Privát hozzáférés engedélyezése az Azure Digital Twinshez a Private Link használatával

Cikk
01/03/2025

Az Azure Digital Twins és az Azure Private Link együttes használatával engedélyezheti az Azure Digital Twins-példány privát végpontjait, megszüntetheti a nyilvános kitettséget, és engedélyezheti a virtuális hálózaton található ügyfelek számára, hogy biztonságosan elérjék a példányt a Private Linken keresztül. Az Azure Digital Twins biztonsági stratégiájáról további információt az Azure Digital Twins-példány privát végpontjával rendelkező Privát kapcsolat című témakörben talál.

A cikk az alábbi lépéseket ismerteti:

Kapcsolja be a Private Linket, és konfiguráljon egy privát végpontot egy Azure Digital Twins-példányhoz.
Privát végpont megtekintése, szerkesztése vagy törlése egy Azure Digital Twins-példányból.
Tiltsa le vagy engedélyezze a nyilvános hálózati hozzáférési jelzőket, hogy az Azure Digital Twins API-hozzáférését csak privát kapcsolati kapcsolatokra korlátozza.

Ez a cikk az Azure Digital Twins arm-sablonnal való üzembe helyezésére és a konfiguráció hibaelhárítására vonatkozó információkat is tartalmaz.

Előfeltételek

Mielőtt beállíthat egy privát végpontot, szüksége lesz egy Azure-beli virtuális hálózatra (VNet), ahol a végpont üzembe helyezhető. Ha még nem rendelkezik virtuális hálózattal, a beállításhoz kövesse az Azure Virtual Network egyik rövid útmutatóját .

Privát végpontok hozzáadása az Azure Digital Twinshez

Az Azure Portal vagy az Azure CLI használatával bekapcsolhatja a Private Linket egy privát végponttal egy Azure Digital Twins-példányhoz.

Ha a private linket a példány kezdeti beállítása részeként szeretné beállítani, az Azure Portalt kell használnia. Ellenkező esetben, ha a létrehozása után engedélyezni szeretné a Private Linket egy példányon, használhatja az Azure Portalt vagy az Azure CLI-t. Ezen létrehozási módszerek bármelyike ugyanazokat a konfigurációs beállításokat és a végeredményt adja a példányhoz.

Az alábbi szakaszok lapjaival kiválaszthatja az előnyben részesített felhasználói élményre vonatkozó utasításokat.

Tipp.

A Private Link-végpontot a Private Link szolgáltatáson keresztül is beállíthatja az Azure Digital Twins-példány helyett. Ez ugyanazokat a konfigurációs beállításokat és ugyanazt a végeredményt adja.

A Private Link-erőforrások beállításáról további információt az Azure Portal, az Azure CLI , az Azure Resource Manager vagy a PowerShell Private Link dokumentációjában talál.

Privát végpont hozzáadása a példány létrehozása során

Ebben a szakaszban egy Privát kapcsolattal rendelkező privát végpontot fog létrehozni egy Azure Digital Twins-példány kezdeti beállításának részeként. Ez a művelet csak az Azure Portalon végezhető el.

Portál
Parancssori felület

Ez a szakasz azt ismerteti, hogyan kapcsolhatja be a Private Linket egy Azure Digital Twins-példány beállításakor az Azure Portalon.

A Private Link beállításai a példánybeállítás Hálózatkezelés lapján találhatók.

Kezdje el beállítani az Azure Digital Twins-példányt az Azure Portalon. Útmutatásért lásd: Példány és hitelesítés beállítása.
Amikor eléri a példányok beállításának Hálózatkezelés lapját, engedélyezheti a privát végpontokat a Kapcsolati módszer Privát végpont beállításának kiválasztásával.

Ezzel hozzáad egy privát végpontkapcsolatok nevű szakaszt, ahol konfigurálhatja a privát végpont részleteit. A folytatáshoz válassza a + Hozzáadás gombot.
A megnyíló Privát végpont létrehozása lapon adja meg egy új privát végpont részleteit.
1. Adja meg az előfizetés és az erőforráscsoport kijelölését. Állítsa a helyet a használni kívánt virtuális hálózattal megegyező helyre. Válassza ki a végpont nevét, a Cél alerőforrások esetében pedig az API-t.
2. Ezután válassza ki a végpont üzembe helyezéséhez használni kívánt virtuális hálózatot és alhálózatot .
3. Végül válassza ki, hogy integrálható-e a privát DNS-zónával. Használhatja az Igen alapértelmezett értékét, vagy ha segítségre van szüksége ehhez a beállításhoz, a portálon található hivatkozásra kattintva további információt kaphat a privát DNS-integrációról.
4. A konfigurációs beállítások kitöltése után kattintson az OK gombra a befejezéshez.
A folyamat befejezése után a portál visszakerül az Azure Digital Twins-példány beállításának Hálózatkezelés lapjára. Ellenőrizze, hogy az új végpont látható-e a privát végpont kapcsolataiban.
Az alsó navigációs gombokkal folytathatja a többi példány beállítását.

