تمكين الوصول الخاص إلى Azure Digital Twins باستخدام Private Link

مقالة
06/01/2023

باستخدام Azure Digital Twins مع Azure Private Link، يمكنك تمكين نقاط النهاية الخاصة لمثيل Azure Digital Twins، للقضاء على التعرض العام والسماح للعملاء الموجودين في شبكتك الظاهرية بالوصول بأمان إلى المثيل عبر Private Link. لمزيد من المعلومات حول استراتيجية الأمان هذه ل Azure Digital Twins، راجع الارتباط الخاص بنقطة نهاية خاصة لمثيل Azure Digital Twins.

فيما يلي الخطوات التي تتناولها هذه المقالة:

قم بتشغيل Private Link وتكوين نقطة نهاية خاصة لمثيل Azure Digital Twins.
عرض نقطة نهاية خاصة أو تحريرها أو حذفها من مثيل Azure Digital Twins.
قم بتعطيل أو تمكين علامات الوصول إلى الشبكة العامة، لتقييد وصول واجهة برمجة التطبيقات ل Azure Digital Twins إلى اتصالات الارتباط الخاص فقط.

تحتوي هذه المقالة أيضا على معلومات لنشر Azure Digital Twins مع Private Link باستخدام قالب ARM، واستكشاف أخطاء التكوين وإصلاحها.

المتطلبات الأساسية

قبل أن تتمكن من إعداد نقطة نهاية خاصة، ستحتاج إلى شبكة Azure الظاهرية (VNet) حيث يمكن نشر نقطة النهاية. إذا لم يكن لديك شبكة ظاهرية بالفعل، يمكنك اتباع إحدى عمليات التشغيل السريع لشبكة Azure الظاهرية لإعداد هذا.

إضافة نقاط نهاية خاصة إلى Azure Digital Twins

يمكنك استخدام إما مدخل Azure أو Azure CLI لتشغيل Private Link مع نقطة نهاية خاصة لمثيل Azure Digital Twins.

إذا كنت تريد إعداد Private Link كجزء من الإعداد الأولي للمثيل، فستحتاج إلى استخدام مدخل Microsoft Azure. وإلا، إذا كنت تريد تمكين Private Link على مثيل بعد إنشائه، يمكنك استخدام إما مدخل Azure أو Azure CLI. ستعطي أي من أساليب الإنشاء هذه نفس خيارات التكوين والنتيجة النهائية نفسها للمثيل الخاص بك.

استخدم علامات التبويب في الأقسام أدناه لتحديد إرشادات تجربتك المفضلة.

تلميح

يمكنك أيضا إعداد نقطة نهاية Private Link من خلال خدمة Private Link، بدلا من مثيل Azure Digital Twins. وهذا يعطي أيضا نفس خيارات التكوين والنتيجة النهائية نفسها.

لمزيد من المعلومات حول إعداد موارد Private Link، راجع وثائق Private Link لمدخل Azure أو Azure CLI أو Azure Resource Manager أو PowerShell.

إضافة نقطة نهاية خاصة أثناء إنشاء المثيل

في هذا القسم، ستقوم بإنشاء نقطة نهاية خاصة باستخدام Private Link كجزء من الإعداد الأولي لمثيل Azure Digital Twins. لا يمكن إجراء هذا الإجراء إلا في مدخل Microsoft Azure.

بوابة
المبادره القطريه

يصف هذا القسم كيفية تشغيل الارتباط الخاص أثناء إعداد مثيل Azure Digital Twins في مدخل Microsoft Azure.

توجد خيارات Private Link في علامة التبويب Networking لإعداد المثيل.

ابدأ في إعداد مثيل Azure Digital Twins في مدخل Microsoft Azure. للحصول على الإرشادات، راجعإعداد المثيل والمصادقة.
عند الوصول إلى علامة التبويب Networking لإعداد المثيل، يمكنك تمكين نقاط النهاية الخاصة عن طريق تحديد خيار نقطة النهاية الخاصة لأسلوب الاتصال.

سيؤدي القيام بذلك إلى إضافة قسم يسمى اتصالات نقطة النهاية الخاصة حيث يمكنك تكوين تفاصيل نقطة النهاية الخاصة بك. حدد الزر + Add للمتابعة.
في صفحة Create private endpoint التي تفتح، أدخل تفاصيل نقطة نهاية خاصة جديدة.
1. املأ التحديدات لمجموعة الاشتراك والموارد. قم بتعيين الموقع إلى نفس موقع الشبكة الظاهرية التي ستستخدمها. اختر اسما لنقطة النهاية، وبالنسبة للموارد الفرعية المستهدفة، حدد API.
2. بعد ذلك، حدد الشبكة الظاهرية والشبكة الفرعية التي تريد استخدامها لنشر نقطة النهاية.
3. وأخيرا، حدد ما إذا كنت تريد التكامل مع منطقة DNS الخاصة. يمكنك استخدام الإعداد الافتراضي نعم أو، للحصول على تعليمات حول هذا الخيار، يمكنك اتباع الارتباط في المدخل لمعرفة المزيد حول تكامل DNS الخاص.
4. بعد ملء خيارات التكوين، حدد موافق للإنهاء.
بمجرد الانتهاء من هذه العملية، سيعيدك المدخل إلى علامة التبويب Networking لإعداد مثيل Azure Digital Twins. تحقق من أن نقطة النهاية الجديدة مرئية ضمن اتصالات نقطة النهاية الخاصة.
استخدم أزرار التنقل السفلية للمتابعة مع بقية إعداد المثيل.

إضافة نقطة نهاية خاصة إلى مثيل موجود

في هذا القسم، ستقوم بتمكين Private Link مع نقطة نهاية خاصة لمثيل Azure Digital Twins الموجود بالفعل.

بوابة
المبادره القطريه

أولا، انتقل إلى مدخل Microsoft Azure في مستعرض. اجلب مثيل Azure Digital Twins الخاص بك عن طريق البحث عن اسمه في شريط بحث المدخل.
حدد Networking في القائمة اليسرى.
ثم حدد تبويب Private endpoint connections.
حدد + نقطة النهاية الخاصة لفتح إعداد إنشاء نقطة نهاية خاصة.
في علامة التبويب أساسيات، أدخل أو حدد مجموعة الاشتراك والموارد لمشروعك، واسم ومنطقة لنقطة النهاية الخاصة بك. يجب أن تكون المنطقة هي نفسها المنطقة للشبكة الظاهرية التي تستخدمها.

عند الانتهاء، حدد الزر التالي : المورد > للانتقال إلى علامة التبويب التالية.
في علامة التبويب المورد ، أدخل أو حدد المعلومات التالية:
- أسلوب الاتصال: حدد الاتصال بمورد Azure في دليلي للبحث عن مثيل Azure Digital Twins.
- الاشتراك: أدخل اشتراكك.
- نوع المورد: حدد Microsoft.DigitalTwins/digitalTwinsInstances
- المورد: حدد اسم مثيل Azure Digital Twins.
- المورد الفرعي المستهدف: حدد API.
عند الانتهاء، حدد الزر التالي: التكوين > للانتقال إلى علامة التبويب التالية.
في علامة التبويب التهيئة ، أدخل المعلومات أو حددها:
- "Virtual network": حدد شبكتك الظاهرية.
- الشبكة الفرعية: اختر شبكة فرعية من شبكتك الظاهرية.
- التكامل مع منطقة DNS الخاصة: حدد ما إذا كنت تريد التكامل مع منطقة DNS الخاصة. يمكنك استخدام الإعداد الافتراضي نعم أو، للحصول على تعليمات حول هذا الخيار، يمكنك اتباع الارتباط في المدخل لمعرفة المزيد حول تكامل DNS الخاص. إذا حددت نعم، يمكنك ترك معلومات التكوين الافتراضية.
عند الانتهاء، يمكنك تحديد الزر Review + create لإنهاء الإعداد.
في علامة التبويب مراجعة + إنشاء ، راجع التحديدات وحدد الزر إنشاء .

