分享方式:

建立用於能源產業的 Azure 資料管理員的私人端點

  • 文章

Azure Private Link 提供從虛擬網路到 Azure 平台即服務 (PaaS) 服務的私人連線能力。 其可簡化網路架構,並透過消除公用網際網路上的資料暴露,來保護 Azure 中端點之間的連線。

您可以使用 Azure Private Link,透過私人端點從虛擬網路連線到用於能源產業的 Azure 資料管理員執行個體,而私人端點是位於虛擬網路的子網路中的一組私人 IP 位址。 您可以透過這些私人 IP 位址,限制對用於能源產業的 Azure 資料管理員執行個體的存取。

您可以使用自動或手動核准方法來連線到使用 Private Link 設定的用於能源產業的 Azure 資料管理員執行個體。 若要深入了解,請參閱 Private Link 文件

本文說明如何設定用於能源產業的 Azure 資料管理員的私人端點。

注意

若要啟用私人端點,必須停用 Azure Data Manager for Energy 的公用存取。 如果啟用公用存取並建立私人端點,則只會透過私人端點存取執行個體,而不會透過公用存取來存取執行個體。

注意

Terraform 目前不支援用於能源產業的 Azure 資料管理員的私人端點建立。

必要條件

在與用於能源產業的 Azure 資料管理員執行個體相同的訂閱中建立虛擬網路。 此虛擬網路會允許自動核准 Private Link 端點。

使用 Azure 入口網站在執行個體佈建期間建立私人端點

使用下列步驟在佈建用於能源產業的 Azure 資料管理員資源時建立私人端點:

  1. 在建立用於能源產業的 Azure 資料管理員執行個體期間,選取 [網路] 索引標籤。

    佈建期間 [網路] 索引標籤的螢幕擷取畫面。

  2. 在 [網路] 索引標籤中,選取 [停用公用存取並使用私人存取],然後選擇私人端點底下的 [新增]

    選擇新增私人端點的螢幕擷取畫面。

  3. 在 [建立私人端點] 中輸入或選取下列資訊,然後選取 [確定]

    設定
    訂用帳戶 選取您的訂用帳戶
    資源群組 選取資源群組
    Location 選取您要在其中部署私人端點的區域
    名稱 輸入私人端點的名稱。 名稱必須是唯一的
    目標子資源 根據預設,用於能源產業的 Azure 資料管理員

    網路

    設定
    虛擬網路 選取您要在其中部署私人端點的虛擬網路
    子網路 選取子網路

    私人 DNS 整合:

    設定
    與私人 DNS 區域整合 保留預設值 -
    私人 DNS 區域 保留預設值

    [建立私人端點] 索引標籤 - 1 的螢幕擷取畫面。

    [建立私人端點] 索引標籤 - 2 的螢幕擷取畫面。

  4. 確認 [網路] 索引標籤中的私人端點詳細資料,然後在完成其他索引標籤之後,選取 [檢閱+建立]

    私人端點詳細資料的螢幕擷取畫面。

  5. 在 [檢閱 + 建立] 頁面上,Azure 會驗證組態。 當您看到驗證通過時,請選取 [建立] 按鈕。

  6. 使用私人連結原則建立用於能源產業的 Azure 資料管理員執行個體。

  7. 您可以瀏覽至網路後執行個體佈建,並查看在 [私人存取] 索引標籤下建立的私人端點。

    已建立私人端點的螢幕擷取畫面。

使用 Azure 入口網站建立私人端點後執行個體佈建

使用下列步驟,透過 Azure 入口網站為現有的用於能源產業的 Azure 資料管理員執行個體建立私人端點:

  1. 從 [所有資源] 窗格中,選擇用於能源產業的 Azure 資料管理員執行個體。

  2. 從設定清單中選取 [網路]

  3. 在 [公用存取] 索引標籤上,選取 [從所有網路啟用] 以允許來自所有網路的流量。

    [公用存取] 索引標籤的螢幕擷取畫面。

    若要封鎖來自所有網路的流量,請選取 [停用]

  4. 選取 [私人存取] 索引標籤,然後選取 [建立私人端點]

    [私人存取] 索引標籤的螢幕擷取畫面。

  5. 在 [建立私人端點] 精靈,輸入或選取下列詳細資料:

    設定
    訂用帳戶 選取專案的訂閱。
    資源群組 選取專案的資源群組。
    名稱 輸入私人端點的名稱。 名稱必須是唯一的。
    區域 選取要部署 Private Link 的區域。