Privát végpont hozzáadása meglévő példányhoz

Ebben a szakaszban egy privát végponttal rendelkező Private Linket fog engedélyezni egy már létező Azure Digital Twins-példányhoz.

Portál
Parancssori felület

Először nyissa meg az Azure Portalt egy böngészőben. Az Azure Digital Twins-példányt úgy hozhatja létre, hogy rákeres a nevére a portál keresősávján.
Válassza a Bal oldali menü Hálózatkezelés elemét.
Váltson a Privát végpont kapcsolatai lapra .
Válassza a + Privát végpont lehetőséget a Privát végpont létrehozása beállítás megnyitásához.
Az Alapszintű beállítások lapon adja meg vagy válassza ki a projekt előfizetési és erőforráscsoportját, valamint a végpont nevét és régióját. A régiónak meg kell egyeznie a használt virtuális hálózat régióval.

Ha végzett, válassza a Tovább: Erőforrás > gombot a következő lapra való ugráshoz.
Az Erőforrás lapon adja meg vagy jelölje ki az alábbi adatokat:
- Kapcsolati módszer: Válassza a Csatlakozás egy Azure-erőforráshoz a címtáramban az Azure Digital Twins-példány kereséséhez.
- Előfizetés: Adja meg az előfizetését.
- Erőforrás típusa: Válassza a Microsoft.DigitalTwins/digitalTwinsInstances lehetőséget
- Erőforrás: Válassza ki az Azure Digital Twins-példány nevét.
- Cél-alerőforrás: Válassza ki az API-t.
Ha végzett, a Következő: Konfiguráció > gombra kattintva lépjen a következő lapra.
A Konfiguráció lapon adja meg vagy válassza ki az alábbi adatokat:
- Virtuális hálózat: Válassza ki a virtuális hálózatot.
- Alhálózat: Válasszon egy alhálózatot a virtuális hálózatból.
- Integrálás privát DNS-zónával: Válassza ki, hogy integrálható-e a privát DNS-zónával. Használhatja az Igen alapértelmezett értékét, vagy ha segítségre van szüksége ehhez a beállításhoz, a portálon található hivatkozásra kattintva további információt kaphat a privát DNS-integrációról. Ha az Igen lehetőséget választja, meghagyhatja az alapértelmezett konfigurációs adatokat.
Ha végzett, a telepítés befejezéséhez válassza a Véleményezés + létrehozás gombot.
A Véleményezés + létrehozás lapon tekintse át a kijelöléseket, és válassza a Létrehozás gombot.

Amikor a végpont üzembe helyezése befejeződött, a végpontnak meg kell jelennie az Azure Digital Twins-példány privát végpontkapcsolataiban.

Ha privát végpontot szeretne létrehozni, és egy Azure Digital Twins-példányhoz szeretné kapcsolni az Azure CLI használatával, használja az az network private-endpoint create parancsot. Azonosítsa az Azure Digital Twins-példányt a --private-connection-resource-id paraméterben található teljes azonosítójával.

Íme egy példa, amely a parancs használatával hoz létre egy privát végpontot, csak a szükséges paraméterekkel.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>"

A szükséges és választható paraméterek teljes listájáért, valamint további privát végpontlétrehozási példákért tekintse meg az az network private-endpoint create reference dokumentációját.

Privát végpontok kezelése

Ebben a szakaszban megtudhatja, hogyan tekinthet meg, szerkeszthet és törölhet egy privát végpontot a létrehozása után.

Portál
Parancssori felület

Miután létrehozott egy privát végpontot az Azure Digital Twins-példányhoz, megtekintheti azt az Azure Digital Twins-példány Hálózatkezelés lapján. Ezen a lapon megjelenik a példányhoz társított összes privát végpontkapcsolat.

Válassza ki a végpontot az információk részletes megtekintéséhez, a konfigurációs beállítások módosításához vagy a kapcsolat törléséhez.

Tipp.

A végpont az Azure Portal Private Link Centeréből is megtekinthető.

Nyilvános hálózati hozzáférési jelzők letiltása/engedélyezése

Az Azure Digital Twins-példányt úgy konfigurálhatja, hogy az összes nyilvános kapcsolatot megtagadja, és csak privát hozzáférési végpontokon keresztül engedélyezze a kapcsolatokat a hálózati biztonság növelése érdekében. Ez a művelet nyilvános hálózati hozzáférési jelzővel történik.

Ez a szabályzat lehetővé teszi, hogy az API-hozzáférést csak a Private Link-kapcsolatokhoz korlátozza. Ha a nyilvános hálózat hozzáférési jelzője be van állítva disabled, a nyilvános felhőből az Azure Digital Twins-példány adatsíkjára irányuló összes REST API-hívás vissza fog térni 403, Unauthorized. Ellenkező esetben, ha a szabályzat be van állítva disabled , és a kérés privát végponton keresztül történik, az API-hívás sikeres lesz.