عند الانتهاء من نشر نقطة النهاية، يجب أن تظهر في اتصالات نقطة النهاية الخاصة لمثيل Azure Digital Twins.

لإنشاء نقطة نهاية خاصة وربطها بمثيل Azure Digital Twins باستخدام Azure CLI، استخدم الأمر az network private-endpoint create . حدد مثيل Azure Digital Twins باستخدام معرفه المؤهل بالكامل في المعلمة --private-connection-resource-id .

فيما يلي مثال يستخدم الأمر لإنشاء نقطة نهاية خاصة، مع المعلمات المطلوبة فقط.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>"

للحصول على قائمة كاملة بالمعلمات المطلوبة والاختيارية، بالإضافة إلى أمثلة إنشاء نقطة نهاية خاصة أكثر، راجع الوثائق المرجعية لإنشاء نقطة نهاية خاصة للشبكة az.

إدارة نقاط نهاية خاصة

في هذا القسم، سترى كيفية عرض نقطة نهاية خاصة وتحريرها وحذفها بعد إنشائها.

بوابة
المبادره القطريه

بمجرد إنشاء نقطة نهاية خاصة لمثيل Azure Digital Twins، يمكنك عرضه في علامة التبويب Networking لمثيل Azure Digital Twins. ستعرض هذه الصفحة كافة اتصالات نقطة النهاية الخاصة المقترنة بالمثيل.

حدد نقطة النهاية لعرض معلوماتها بالتفصيل، أو إجراء تغييرات على إعدادات التكوين الخاصة بها، أو حذف الاتصال.

تلميح

يمكن أيضا عرض نقطة النهاية من مركز الارتباط الخاص في مدخل Microsoft Azure.

تعطيل / تمكين علامات الوصول إلى الشبكة العامة

يمكنك تكوين مثيل Azure Digital Twins لرفض جميع الاتصالات العامة والسماح بالاتصالات فقط من خلال نقاط نهاية الوصول الخاصة لتحسين أمان الشبكة. يتم تنفيذ هذا الإجراء مع علامة الوصول إلى الشبكة العامة.

يسمح لك هذا النهج بتقييد وصول واجهة برمجة التطبيقات إلى اتصالات الارتباط الخاص فقط. عند تعيين علامة الوصول إلى الشبكة العامة إلى disabled، ستعود 403, Unauthorizedجميع استدعاءات REST API إلى مستوى بيانات مثيل Azure Digital Twins من السحابة العامة . وإلا، عند تعيين النهج إلى disabled وتقديم طلب من خلال نقطة نهاية خاصة، سينجح استدعاء واجهة برمجة التطبيقات.

يمكنك تحديث قيمة علامة الشبكة باستخدام مدخل Microsoft Azure أو Azure CLI أو أداة الأمر ARMClient.

لتعطيل أو تمكين الوصول إلى الشبكة العامة في مدخل Microsoft Azure، افتح المدخل وانتقل إلى مثيل Azure Digital Twins.

حدد Networking في القائمة اليسرى.
في علامة التبويب الوصول العام، قم بتعيين السماح بالوصول إلى الشبكة العامة إلى معطل أو كافة الشبكات.

حدد حفظ.

في Azure CLI، يمكنك تعطيل الوصول إلى الشبكة العامة أو تمكينه عن طريق إضافة معلمة --public-network-accessaz dt create إلى الأمر . بينما يمكن استخدام هذا الأمر أيضا لإنشاء مثيل جديد، يمكنك استخدامه لتحرير خصائص مثيل موجود عن طريق تزويده باسم مثيل موجود بالفعل. (لمزيد من المعلومات حول هذا الأمر، راجع وثائقه المرجعية أو الإرشادات العامة لإعداد مثيل Azure Digital Twins).

