你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用专用链接实现对 Azure 数字孪生的专用访问
通过将 Azure 数字孪生与 Azure 专用链接结合使用,可以为 Azure 数字孪生实例启用专用终结点,以消除公开披露,并允许位于虚拟网络中的客户端通过专用链接安全地访问实例。 有关 Azure 数字孪生的此安全策略的详细信息,请参阅与 Azure 数字孪生实例的专用终结点的专用链接。
本文介绍了以下步骤:
- 打开专用链接,并为 Azure 数字孪生实例配置专用终结点。
- 查看、编辑或删除 Azure 数字孪生实例中的专用终结点。
- 禁用或启用公用网络访问标志,从而将 Azure 数字孪生的 API 访问限制为仅使用专用链接连接。
本文还介绍了如何使用 ARM 模板部署具有专用链接的 Azure 数字孪生,以及如何排查配置的问题。
先决条件
在设置专用终结点之前,需要一个可在其中部署终结点的 Azure 虚拟网络 (VNet) 。 如果尚无 VNet,可以按照 Azure 虚拟网络快速入门中的其中一种方式进行设置。
向 Azure 数字孪生添加专用终结点
可以使用 Azure 门户或 Azure CLI 启用与 Azure 数字孪生实例的专用终结点的专用链接。
如果要在实例的初始设置过程中设置专用链接,需要使用 Azure 门户。 否则,如果要在创建实例后启用其专用链接,可以使用 Azure 门户或 Azure CLI。 每种创建方法都将为实例提供相同的配置选项和相同的最终结果。
使用本部分中的选项卡,可以选择针对你首选体验的说明。
提示
此外,还可以通过专用链接服务设置专用链接终结点,而非通过 Azure 数字孪生实例。 此方法也将提供相同的配置选项和相同的最终结果。
有关设置专用链接资源的详细信息,请参阅 Azure 门户、Azure CLI、Azure 资源管理器或 PowerShell 的专用链接文档。
在实例创建过程中添加专用终结点
在本部分中,你将创建一个专用终结点,其中会在 Azure 数字孪生实例的初始设置过程中设置专用链接。 这个操作只能通过 Azure 门户来完成。
本部分介绍在 Azure 门户中设置 Azure 数字孪生实例时,如何启用专用链接。
“专用链接”选项位于实例设置的“网络”选项卡中。
开始在 Azure 门户中设置一个 Azure 数字孪生实例。 有关说明,请参阅设置实例和身份验证。
当你访问实例设置的“网络”选项卡时,可以通过在“连接方式”中选择“专用终结点”选项来启用专用终结点。
这样做将会添加一个名为“专用终结点连接”的部分,在其中可以配置专用终结点的详细信息。 选择“+ 添加”按钮继续操作。
在打开的“创建专用终结点”页中,输入新专用终结点的详细信息。
为“订阅”和“资源组”填充所选内容。 将“位置”设置为与要使用的 VNet 相同的位置。 选择终结点“名称”,并为“目标子资源”选择“API”。
接下来,选择要用于部署终结点的“虚拟网络”和“子网” 。
最后,选择是否与专用 DNS 区域集成。 可以使用默认值“是”,或者为了便于选择,通过门户中的链接来详细了解专用 DNS 集成。
填写完配置选项后,选择“确定”完成此操作。
完成此过程后,门户会将你返回到 Azure 数字孪生实例设置的“网络”选项卡。 验证新终结点在“专用终结点连接”下是否可见。
使用底部的导航按钮继续完成余下的实例设置。
将专用终结点添加到现有实例
在本部分中,将在已存在的 Azure 数字孪生实例上启用包含专用终结点的专用链接。
首先,在浏览器中导航到 Azure 门户。 在门户搜索栏中搜索 Azure 数字孪生实例的名称,打开该实例。
在左侧菜单中选择“网络”。
切换到“专用终结点连接”选项卡。
选择“+ 专用终结点”,打开“创建专用终结点”设置。
在“基本信息”选项卡中,输入或选择项目的“订阅”和“资源组”,以及终结点的“名称”和“区域” 。 区域需要与要使用的 VNet 的所在区域相同。
完成后,选择“下一步: 资源 ”按钮以转到下一个选项卡。
在“资源”选项卡中,输入或选择以下信息:
- 连接方法:选择“连接到我的目录中的 Azure 资源”,以搜索 Azure 数字孪生实例。
- 订阅:输入你的订阅。
- 资源类型:选择 "Microsoft.DigitalTwins/digitalTwinsInstances”
- 资源:选择 Azure 数字孪生实例的名称。
- 目标子资源:选择 "API”。
完成后,选择“下一步: 配置 ”按钮以转到下一个选项卡。
在“配置”选项卡中,输入或选择以下信息:
- 虚拟网络:选择虚拟网络。
- 子网:从虚拟网络中选择一个子网。
- 与专用 DNS 区域集成:选择是否“与专用 DNS 区域集成”。 可以使用默认值“是”,或者为了便于选择,通过门户中的链接来详细了解专用 DNS 集成。 如果选择“是”,则可以保留默认配置信息。
完成后,可以选择“预览 + 创建”按钮以完成设置。
在“查看 + 创建”选项卡中查看所做的选择,然后选择“创建”按钮 。
终结点部署完成后,它应显示在 Azure 数字孪生实例的专用终结点连接中。
管理专用终结点
在本部分中,你将了解在创建专用终结点后,如何查看、编辑和删除专用终结点。
为 Azure 数字孪生实例创建专用终结点后,可以在 Azure 数字孪生实例的“网络”选项卡中查看它。 此页将显示与实例关联的所有专用终结点连接。
选择终结点可以查看详细信息,更改其配置设置,或删除连接。
提示
也可以从 Azure 门户的“专用链接中心”查看该终结点。
禁用/启用公用网络访问标志
可以将 Azure 数字孪生实例配置为拒绝所有公共连接,并仅允许通过专用访问终结点进行连接,以增强网络安全。 使用公用网络访问标志完成此操作。
此策略支持将 API 访问限制为仅使用专用链接连接。 将公用网络访问标志设置为 disabled 时,所有从公有云对 Azure 数字孪生实例数据平面的 REST API 调用都将返回 403, Unauthorized。 否则,如果将策略设置为 disabled,并通过专用终结点发出请求,则 API 调用将成功。
可以使用 Azure 门户、Azure CLI 或 ARMClient 命令工具更新网络标志的值。
若要在 Azure 门户中禁用或启用公用网络访问,请打开门户并导航到 Azure 数字孪生实例。
在左侧菜单中选择“网络”。
在“公共访问”选项卡中,将“允许公用网络访问”设置为“已禁用”或“所有网络” 。
选择“保存”。
使用 ARM 模板进行部署
还可以使用 ARM 模板设置与 Azure 数字孪生的专用链接。
有关允许 Azure 函数通过专用链接终结点连接到 Azure 数字孪生的示例模板,请参阅 Azure 数字孪生与 Azure 函数和专用链接(ARM 模板)。
此模板创建一个 Azure 数字孪生实例、一个虚拟网络、一个连接到虚拟网络的 Azure 函数和一个专用链接连接,以使 Azure 函数能够通过专用终结点访问 Azure 数字孪生实例。
疑难解答
下面是将专用链接与 Azure 数字孪生配合使用时可能出现的一些常见问题。
问题:尝试访问 Azure 数字孪生 API 时,看到 HTTP 错误代码 403,且响应正文中显示以下错误:
{ "statusCode": 403, "message": "Public network access disabled by policy." }解决方法:如果已为 Azure 数字孪生实例禁用
publicNetworkAccess,并且预计 API 请求将通过专用链接传送,但调用通过公用网络(可能是通过为虚拟网络配置的负载均衡器)路由,则会产生此错误。 尝试通过终结点主机名访问 API 时,请确保 API 客户端正在解析专用终结点的专用 IP。为方便将主机名解析为子网中专用终结点的专用 IP,可以配置专用 DNS 区域。 验证专用 DNS 区域是否已正确链接到虚拟网络,并使用正确的区域名称(例如
privatelink.digitaltwins.azure.net)。问题:尝试通过专用终结点访问 Azure 数字孪生时,连接超时。
解决方法:验证是否不存在禁止客户端与专用终结点及其子网通信的网络安全组规则。 在客户端的源 IP 地址/子网和专用终结点目标 IP 地址/子网之间,必须允许 TCP 端口 443 上的通信。
有关更多专用链接故障排除建议,请参阅排查 Azure 专用终结点连接问题。
后续步骤
使用 ARM 模板快速设置使用专用链接的受保护环境:Azure 数字孪生与 Azure 函数和专用链接。
或者,详细了解 Azure 的专用链接:什么是 Azure 专用链接服务?