A hálózati jelző értékét az Azure Portal, az Azure CLI vagy az ARMClient parancseszköz használatával frissítheti.

Ha le szeretné tiltani vagy engedélyezni szeretné a nyilvános hálózati hozzáférést az Azure Portalon, nyissa meg a portált, és keresse meg az Azure Digital Twins-példányt.

Válassza a Bal oldali menü Hálózatkezelés elemét.
A Nyilvános hozzáférés lapon állítsa be a Nyilvános hálózati hozzáférésengedélyezése letiltott vagy minden hálózathoz lehetőséget.

Válassza a Mentés lehetőséget.

Az Azure CLI-ben letilthatja vagy engedélyezheti a nyilvános hálózati hozzáférést úgy, hogy hozzáad egy paramétert --public-network-access a az dt create parancshoz. Bár ez a parancs egy új példány létrehozásához is használható, a meglévő példány tulajdonságainak szerkesztéséhez használhatja egy már létező példány nevének megadásával. (A parancsról további információt a referenciadokumentációban vagy az Azure Digital Twins-példány beállításának általános utasításaiban talál.

Az Azure Digital Twins-példány nyilvános hálózati hozzáférésének letiltásához használja az --public-network-access alábbi paramétert:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Ha engedélyezni szeretné a nyilvános hálózati hozzáférést egy olyan példányon, ahol jelenleg le van tiltva, használja a következő hasonló parancsot:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

Az ARMClient parancseszközzel a nyilvános hálózati hozzáférés engedélyezve van vagy le van tiltva az alábbi parancsokkal.

Nyilvános hálózati hozzáférés letiltása:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"

A nyilvános hálózati hozzáférés engedélyezése:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"

Üzembe helyezés ARM-sablonok használatával

A Private Linket arm-sablonnal is beállíthatja az Azure Digital Twins szolgáltatással.

Ha olyan mintasablont szeretne létrehozni, amely lehetővé teszi, hogy egy Azure-függvény privát kapcsolati végponton keresztül csatlakozzon az Azure Digital Twinshez, tekintse meg az Azure Digital Twins és a Private Link (ARM-sablon) című témakört.

Ez a sablon létrehoz egy Azure Digital Twins-példányt, egy virtuális hálózatot, egy, a virtuális hálózathoz csatlakoztatott Azure-függvényt és egy Privát kapcsolat kapcsolatot, hogy az Azure Digital Twins-példány elérhető legyen az Azure-függvény számára egy privát végponton keresztül.

Korlátozások és hibaelhárítás

A Private Link Azure Digital Twinsszel való használatának korlátozása, hogy a bérlők közötti forgatókönyvek nem támogatottak.

A hibaelhárításhoz az alábbi gyakori problémák merülhetnek fel:

Probléma: Az Azure Digital Twins API-k elérésekor egy 403-at tartalmazó HTTP-hibakód jelenik meg a válasz törzsében:
```
{
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}
```
Megoldás: Ez a hiba akkor fordul elő, ha publicNetworkAccess az Azure Digital Twins-példány le van tiltva, és az API-kérések várhatóan a Private Linken keresztül érkeznek, de a hívást a nyilvános hálózaton keresztül irányították (esetleg egy virtuális hálózathoz konfigurált terheléselosztón keresztül). Győződjön meg arról, hogy az API-ügyfél feloldja a privát végpont privát IP-címét, amikor megpróbál hozzáférni az API-hoz a végpont gazdagépnevén keresztül.

Az alhálózat privát végpontjának privát IP-címére való gazdanévfeloldás megkönnyítése érdekében konfigurálhat egy privát DNS-zónát. Ellenőrizze, hogy a privát DNS-zóna megfelelően van-e csatlakoztatva a virtuális hálózathoz, és a megfelelő zónanevet használja-e, például privatelink.digitaltwins.azure.net.
Probléma: Amikor privát végponton keresztül próbál hozzáférni az Azure Digital Twinshez, a kapcsolat túllépi az időkorlátot.

Megoldás: Ellenőrizze, hogy nincsenek-e olyan hálózati biztonsági csoportszabályok , amelyek tiltják az ügyfél számára a privát végpont és alhálózat felé való kommunikációt. A 443-as TCP-porton folytatott kommunikációt engedélyezni kell az ügyfél forrás IP-címe/alhálózata és a privát végpont cél IP-címe/alhálózata között.

A Private Link további hibaelhárítási javaslatait az Azure Privát végpont csatlakozási problémáinak elhárítása című témakörben találja.

Következő lépések

A Private Link használatával gyorsan beállíthat védett környezetet egy ARM-sablon használatával: Azure Digital Twins Azure-függvényekkel és Private Linkkel.

Vagy tudjon meg többet az Azure-hoz készült Private Linkről: Mi az Az Azure Private Link szolgáltatás?

Megosztás a következőn keresztül: