Persoonlijke toegang tot Azure Digital Twins inschakelen met behulp van Private Link

Door Azure Digital Twins samen met Azure Private Link te gebruiken, kunt u privé-eindpunten inschakelen voor uw Azure Digital Twins-exemplaar om openbare blootstelling te elimineren en clients in uw virtuele netwerk veilig toegang te geven tot het exemplaar via Private Link. Zie Private Link met een privé-eindpunt voor een Azure Digital Twins-exemplaar voor meer informatie over deze beveiligingsstrategie voor Azure Digital Twins.

Dit zijn de stappen die in dit artikel worden behandeld:

1. Schakel Private Link in en configureer een privé-eindpunt voor een Azure Digital Twins-exemplaar.
2. Een privé-eindpunt weergeven, bewerken of verwijderen uit een Azure Digital Twins-exemplaar.
3. Schakel openbare netwerktoegangsvlagmen uit of in om API-toegang voor een Azure Digital Twins te beperken tot alleen Private Link-verbindingen.

Dit artikel bevat ook informatie over het implementeren van Azure Digital Twins met Private Link met behulp van een ARM-sjabloon en het oplossen van problemen met de configuratie.

Vereisten

Voordat u een privé-eindpunt kunt instellen, hebt u een Azure Virtual Network (VNet) nodig waar het eindpunt kan worden geïmplementeerd. Als u nog geen VNet hebt, kunt u een van de quickstarts van Azure Virtual Network volgen om dit in te stellen.

Privé-eindpunten toevoegen aan Azure Digital Twins

U kunt de Azure Portal of de Azure CLI gebruiken om Private Link in te schakelen met een privé-eindpunt voor een Azure Digital Twins-exemplaar.

Als u Private Link wilt instellen als onderdeel van de eerste installatie van het exemplaar, moet u de Azure Portal gebruiken. Als u Private Link op een exemplaar wilt inschakelen nadat deze is gemaakt, kunt u de Azure Portal of de Azure CLI gebruiken. Elk van deze methoden voor het maken geeft dezelfde configuratieopties en hetzelfde eindresultaat voor uw exemplaar.

Gebruik de tabbladen in de onderstaande secties om instructies voor uw voorkeurservaring te selecteren.

Tip

U kunt ook een Private Link-eindpunt instellen via de Private Link-service, in plaats van via uw Azure Digital Twins-exemplaar. Dit biedt ook dezelfde configuratieopties en hetzelfde eindresultaat.

Zie Private Link documentatie voor de Azure Portal, Azure CLI, Azure Resource Manager of PowerShell voor meer informatie over het instellen van Private Link resources.

Een privé-eindpunt toevoegen tijdens het maken van het exemplaar

In deze sectie maakt u een privé-eindpunt met Private Link als onderdeel van de eerste installatie van een Azure Digital Twins-exemplaar. Deze actie kan alleen worden uitgevoerd in de Azure Portal.

Portal

In deze sectie wordt beschreven hoe u Private Link inschakelt tijdens het instellen van een Azure Digital Twins-exemplaar in de Azure Portal.

De Private Link opties bevinden zich op het tabblad Netwerken van het instellen van het exemplaar.

1. Begin met het instellen van een Azure Digital Twins-exemplaar in de Azure Portal. Zie Een exemplaar en verificatie instellen voor instructies.

2. Wanneer u het tabblad Netwerken van het instellen van het exemplaar bereikt, kunt u privé-eindpunten inschakelen door de optie Privé-eindpunt voor de connectiviteitsmethode te selecteren.

   Als u dit doet, wordt een sectie met de naam Privé-eindpuntverbindingen toegevoegd waarin u de details van uw privé-eindpunt kunt configureren. Selecteer de knop + Toevoegen om door te gaan.

   

3. Voer op de pagina Privé-eindpunt maken die wordt geopend de details van een nieuw privé-eindpunt in.

   

   1. Vul selecties in voor uw abonnement en resourcegroep. Stel de locatie in op dezelfde locatie als het VNet dat u gaat gebruiken. Kies een naam voor het eindpunt en selecteer API voor Doelsubresources.