لتعطيل الوصول إلى الشبكة العامة لمثيل Azure Digital Twins، استخدم المعلمة --public-network-access مثل هذا:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

لتمكين الوصول إلى الشبكة العامة على مثيل حيث تم تعطيله حاليا، استخدم الأمر المتشابه التالي:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

باستخدام أداة الأمر ARMClient، يتم تمكين الوصول إلى الشبكة العامة أو تعطيله باستخدام الأوامر أدناه.

لتعطيل الوصول إلى الشبكة العامة:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"

لتمكين الوصول إلى الشبكة العامة:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"

التوزيع باستخدام قوالب ARM

يمكنك أيضا إعداد Private Link مع Azure Digital Twins باستخدام قالب ARM.

للحصول على نموذج قالب يسمح لدالة Azure بالاتصال ب Azure Digital Twins من خلال نقطة نهاية Private Link، راجع Azure Digital Twins مع دالة Azure والارتباط الخاص (قالب ARM).

ينشئ هذا القالب مثيل Azure Digital Twins وشبكة ظاهرية ودالة Azure متصلة بالشبكة الظاهرية واتصال Private Link لجعل مثيل Azure Digital Twins متاحا لوظيفة Azure من خلال نقطة نهاية خاصة.

القيود واستكشاف الأخطاء وإصلاحها

يتمثل أحد قيود استخدام Private Link مع Azure Digital Twins في أن سيناريوهات المستأجرين غير مدعومة.

لاستكشاف الأخطاء وإصلاحها، فيما يلي بعض المشكلات الشائعة التي قد تنشأ:

المشكلة: عند محاولة الوصول إلى واجهات برمجة تطبيقات Azure Digital Twins، سترى رمز خطأ HTTP 403 مع الخطأ التالي في نص الاستجابة:
```
{
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}
```
الحل: يحدث هذا الخطأ عند publicNetworkAccess تعطيل مثيل Azure Digital Twins ومن المتوقع أن تأتي طلبات واجهة برمجة التطبيقات من خلال Private Link، ولكن تم توجيه الاستدعاء عبر الشبكة العامة (ربما عبر موازن تحميل تم تكوينه لشبكة ظاهرية). تأكد من أن عميل API الخاص بك يحل IP الخاص بنقطة النهاية الخاصة عند محاولة الوصول إلى واجهة برمجة التطبيقات من خلال اسم مضيف نقطة النهاية.

لتسهيل دقة اسم المضيف إلى عنوان IP الخاص لنقطة النهاية الخاصة في شبكة فرعية، يمكنك تكوين منطقة DNS خاصة. تحقق من أن منطقة DNS الخاصة مرتبطة بشكل صحيح بالشبكة الظاهرية وتستخدم اسم المنطقة الصحيحة، مثل privatelink.digitaltwins.azure.net.
المشكلة: عند محاولة الوصول إلى Azure Digital Twins من خلال نقطة نهاية خاصة، تنتهي مهلة الاتصال.

الحل: تحقق من عدم وجود قواعد لمجموعة أمان الشبكة تمنع العميل من الاتصال بنقطة النهاية الخاصة والشبكة الفرعية الخاصة به. يجب السماح بالاتصال على منفذ TCP 443 بين عنوان IP المصدر/الشبكة الفرعية للعميل، وعنوان IP/الشبكة الفرعية لوجهة نقطة النهاية الخاصة.

لمزيد من اقتراحات استكشاف أخطاء Private Link وإصلاحها، راجع استكشاف مشكلات اتصال نقطة النهاية الخاصة في Azure وإصلاحها.

الخطوات التالية

قم بإعداد بيئة محمية بسرعة باستخدام Private Link باستخدام قالب ARM: Azure Digital Twins باستخدام وظيفة Azure و Private Link.

أو، تعرف على المزيد حول Private Link ل Azure: ما هي خدمة Azure Private Link؟

مشاركة عبر