使用 Private Link 啟用 Azure Digital Twins 的私人存取
藉由搭配使用 Azure Digital Twins 與 Azure Private Link,您可以為 Azure Digital Twins 執行個體啟用私人端點,以排除公開曝光的風險,並讓位於虛擬網路中的用戶端能夠透過 Private Link 安全地存取執行個體。 如需這個 Azure Digital Twins 安全性策略的詳細資訊,請參閱 Private Link 與 Azure Digital Twins 執行個體的私人端點。
以下是本文所涵蓋的步驟:
- 開啟 Private Link 並設定 Azure Digital Twins 執行個體的私人端點。
- 從 Azure Digital Twins 執行個體檢視、編輯或刪除私人端點。
- 停用或啟用公用網路存取旗標,以限制 Azure Digital Twins 到 Private Link 連線的 API 存取。
本文也包含使用 ARM 範本部署 Azure Digital Twins 與 Private Link 的資訊,以及針對設定進行疑難排解的資訊。
必要條件
在設定私人端點之前,您必須有 Azure 虛擬網路 (VNet) 才能在其中部署端點。 如果您還沒有 VNet,則可以遵循其中一個 Azure 虛擬網路快速入門來進行設定。
將私人端點新增至 Azure Digital Twins
您可以使用 Azure 入口網站或 Azure CLI 來開啟 Private Link 與 Azure Digital Twins 執行個體的私人端點。
如果您想要將 Private Link 設定為執行個體初始設定的一部分,則必須使用 Azure 入口網站。 否則,如果您想要在執行個體建立好之後,於執行個體上啟用 Private Link,則可以使用 Azure 入口網站或 Azure CLI。 這兩種建立方法都會為執行個體提供相同的組態選項和相同的最終結果。
使用下列各節中的索引標籤來選取所偏好體驗的指示。
提示
您也可以透過 Private Link 服務來設定 Private Link 端點,而不透過 Azure Digital Twins 執行個體來進行。 這也會提供相同的組態選項和相同的最終結果。
如需如何設定 Private Link 資源的詳細資訊,請參閱適用於 Azure 入口網站、Azure CLI、Azure Resource Manager 或 PowerShell 的 Private Link 文件。
在建立執行個體的期間新增私人端點
在本節中,您將會建立私人端點與 Private Link 來作為 Azure Digital Twins 執行個體初始設定的一部分。 此動作只能在 Azure 入口網站中進行。
本節說明如何在 Azure 入口網站中設定 Azure Digital Twins 執行個體時開啟 Private Link。
Private Link 選項位於執行個體設定的 [網路] 索引標籤中。
開始在 Azure 入口網站中設定 Azure Digital Twins 執行個體。 如需指示,請參閱設定執行個體和驗證。
當您到達執行個體設定的 [網路] 索引標籤時,您可以選取 [私人端點] 選項來作為 [連線方法] 以啟用私人端點。
這麼做會新增稱為 [私人端點連線] 的區段,以供您設定私人端點的詳細資料。 選取 [+ 新增] 按鈕以繼續。
在開啟的 [建立私人端點] 頁面中,輸入新私人端點的詳細資料。
填入選取的 [訂用帳戶] 和 [資源群組]。 將 [位置] 設定為與要使用的 VNet 相同的位置。 選擇端點的 [名稱],然後針對 [目標子資源] 選取 [API]。
接下來,選取您要用來部署端點的 [虛擬網路] 和 [子網路]。
最後,選取是否要 [與私人 DNS 區域整合]。 您可以使用預設值 [是],或者,如需此選項的說明,則可以遵循入口網站中的連結來深入了解私人 DNS 整合。
填寫好組態選項之後,選取 [確定] 來完成。
完成此程序之後,入口網站會讓您返回 Azure Digital Twins 執行個體設定的 [網路] 索引標籤。 確認在 [私人端點連線] 下可以看見您的新端點。
使用底部的導覽按鈕繼續設定其餘執行個體。
將私人端點新增至現有執行個體
在本節中,您將啟用 Private Link 與已存在的 Azure Digital Twins 執行個體私人端點。
首先,在瀏覽器中瀏覽至 Azure 入口網站。 在入口網站的搜尋列中搜尋您 Azure Digital Twins 執行個體的名稱,以啟動您的 Azure Digital Twins 執行個體。
選取左側功能表中的 [網路]。
切換至 [私人端點連線] 索引標籤。
選取 [+ 私人端點] 以開啟 [建立私人端點] 設定。
在 [基本資料] 索引標籤中,輸入或選取專案的 [訂用帳戶] 和 [資源群組],以及端點的 [名稱] 和 [區域]。 區域必須與要使用的 VNet 區域相同。
完成時,選取 [下一步:資源 >] 按鈕以移至下一個索引標籤。
在 [資源] 索引標籤中,輸入或選取下列資訊:
- 連線方法:選取 [連線到我目錄中的 Azure 資源],以搜尋您的 Azure Digital Twins 執行個體。