   2. Selecteer vervolgens het virtuele netwerk en het subnet dat u wilt gebruiken om het eindpunt te implementeren.

   3. Selecteer ten slotte of u wilt integreren met privé-DNS-zone. U kunt de standaardwaarde Ja gebruiken of voor hulp bij deze optie kunt u de koppeling in de portal volgen voor meer informatie over privé-DNS-integratie.

   4. Nadat u de configuratieopties hebt ingevuld, selecteert u OK om te voltooien.

4. Zodra u dit proces hebt voltooid, keert de portal u terug naar het tabblad Netwerken van de installatie van het Azure Digital Twins-exemplaar. Controleer of uw nieuwe eindpunt zichtbaar is onder Privé-eindpuntverbindingen.

   

5. Gebruik de onderste navigatieknoppen om door te gaan met de rest van de installatie van het exemplaar.

CLI

U kunt geen Private Link-eindpunt toevoegen tijdens het maken van het exemplaar met behulp van de Azure CLI.

U kunt overschakelen naar de Azure Portal om het eindpunt toe te voegen tijdens het maken van het exemplaar of doorgaan naar de volgende sectie om de CLI te gebruiken om een privé-eindpunt toe te voegen nadat het exemplaar is gemaakt.

Een privé-eindpunt toevoegen aan een bestaand exemplaar

In deze sectie schakelt u Private Link in met een privé-eindpunt voor een Azure Digital Twins-exemplaar dat al bestaat.

Portal

1. Navigeer eerst naar de Azure Portal in een browser. Open uw Azure Digital Twins-exemplaar door te zoeken naar de naam ervan in de zoekbalk van de portal.

2. Selecteer Netwerken in het linkermenu.

3. Schakel over naar het tabblad Privé-eindpuntverbindingen .

4. Selecteer + Privé-eindpunt om de installatie Een privé-eindpunt maken te openen.

   

5. Voer op het tabblad Basisinformatie het abonnement en de resourcegroep van uw project in of selecteer deze, en een naam en regio voor uw eindpunt. De regio moet hetzelfde zijn als de regio voor het VNet dat u gebruikt.

   

   Wanneer u klaar bent, selecteert u de knop Volgende : Resource > om naar het volgende tabblad te gaan.

6. Voer op het tabblad Resource de volgende gegevens in of selecteer deze:

   • Verbindingsmethode: selecteer Verbinding maken met een Azure-resource in mijn directory om te zoeken naar uw Azure Digital Twins-exemplaar.
   • Abonnement: voer uw abonnement in.
   • Resourcetype: Selecteer Microsoft.DigitalTwins/digitalTwinsInstances
   • Resource: Selecteer de naam van uw Azure Digital Twins-exemplaar.
   • Doelsubresource: selecteer API.

   

   Wanneer u klaar bent, selecteert u de knop Volgende : Configuratie > om naar het volgende tabblad te gaan.

7. Voer op het tabblad Configuratie de volgende gegevens in of selecteer deze:

   • Virtueel netwerk: selecteer uw virtuele netwerk.
   • Subnet: kies een subnet uit uw virtuele netwerk.
   • Integreren met privé-DNS-zone: selecteer of u wilt integreren met privé-DNS-zone. U kunt de standaardwaarde Ja gebruiken of voor hulp bij deze optie kunt u de koppeling in de portal volgen voor meer informatie over privé-DNS-integratie. Als u Ja selecteert, kunt u de standaardconfiguratiegegevens laten staan.

   

   Wanneer u klaar bent, kunt u de knop Beoordelen en maken selecteren om de installatie te voltooien.

8. Controleer uw selecties op het tabblad Controleren en maken en selecteer de knop Maken .

Wanneer het eindpunt klaar is met implementeren, moet het worden weergegeven in de privé-eindpuntverbindingen voor uw Azure Digital Twins-exemplaar.

CLI

Als u een privé-eindpunt wilt maken en dit wilt koppelen aan een Azure Digital Twins-exemplaar met behulp van de Azure CLI, gebruikt u de opdracht az network private-endpoint create . Identificeer het Azure Digital Twins-exemplaar met behulp van de volledig gekwalificeerde id in de --private-connection-resource-id parameter.

Hier volgt een voorbeeld waarin de opdracht wordt gebruikt om een privé-eindpunt te maken, met alleen de vereiste parameters.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Zie de referentiedocumentatie az network private-endpoint create voor een volledige lijst met vereiste en optionele parameters, evenals meer voorbeelden van het maken van privé-eindpunten.

Privé-eindpunten beheren

In deze sectie ziet u hoe u een privé-eindpunt kunt weergeven, bewerken en verwijderen nadat het is gemaakt.

Portal

Zodra er een privé-eindpunt is gemaakt voor uw Azure Digital Twins-exemplaar, kunt u dit bekijken op het tabblad Netwerken voor uw Azure Digital Twins-exemplaar. Op deze pagina worden alle privé-eindpuntverbindingen weergegeven die aan het exemplaar zijn gekoppeld.

Selecteer het eindpunt om de informatie in detail weer te geven, wijzigingen aan te brengen in de configuratie-instellingen of de verbinding te verwijderen.

Tip

Het eindpunt kan ook worden weergegeven vanuit het Private Link Center in de Azure Portal.

CLI

Zodra een privé-eindpunt is gemaakt voor uw Azure Digital Twins-exemplaar, kunt u de opdrachten az dt network private-endpoint connection gebruiken om door te gaan met het beheren van privé-eindpuntverbindingen met betrekking tot het exemplaar. Bewerkingen zijn onder andere:

• Een privé-eindpuntverbinding weergeven
• De status van de privé-eindpuntverbinding instellen
• De privé-eindpuntverbinding verwijderen
• Alle privé-eindpuntverbindingen voor een exemplaar weergeven

Zie de referentiedocumentatie az dt network private-endpoint voor meer informatie en voorbeelden.

Meer Private Link informatie

U kunt meer informatie krijgen over de Private Link status van uw exemplaar met de opdrachten az dt network private-link. Bewerkingen zijn onder andere:

• Privékoppelingen weergeven die zijn gekoppeld aan een Azure Digital Twins-exemplaar
• Een privékoppeling weergeven die is gekoppeld aan het exemplaar

Zie de naslagdocumentatie az dt network private-link voor meer informatie en voorbeelden.

Openbare netwerktoegangsvlagmen uitschakelen/inschakelen

U kunt uw Azure Digital Twins-exemplaar zo configureren dat alle openbare verbindingen worden geweigerd en dat alleen verbindingen via eindpunten voor privétoegang worden toegestaan om de netwerkbeveiliging te verbeteren. Deze actie wordt uitgevoerd met een vlag voor openbare netwerktoegang.

Met dit beleid kunt u API-toegang beperken tot alleen Private Link-verbindingen. Wanneer de vlag voor openbare netwerktoegang is ingesteld op disabled, retourneren 403, Unauthorizedalle REST API-aanroepen naar het gegevensvlak van het Azure Digital Twins-exemplaar vanuit de openbare cloud. Anders slaagt de API-aanroep wanneer het beleid is ingesteld op disabled en een aanvraag wordt gedaan via een privé-eindpunt.

U kunt de waarde van de netwerkvlag bijwerken met behulp van het Azure Portal, Azure CLI of ARMClient-opdrachtprogramma.

Portal

Als u openbare netwerktoegang in de Azure Portal wilt uitschakelen of inschakelen, opent u de portal en navigeert u naar uw Azure Digital Twins-exemplaar.

1. Selecteer Netwerken in het linkermenu.

2. Stel op het tabblad Openbare toegangopenbare netwerktoegang toestaan in opUitgeschakeld of Alle netwerken.

   

   Selecteer Opslaan.

CLI

In de Azure CLI kunt u openbare netwerktoegang uitschakelen of inschakelen door een --public-network-access parameter toe te voegen aan de az dt create opdracht. Hoewel deze opdracht ook kan worden gebruikt om een nieuw exemplaar te maken, kunt u deze gebruiken om de eigenschappen van een bestaand exemplaar te bewerken door de naam op te geven van een exemplaar dat al bestaat. (Zie de referentiedocumentatie of de algemene instructies voor het instellen van een Azure Digital Twins-exemplaar voor meer informatie over deze opdracht).

Als u openbare netwerktoegang wilt uitschakelen voor een Azure Digital Twins-exemplaar, gebruikt u de --public-network-access parameter als volgt:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Gebruik de volgende vergelijkbare opdracht om openbare netwerktoegang in te schakelen op een exemplaar waarop deze momenteel is uitgeschakeld:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Met het armClient-opdrachtprogramma wordt openbare netwerktoegang in- of uitgeschakeld met behulp van de onderstaande opdrachten.

Openbare netwerktoegang uitschakelen:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Openbare netwerktoegang inschakelen:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Implementeren met ARM-sjablonen

U kunt ook Private Link met Azure Digital Twins instellen met behulp van een ARM-sjabloon.

Zie Azure Digital Twins met Azure-functie en Private Link (ARM-sjabloon) voor een voorbeeldsjabloon waarmee een Azure-functie verbinding kan maken met Azure Digital Twins via een Private Link-eindpunt.

Met deze sjabloon maakt u een Azure Digital Twins-exemplaar, een virtueel netwerk, een Azure-functie die is verbonden met het virtuele netwerk en een Private Link-verbinding om het Azure Digital Twins-exemplaar toegankelijk te maken voor de Azure-functie via een privé-eindpunt.

Problemen oplossen

Hier volgen enkele veelvoorkomende problemen die zich kunnen voordoen bij het gebruik van Private Link met Azure Digital Twins.

• Probleem: Wanneer u toegang probeert te krijgen tot Azure Digital Twins-API's, ziet u http-foutcode 403 met de volgende fout in de antwoordtekst:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Resolutie: Deze fout treedt op wanneer publicNetworkAccess is uitgeschakeld voor het Azure Digital Twins-exemplaar en API-aanvragen naar verwachting via Private Link worden verzonden, maar de aanroep is gerouteerd via het openbare netwerk (mogelijk via een load balancer die is geconfigureerd voor een virtueel netwerk). Zorg ervoor dat uw API-client het privé-IP-adres voor het privé-eindpunt omzet wanneer u toegang probeert te krijgen tot de API via de hostnaam van het eindpunt.

  Als u hostnaamomzetting naar het privé-IP-adres van het privé-eindpunt in een subnet wilt vergemakkelijken, kunt u een privé-DNS-zone configureren. Controleer of de privé-DNS-zone correct is gekoppeld aan het virtuele netwerk en de juiste zonenaam gebruikt, zoals privatelink.digitaltwins.azure.net.

• Probleem: Wanneer u toegang probeert te krijgen tot Azure Digital Twins via een privé-eindpunt, treedt er een time-out op voor de verbinding.

  Resolutie: Controleer of er geen regels voor netwerkbeveiligingsgroepen zijn die verhinderen dat de client communiceert met het privé-eindpunt en het bijbehorende subnet. Communicatie op TCP-poort 443 moet zijn toegestaan tussen het bron-IP-adres/subnet van de client en het IP-adres/subnet van de bestemming van het privé-eindpunt.

Zie Verbindingsproblemen met Azure-privé-eindpunten oplossen voor meer Private Link suggesties voor probleemoplossing.

Volgende stappen

Stel snel een beveiligde omgeving in met Private Link met behulp van een ARM-sjabloon: Azure Digital Twins met Azure-functie en Private Link.

Of meer informatie over Private Link voor Azure: Wat is Azure Private Link service?