    輸入私人端點基本資訊的螢幕擷取畫面。

    注意

    只有在用於能源產業的 Azure 資料管理員執行個體和私人端點的虛擬網路位於相同的訂閱時,才會自動核准。

  6. 選取 [下一步:資源]。 在 [資源] 頁面上,確認下列資訊:

    設定
    訂用帳戶 您的訂用帳戶
    資源類型 Microsoft.OpenEnergyPlatform/energyServices
    資源 用於能源產業的 Azure 資料管理員執行個體
    目標子資源 根據預設,用於能源產業的 Azure 資料管理員 (適用於能源產業的 Azure 資料管理員)

    私人端點資源資訊的螢幕擷取畫面。

  7. 選取 [下一步:虛擬網路]。 在 [虛擬網路] 頁面上,您可以:

    • 設定網路和私人 IP 設定。 深入了解

    • 設定具有應用程式安全性群組的私人端點。 深入了解

    私人端點虛擬網路資訊的螢幕擷取畫面。

  8. 選取 [下一步:DNS]。 在 [DNS] 頁面上,您可以保留預設設定或設定私人 DNS 整合。 深入了解

    私人端點 DNS 資訊的螢幕擷取畫面。

  9. 選取 [下一步:標記]。 在 [標記] 頁面上,您可以新增標籤來分類資源。

  10. 選取 [檢閱 + 建立]。 在 [檢閱 + 建立] 頁面上,Azure 會驗證設定。

    當您看到 [通過驗證] 時,請選取 [建立]

    摘要並驗證私人端點設定的頁面螢幕擷取畫面。

  11. 部署完成後,請選取 [前往資源]

    顯示私人端點部署概觀的螢幕擷取畫面。

  12. 確認您建立的私人端點已自動核准。

    具有自動核准指示的私人端點相關資訊螢幕擷取畫面。

  13. 選取 [用於能源產業的 Azure 資料管理員] 執行個體,選取 [網路],然後選取 [私人存取] 索引標籤。確認您新建立的私人端點連線出現在清單中。

    [私人存取] 索引標籤的螢幕擷取畫面,其中包含自動核准的私人端點連線。

注意

當用於能源產業的 Azure 資料管理員執行個體和虛擬網路位於不同的租用戶或訂用帳戶時,您必須手動核准要求以建立私人端點。 [核准] 和 [拒絕] 按鈕會出現在 [私人存取] 索引標籤上。

此螢幕擷取畫面顯示拒絕或核准建立私人端點要求的選項。

在相同的虛擬網路中管理多個端點

透過 IP 與 DNS 存取

在相同的虛擬網路中,您可以建立多個端點。 每個端點都會有不同的 IP。 無法解析具有兩個差異 IP 的一個主機名稱。

  • 如果您透過 IP 存取資源:
    • 資源只能透過最新的私人 IP 位址進行存取。
    • 相同 vNet 中的所有先前私人 IP 都會變成懸空。
    • 即使您刪除最新的 IP,所有先前的 IP 仍會保持懸空。
  • 如果您透過 DNS 名稱進行存取:則不會看到任何差異。

知道資源所連線的目標端點

  1. 移至任何私人端點、DNS 設定,以及移至與 ADME 資源相關聯的私人 DNS 區域。

顯示 DNS 設定的螢幕擷取畫面。

  1. 在私人 DNS 區域中,檢查與您用於能源產業的 Azure 資料管理員執行個體相關聯的 IP。

顯示 DNS 區域的螢幕擷取畫面。

  1. 這是資源所連線的 IP。

具有靜態 IP 私人端點的新資料分割區

建議使用動態 IP 建立私人端點,以便建立動態資料分割區。 如果您使用靜態 IP 私人端點開始建立新的資料分割區,作業將會失敗。 每個新的資料分割區都需要三個額外的靜態 IP,這是靜態 IP 私人端點無法提供的。

若要使用靜態 IP 私人端點成功建立新的資料分割區,請遵循下列步驟:

  1. 使用動態 IP 建立新的私人端點,或啟用公用存取。
  2. 從 Azure Data Manager for Energy 執行個體中刪除具有靜態 IP 的現有私人端點,並從 Azure 資源中加以刪除。
  3. 成功建立新的資料分割區。
  4. 刪除具有動態 IP 的新建私人端點,並/或停用公用存取。
  5. 使用靜態 IP 建立新的私人端點。 此步驟此時會要求指派新的資料分割區所需的額外靜態 IP。 顯示靜態 IP 與新資料分割區的螢幕擷取畫面。

下一步

若要深入了解如何使用客戶加密箱做為介面,以檢閱和核准或拒絕存取要求。

使用用於能源產業的 Azure 資料管理員的客戶加密箱