- 訂用帳戶:輸入您的訂用帳戶。
- 資源類型:選取 [Microsoft.DigitalTwins/digitalTwinsInstances]
- 資源:選取 Azure Digital Twins 執行個體的名稱。
- 目標子資源:選取 [API]。
完成時,選取 [下一步: 設定 >] 按鈕以移至下一個索引標籤。
在 [設定] 索引標籤中,輸入或選取下列資訊:
- 虛擬網路:選取您的虛擬網路。
- 子網路:從虛擬網路中選擇子網路。
- 與私人 DNS 區域整合:選取是否要 [與私人 DNS 區域整合]。 您可以使用預設值 [是],或者,如需此選項的說明,則可以遵循入口網站中的連結來深入了解私人 DNS 整合。 如果您選取 [是],則可以保留預設的設定資訊。
完成時,您可以選取 [檢閱 + 建立] 按鈕以完成設定。
在 [檢閱 + 建立] 索引標籤中,檢閱您的選取項目,然後選取 [建立] 按鈕。
當端點完成部署時,其應該會在 Azure Digital Twins 執行個體的私人端點連線中出現。
管理私人端點
在本節中,您將了解如何在建立私人端點之後,檢視、編輯和刪除私人端點。
在為 Azure Digital Twins 執行個體建立私人端點後,您可以在 Azure Digital Twins 執行個體的 [網路] 索引標籤中檢視該私人端點。 此頁面會顯示與執行個體相關聯的所有私人端點連線。
選取端點以詳細檢視其資訊、變更其組態設定,或刪除連線。
提示
您也可以從 Azure 入口網站的 Private Link 中心檢視端點。
停用/啟用公用網路存取旗標
您可以將 Azure Digital Twins 實例設定為拒絕所有公用連線,並只允許透過私人存取端點的連線來增強網路安全性。 您可以使用公用網路存取旗標來完成此動作。
此原則可讓您限制只能對 Private Link 連線進行 API 存取。 當公用網路存取旗標設定為 disabled
時,所有從公用雲端對 Azure Digital Twins 執行個體資料平面所發出的 REST API 呼叫都會傳回 403, Unauthorized
。 否則,當原則設定為 disabled
且透過私人端點提出要求時,API 呼叫將會成功。
您可以使用 Azure 入口網站、Azure CLI 或 ARMClient 命令工具來更新網路旗標的值。
若要在 Azure 入口網站中停用或啟用公用網路存取,請開啟入口網站,並瀏覽至您的 Azure Digital Twins 執行個體。
使用 ARM 範本進行部署
您也可以使用 ARM 範本來設定 Private Link 與 Azure Digital Twins。
如需可讓 Azure 函式透過 Private Link 端點連線到 Azure Digital Twins 的範例範本,請參閱 Azure Digital Twins 與 Azure 函式和 Private Link (ARM 範本)。
此範本會建立 Azure Digital Twins 執行個體、虛擬網路、連線至虛擬網路的 Azure 函式,以及 Private Link 連線,讓 Azure 函式可透過私人端點存取 Azure Digital Twins 執行個體。
疑難排解
以下是使用 Private Link 與 Azure Digital Twins 時可能引發的一些常見問題。
問題:在嘗試存取 Azure Digital Twins API 時,您在回應本文中看到 HTTP 錯誤碼 403 與下列錯誤:
{ "statusCode": 403, "message": "Public network access disabled by policy." }
解決方案:當 Azure Digital Twins 執行個體的
publicNetworkAccess
已停用,且 API 要求預期會通過 Private Link,但呼叫卻透過公用網路路由 (可能透過針對虛擬網路設定的負載平衡器) 時,便會發生此錯誤。 確定在嘗試透過端點主機名稱存取 API 時,您的 API 用戶端會解析私人端點的私人 IP。若要讓子網路中私人端點的私人 IP 可進行主機名稱解析,您可以設定私人 DNS 區域。 確認私人 DNS 區域已正確連結至虛擬網路,並使用正確的區域名稱,例如
privatelink.digitaltwins.azure.net
。問題:嘗試透過私人端點存取 Azure Digital Twins 時,連線會逾時。
解決方案:請確認沒有任何網路安全性群組規則禁止用戶端與私人端點及其子網路進行通訊。 用戶端的來源 IP 位址/子網路和私人端點目的地 IP 位址/子網路之間必須允許 TCP 連接埠 443 上的通訊。
如需更多 Private Link 疑難排解建議,請參閱針對 Azure 私人端點連線問題進行疑難排解。
下一步
使用 ARM 範本快速設定以 Private Link 進行保護的環境:Azure Digital Twins 搭配 Azure 函式和 Private Link。
或者,深入了解 Azure Private Link:什麼是 Azure Private Link 服務?