfigurálhat egy privát DNS-zónát. Ellenőrizze, hogy a privát DNS-zóna megfelelően van-e csatlakoztatva a virtuális hálózathoz, és a megfelelő zónanevet használja,például
privatelink.digitaltwins.azure.net
: .Kérdés: Amikor privát végponton keresztül próbál hozzáférni az Azure Digital Twinshez, a kapcsolat túllépi az időkorlátot.
Felbontás: Ellenőrizze, hogy nincsenek-e olyan hálózati biztonsági csoportszabályok , amelyek tiltják az ügyfél számára a privát végponttal és annak alhálózatával való kommunikációt. A 443-as TCP-porton folytatott kommunikációt engedélyezni kell az ügyfél forrás IP-címe/alhálózata és a privát végpont cél IP-címe/alhálózata között.
További Private Link hibaelhárítási javaslatokért lásd: Az Azure Private Endpoint csatlakozási problémáinak elhárítása.
Következő lépések
Gyorsan állíthat be védett környezetet Private Link ARM-sablon használatával: Azure Digital Twins Azure-függvénnyel és Private Link.
Vagy további információ az Azure-hoz készült Private Link: Mi az Azure Private Link szolgáltatás?
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: