Aktivera privat åtkomst till Azure Digital Twins med Private Link

Genom att använda Azure Digital Twins tillsammans med Azure Private Link kan du aktivera privata slutpunkter för din Azure Digital Twins-instans för att eliminera offentlig exponering och tillåta klienter som finns i ditt virtuella nätverk att på ett säkert sätt komma åt instansen via Private Link. Mer information om den här säkerhetsstrategin för Azure Digital Twins finns i Private Link med en privat slutpunkt för en Azure Digital Twins-instans.

Här är de steg som beskrivs i den här artikeln:

1. Aktivera Private Link och konfigurera en privat slutpunkt för en Azure Digital Twins-instans.
2. Visa, redigera eller ta bort en privat slutpunkt från en Azure Digital Twins-instans.
3. Inaktivera eller aktivera offentliga nätverksåtkomstflaggor för att begränsa API-åtkomst för en Azure Digital Twins till endast Private Link anslutningar.

Den här artikeln innehåller också information om hur du distribuerar Azure Digital Twins med Private Link med hjälp av en ARM-mall och felsökning av konfigurationen.

Förutsättningar

Innan du kan konfigurera en privat slutpunkt behöver du en Azure Virtual Network (VNet) där slutpunkten kan distribueras. Om du inte redan har ett virtuellt nätverk kan du följa någon av Snabbstarterna för Azure Virtual Network för att konfigurera detta.

Lägga till privata slutpunkter i Azure Digital Twins

Du kan använda antingen Azure Portal eller Azure CLI för att aktivera Private Link med en privat slutpunkt för en Azure Digital Twins-instans.

Om du vill konfigurera Private Link som en del av instansens första konfiguration måste du använda Azure Portal. Om du vill aktivera Private Link på en instans när den har skapats kan du använda antingen Azure Portal eller Azure CLI. Någon av dessa metoder för att skapa ger samma konfigurationsalternativ och samma slutresultat för din instans.

Använd flikarna i avsnitten nedan för att välja instruktioner för önskad upplevelse.

Tips

Du kan också konfigurera en Private Link slutpunkt via Private Link-tjänsten i stället för via din Azure Digital Twins-instans. Detta ger också samma konfigurationsalternativ och samma slutresultat.

Mer information om hur du konfigurerar Private Link resurser finns i Private Link dokumentation för Azure Portal, Azure CLI, Azure Resource Manager eller PowerShell.

Lägga till en privat slutpunkt när instansen skapas

I det här avsnittet skapar du en privat slutpunkt med Private Link som en del av den första installationen av en Azure Digital Twins-instans. Den här åtgärden kan bara utföras i Azure Portal.

Portal

I det här avsnittet beskrivs hur du aktiverar Private Link när du konfigurerar en Azure Digital Twins-instans i Azure Portal.

De Private Link alternativen finns på fliken Nätverk i instanskonfigurationen.

1. Börja konfigurera en Azure Digital Twins-instans i Azure Portal. Anvisningar finns i Konfigurera en instans och autentisering.

2. När du når fliken Nätverk i instanskonfigurationen kan du aktivera privata slutpunkter genom att välja alternativet Privat slutpunkt för anslutningsmetoden.

   Om du gör det lägger du till ett avsnitt med namnet Privata slutpunktsanslutningar där du kan konfigurera information om din privata slutpunkt. Välj knappen + Lägg till för att fortsätta.

   

3. På sidan Skapa privat slutpunkt som öppnas anger du information om en ny privat slutpunkt.

   

   1. Fyll i val för din prenumeration och resursgrupp. Ange platsen till samma plats som det virtuella nätverk som du ska använda. Välj ett namn för slutpunkten och välj API för Målunderresurser.

   2. Välj sedan det virtuella nätverk och undernät som du vill använda för att distribuera slutpunkten.

   3. Välj slutligen om du vill integrera med privat DNS-zon. Du kan använda standardvärdet Ja , eller om du vill ha hjälp med det här alternativet kan du följa länken i portalen för att lära dig mer om privat DNS-integrering.

   4. När du har fyllt i konfigurationsalternativen väljer du OK för att slutföra.

4. När du är klar med den här processen returnerar portalen dig till fliken Nätverk i Azure Digital Twins-instanskonfigurationen. Kontrollera att den nya slutpunkten visas under Privata slutpunktsanslutningar.

   

5. Använd de nedre navigeringsknapparna för att fortsätta med resten av instanskonfigurationen.

CLI

Du kan inte lägga till en Private Link slutpunkt när instansen skapas med hjälp av Azure CLI.

Du kan växla till Azure Portal för att lägga till slutpunkten när instansen skapas, eller fortsätta till nästa avsnitt för att använda CLI för att lägga till en privat slutpunkt när instansen har skapats.

Lägga till en privat slutpunkt i en befintlig instans

I det här avsnittet aktiverar du Private Link med en privat slutpunkt för en Azure Digital Twins-instans som redan finns.

Portal

1. Navigera först till Azure Portal i en webbläsare. Hämta din Azure Digital Twins-instans genom att söka efter dess namn i portalens sökfält.

2. Välj Nätverk på den vänstra menyn.

3. Växla till fliken Privata slutpunktsanslutningar .

4. Välj + Privat slutpunkt för att öppna konfigurationen Skapa en privat slutpunkt .

   

5. På fliken Grundläggande anger eller väljer du gruppen Prenumeration och Resurs för projektet och ett Namn och region för slutpunkten. Regionen måste vara samma som regionen för det virtuella nätverk som du använder.

   

   När du är klar väljer du knappen Nästa: Resurs > för att gå till nästa flik.

6. På fliken Resurs anger eller väljer du den här informationen:

   • Anslutningsmetod: Välj Anslut till en Azure-resurs i min katalog för att söka efter din Azure Digital Twins-instans.
   • Prenumeration: Ange din prenumeration.
   • Resurstyp: Välj Microsoft.DigitalTwins/digitalTwinsInstances
   • Resurs: Välj namnet på din Azure Digital Twins-instans.
   • Underresurs för mål: Välj API.

   

   När du är klar väljer du knappen Nästa: Konfiguration > för att gå till nästa flik.

7. På fliken Konfiguration anger eller väljer du den här informationen:

   • Virtuellt nätverk: Välj ditt virtuella nätverk.
   • Undernät: Välj ett undernät från ditt virtuella nätverk.
   • Integrera med privat DNS-zon: Välj om du vill integrera med privat DNS-zon. Du kan använda standardvärdet Ja , eller om du vill ha hjälp med det här alternativet kan du följa länken i portalen för att lära dig mer om privat DNS-integrering. Om du väljer Ja kan du lämna standardkonfigurationsinformationen.

   

   När du är klar kan du välja knappen Granska + skapa för att slutföra installationen.

8. På fliken Granska + skapa granskar du dina val och väljer knappen Skapa .

När slutpunkten har distribuerats bör den visas i de privata slutpunktsanslutningarna för din Azure Digital Twins-instans.

CLI

Om du vill skapa en privat slutpunkt och länka den till en Azure Digital Twins-instans med hjälp av Azure CLI använder du kommandot az network private-endpoint create . Identifiera Azure Digital Twins-instansen med hjälp av dess fullständigt kvalificerade ID i parametern --private-connection-resource-id .

Här är ett exempel som använder kommandot för att skapa en privat slutpunkt, med endast de obligatoriska parametrarna.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

En fullständig lista över obligatoriska och valfria parametrar samt fler exempel på att skapa privata slutpunkter finns i referensdokumentationen az network private-endpoint create.

Hantera privata slutpunkter

I det här avsnittet får du se hur du visar, redigerar och tar bort en privat slutpunkt när den har skapats.

Portal

När en privat slutpunkt har skapats för din Azure Digital Twins-instans kan du visa den på fliken Nätverk för din Azure Digital Twins-instans. På den här sidan visas alla privata slutpunktsanslutningar som är associerade med instansen.

Välj slutpunkten om du vill visa informationen i detalj, göra ändringar i konfigurationsinställningarna eller ta bort anslutningen.

Tips

Slutpunkten kan också visas från Private Link Center i Azure Portal.

CLI

När en privat slutpunkt har skapats för din Azure Digital Twins-instans kan du använda az dt network private-endpoint connection-kommandon för att fortsätta hantera privata slutpunktsanslutningar med avseende på instansen. Åtgärderna omfattar:

• Visa en privat slutpunktsanslutning
• Ange status för den privata slutpunktsanslutningen
• Ta bort den privata slutpunktsanslutningen
• Visa en lista över alla privata slutpunktsanslutningar för en instans

Mer information och exempel finns i referensdokumentationen för az dt network private-endpoint.

Få mer Private Link information

Du kan få mer information om Private Link status för din instans med kommandona az dt network private-link. Åtgärderna omfattar:

• Lista privata länkar som är associerade med en Azure Digital Twins-instans
• Visa en privat länk som är associerad med instansen

Mer information och exempel finns i referensdokumentationen az dt network private-link.

Inaktivera/aktivera åtkomstflaggor för offentligt nätverk

Du kan konfigurera din Azure Digital Twins-instans för att neka alla offentliga anslutningar och endast tillåta anslutningar via privata åtkomstslutpunkter för att förbättra nätverkssäkerheten. Den här åtgärden utförs med en åtkomstflagga för offentligt nätverk.

Med den här principen kan du begränsa API-åtkomsten till endast Private Link anslutningar. När åtkomstflaggan för det offentliga nätverket är inställd på disabledreturneras 403, Unauthorizedalla REST API-anrop till Azure Digital Twins-instansdataplanet från det offentliga molnet. Annars, när principen är inställd på disabled och en begäran görs via en privat slutpunkt, kommer API-anropet att lyckas.

Du kan uppdatera värdet för nätverksflaggan med hjälp av kommandoverktyget Azure Portal, Azure CLI eller ARMClient.

Portal

Om du vill inaktivera eller aktivera åtkomst till offentliga nätverk i Azure Portal öppnar du portalen och navigerar till din Azure Digital Twins-instans.

1. Välj Nätverk på den vänstra menyn.

2. På fliken Offentlig åtkomst anger du Tillåt åtkomst till offentligt nätverk till antingen Inaktiverade eller Alla nätverk.

   

   Välj Spara.

CLI

I Azure CLI kan du inaktivera eller aktivera åtkomst till offentligt nätverk genom att lägga till en --public-network-access parameter i az dt create kommandot. Det här kommandot kan också användas för att skapa en ny instans, men du kan använda det för att redigera egenskaperna för en befintlig instans genom att ange namnet på en instans som redan finns. (Mer information om det här kommandot finns i referensdokumentationen eller de allmänna instruktionerna för att konfigurera en Azure Digital Twins-instans).

Om du vill inaktivera åtkomst till offentligt nätverk för en Azure Digital Twins-instans använder du parametern --public-network-access så här:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Om du vill aktivera åtkomst till offentligt nätverk på en instans där den för närvarande är inaktiverad använder du följande liknande kommando:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Med kommandoverktyget ARMClient aktiveras eller inaktiveras åtkomsten till det offentliga nätverket med hjälp av kommandona nedan.

Så här inaktiverar du åtkomst till offentligt nätverk:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Så här aktiverar du åtkomst till offentligt nätverk:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Distribuera med ARM-mallar

Du kan också konfigurera Private Link med Azure Digital Twins med hjälp av en ARM-mall.

En exempelmall som gör att en Azure-funktion kan ansluta till Azure Digital Twins via en Private Link slutpunkt finns i Azure Digital Twins med Azure-funktionen och Private Link (ARM-mall).

Den här mallen skapar en Azure Digital Twins-instans, ett virtuellt nätverk, en Azure-funktion som är ansluten till det virtuella nätverket och en Private Link anslutning för att göra Azure Digital Twins-instansen tillgänglig för Azure-funktionen via en privat slutpunkt.

Felsöka

Här följer några vanliga problem som kan uppstå när du använder Private Link med Azure Digital Twins.

• Frågan: När du försöker komma åt Azure Digital Twins-API:er visas en HTTP-felkod 403 med följande fel i svarstexten:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Upplösning: Det här felet uppstår när publicNetworkAccess har inaktiverats för Azure Digital Twins-instansen och API-begäranden förväntas komma via Private Link, men anropet dirigerades via det offentliga nätverket (eventuellt via en lastbalanserare som konfigurerats för ett virtuellt nätverk). Kontrollera att API-klienten löser den privata IP-adressen för den privata slutpunkten när du försöker komma åt API:et via slutpunktens värdnamn.

  Om du vill underlätta matchning av värdnamn till den privata IP-adressen för den privata slutpunkten i ett undernät kan du konfigurera en privat DNS-zon. Kontrollera att den privata DNS-zonen är korrekt länkad till det virtuella nätverket och använder rätt zonnamn, till exempel privatelink.digitaltwins.azure.net.

• Frågan: När du försöker komma åt Azure Digital Twins via en privat slutpunkt överskrider anslutningen tidsgränsen.

  Upplösning: Kontrollera att det inte finns några regler för nätverkssäkerhetsgrupper som förbjuder klienten att kommunicera till den privata slutpunkten och dess undernät. Kommunikation på TCP-port 443 måste tillåtas mellan klientens IP-källadress/undernät och den privata slutpunktens mål-IP-adress/undernät.

Mer Private Link felsökningsförslag finns i Felsöka anslutningsproblem med privata Slutpunkter i Azure.

Nästa steg

Konfigurera snabbt en skyddad miljö med Private Link med hjälp av en ARM-mall: Azure Digital Twins med Azure-funktion och Private Link.

Eller läs mer om Private Link för Azure: Vad är Azure Private Link tjänst?