تمكين الوصول الخاص باستخدام الرابط الخاص

  • مقالة
  • قراءة خلال 9 دقائق

توضح هذه المقالة الطرق المختلفة لتمكين الارتباط الخاص مع نقطة نهاية خاصة لمثيل Azure Digital Twins. يتيح لك تكوين نقطة نهاية خاصة لمثيل Azure Digital Twins تأمين مثيل Azure Digital Twins والقضاء على التعرض العام. بالإضافة إلى ذلك، فإنه يساعد على تجنب استخراج البيانات من شبكة Azure الظاهرية (VNet).

فيما يلي الخطوات التي تمت تغطيتها في هذه المقالة:

  1. قم بتشغيل الارتباط الخاص وتكوين نقطة نهاية خاصة لمثيل Azure Digital Twins.
  2. عرض نقطة نهاية خاصة أو تحريرها أو حذفها من مثيل.
  3. قم بتعطيل أو تمكين علامات الوصول إلى الشبكة العامة، لتقييد وصول واجهة برمجة التطبيقات إلى اتصالات الرابط الخاص فقط.

المتطلبات الأساسية

قبل أن تتمكن من إعداد نقطة نهاية خاصة، ستحتاج إلى شبكة Azure الظاهرية (VNet) حيث يمكن نشر نقطة النهاية. إذا لم يكن لديك VNet بالفعل، فيمكنك اتباع إحدى عمليات التشغيل السريع لشبكة Azure الظاهرية لإعداد ذلك.

إضافة نقطة نهاية خاصة إلى Azure Digital Twins

يمكنك استخدام مدخل Azure أو Azure CLI لتشغيل الارتباط الخاص بنقطة نهاية خاصة لمثيل Azure Digital Twins.

إذا كنت ترغب في إعداد الارتباط الخاص كجزء من الإعداد الأولي للمثيل، فستحتاج إلى استخدام مدخل Azure. وإلا، إذا كنت تريد تمكين الارتباط الخاص على مثيل بعد إنشائه، فيمكنك استخدام مدخل Azure أو Azure CLI. ستعطي أي من طرق الإنشاء هذه نفس خيارات التكوين ونفس النتيجة النهائية للمثيل الخاص بك.

استخدم علامات التبويب في الأقسام أدناه لتحديد إرشادات لتجربتك المفضلة.

تلميح

يمكنك أيضا إعداد نقطة نهاية ارتباط خاص من خلال خدمة الارتباط الخاص، بدلا من مثيل Azure Digital Twins. هذا يعطي أيضا نفس خيارات التكوين ونفس النتيجة النهائية.

لمزيد من المعلومات حول إعداد موارد الارتباط الخاص، راجع وثائق الارتباط الخاص لمدخل Azure أو Azure CLI أو Azure Resource Manager أو PowerShell.

إضافة نقطة نهاية خاصة أثناء إنشاء المثيل

في هذا القسم، ستقوم بإنشاء نقطة نهاية خاصة باستخدام Private Link كجزء من الإعداد الأولي لمثيل Azure Digital Twins. لا يمكن تنفيذ هذا الإجراء إلا في مدخل Azure.

يوضح هذا القسم كيفية تشغيل الارتباط الخاص أثناء إعداد مثيل Azure Digital Twins في مدخل Azure.

توجد خيارات الارتباط الخاص في علامة التبويب شبكة الاتصال لإعداد المثيل.

  1. ابدأ في إعداد مثيل Azure Digital Twins في مدخل Azure. للحصول على التعليمات، راجع إعداد مثيل ومصادقة.

  2. عندما تصل إلى علامة التبويب الشبكة لإعداد المثيل، يمكنك تمكين نقاط النهاية الخاصة عن طريق تحديد خيار نقطة النهاية الخاصةلطريقة الاتصال.

    سيؤدي القيام بذلك إلى إضافة قسم يسمى اتصالات نقطة النهاية الخاصة حيث يمكنك تكوين تفاصيل نقطة النهاية الخاصة . حدد الزر + إضافة للمتابعة.

    Screenshot of the Azure portal showing the Networking tab of a new Azure Digital Twins instance, highlighting how to create a private endpoint. The 'Add' button is highlighted.

  3. في الصفحة إنشاء نقطة نهاية خاصة التي تفتح، أدخل تفاصيل نقطة نهاية خاصة جديدة.

    Screenshot of the Azure portal showing the Create private endpoint page. It contains the fields described below.

    1. املأ التحديدات لمجموعة الاشتراكوالموارد. اضبط الموقع على نفس موقع VNet الذي ستستخدمه. اختر اسما لنقطة النهاية، وبالنسبة للموارد الفرعية المستهدفة ، حدد واجهة برمجة التطبيقات.

    2. بعد ذلك، حدد الشبكة الظاهريةوالشبكة الفرعية التي تريد استخدامها لنشر نقطة النهاية.

    3. أخيرا ، حدد ما إذا كنت تريد التكامل مع منطقة DNS الخاصة. يمكنك استخدام الخيار الافتراضي نعم أو، للحصول على مساعدة بشأن هذا الخيار، يمكنك اتباع الارتباط الموجود في البوابة الإلكترونية لمعرفة المزيد حول تكامل DNS الخاص.

    4. بعد ملء خيارات التكوين، حدد موافق للإنهاء.

  4. بمجرد الانتهاء من هذه العملية، ستعيدك البوابة الإلكترونية إلى علامة التبويب " الشبكة" في إعداد مثيل Azure Digital Twins. تحقق من أن نقطة النهاية الجديدة مرئية ضمن اتصالات نقطة النهاية الخاصة.

    Screenshot of the Azure portal showing the Networking tab of an Azure Digital Twins with a newly created private endpoint.

  5. استخدم أزرار التنقل السفلية لمتابعة بقية إعداد المثيل.

إضافة نقطة نهاية خاصة إلى مثيل موجود

في هذا القسم، ستقوم بتمكين الارتباط الخاص بنقطة نهاية خاصة لمثيل Azure Digital Twins موجود بالفعل.

  1. أولا، انتقل إلى مدخل Azure في مستعرض. قم بإظهار مثيل Azure Digital Twins الخاص بك من خلال البحث عن اسمه في شريط بحث البوابة الإلكترونية.

  2. حدد الشبكات في القائمة اليمنى.

  3. قم بالتبديل إلى علامة التبويب اتصالات نقطة النهاية الخاصة .

  4. حدد + نقطة نهاية خاصة لفتح إعداد إنشاء نقطة نهاية خاصة .

    Screenshot of the Azure portal showing the Networking page for an existing Azure Digital Twins instance, highlighting how to create private endpoints.

  5. في علامة التبويب أساسيات، أدخل أو حدد مجموعةالاشتراك والموارد الخاصة بمشروعك، والاسموالمنطقة لنقطة النهاية. يجب أن تكون المنطقة هي نفسها المنطقة الخاصة ب VNet التي تستخدمها.

    Screenshot of the Azure portal showing the first (Basics) tab of the Create a private endpoint dialog. It contains the fields described above.

    عند الانتهاء، حدد الزر التالي: مورد > للانتقال إلى علامة التبويب التالية.

  6. في علامة التبويب المورد، أدخل أو حدد المعلومات التالية:

    • طريقة الاتصال: حدد الاتصال إلى مورد Azure في دليلي للبحث عن مثيل Azure Digital Twins.
    • الاشتراك: أدخل اشتراكك.
    • نوع المورد: حدد Microsoft.DigitalTwins/digitalTwinsInstances
    • المورد: حدد اسم مثيل Azure Digital Twins.
    • المورد الفرعي المستهدف: حدد واجهة برمجة التطبيقات.

    Screenshot of the Azure portal showing the second (Resource) tab of the Create a private endpoint dialog. It contains the fields described above.

    عند الانتهاء، حدد الزر التالي: تكوين > للانتقال إلى علامة التبويب التالية.

  7. في علامة التبويب التهيئة، أدخل المعلومات أو حددها:

    • "Virtual network" : حدد شبكتك الظاهرية.
    • الشبكة الفرعية: اختر شبكة فرعية من شبكتك الافتراضية.
    • التكامل مع منطقة DNS الخاصة: حدد ما إذا كنت تريد التكامل مع منطقة DNS الخاصة أم لا. يمكنك استخدام الخيار الافتراضي نعم أو، للحصول على مساعدة بشأن هذا الخيار، يمكنك اتباع الارتباط الموجود في البوابة الإلكترونية لمعرفة المزيد حول تكامل DNS الخاص. إذا قمت بتحديد نعم، يمكنك ترك معلومات التكوين الافتراضية.

    Screenshot of the Azure portal showing the third (Configuration) tab of the Create a private endpoint dialog. It contains the fields described above.

    عند الانتهاء، يمكنك تحديد الزر مراجعة + إنشاء لإنهاء الإعداد.

  8. في علامة التبويب مراجعة + إنشاء، راجع تحديداتك وحدد الزر إنشاء .

عند الانتهاء من نشر نقطة النهاية، يجب أن تظهر في اتصالات نقطة النهاية الخاصة لمثيل Azure Digital Twins الخاص بك.

إدارة اتصالات نقطة النهاية الخاصة

في هذا القسم، سترى كيفية عرض نقطة نهاية خاصة وتحريرها وحذفها بعد إنشائها.

بمجرد إنشاء نقطة نهاية خاصة لمثيل Azure Digital Twins، يمكنك عرضها في علامة التبويب " الشبكات" لمثيل Azure Digital Twins الخاص بك. ستعرض هذه الصفحة جميع اتصالات نقطة النهاية الخاصة المقترنة بالمثيل.

Screenshot of the Azure portal showing the Networking page for an existing Azure Digital Twins instance with one private endpoint.

حدد نقطة النهاية لعرض معلوماتها بالتفصيل، أو إجراء تغييرات على إعدادات التكوين الخاصة بها، أو حذف الاتصال.

تلميح

يمكن أيضا عرض نقطة النهاية من مركز الارتباط الخاص في مدخل Azure.

تعطيل / تمكين علامات الوصول إلى الشبكة العامة

يمكنك تكوين مثيل Azure Digital Twins لرفض جميع الاتصالات العامة والسماح فقط بالاتصالات من خلال نقاط النهاية الخاصة لتحسين أمان الشبكة. يتم تنفيذ هذا الإجراء باستخدام علامة الوصول إلى الشبكة العامة.

تسمح لك هذه السياسة بتقييد وصول واجهة برمجة التطبيقات إلى اتصالات الرابط الخاص فقط. عند تعيين علامة الوصول إلى الشبكة العامة إلى ، ستعود 403, Unauthorizedجميع استدعاءات واجهة برمجة تطبيقات REST إلى disabledمستوى بيانات مثيل Azure Digital Twins من السحابة العامة . وإلا، عندما يتم تعيين السياسة إلى disabled وتقديم طلب من خلال نقطة نهاية خاصة، ستنجح مكالمة واجهة برمجة التطبيقات.

يمكنك تحديث قيمة علامة الشبكة باستخدام مدخل Azure أو AzureCLI أو أداة الأوامر ARMClient.

لتعطيل الوصول إلى الشبكة العامة أو تمكينه في مدخل Azure، افتح البوابة الإلكترونية وانتقل إلى مثيل Azure Digital Twins.

  1. حدد الشبكات في القائمة اليمنى.

  2. في علامة التبويب الوصول العام ، قم بتعيين السماح بالوصول إلى الشبكة العامة إما إلىالشبكات المعطلة أو كافة الشبكات.

    Screenshot of the Azure portal showing the Networking page for an Azure Digital Twins instance, highlighting how to toggle public access.

    حدد ⁧حفظ⁧.

التوزيع باستخدام قوالب ARM

يمكنك أيضا إعداد ارتباط خاص باستخدام Azure Digital Twins باستخدام قالب ARM.

للحصول على نموذج قالب يسمح لدالة Azure بالاتصال ب Azure Digital Twins من خلال نقطة نهاية ارتباط خاص، راجع Azure Digital Twins مع وظيفة Azure والارتباط الخاص (قالب ARM).

ينشئ هذا القالب مثيل Azure Digital Twins وشبكة ظاهرية ووظيفة Azure متصلة بالشبكة الظاهرية واتصال Private Link لجعل مثيل Azure Digital Twins قابلا للوصول إلى وظيفة Azure من خلال نقطة نهاية خاصة.

فيما يلي بعض المشكلات الشائعة التي واجهتها مع Private Link for Azure Digital Twins.

  • أصدر: عند محاولة الوصول إلى واجهات برمجة تطبيقات Azure Digital Twins، سترى رمز خطأ HTTP 403 مع الخطأ التالي في نص الاستجابة:

    {
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}

    دقة: يحدث هذا الخطأ عندما publicNetworkAccess يتم تعطيل مثيل Azure Digital Twins ومن المتوقع أن تأتي طلبات واجهة برمجة التطبيقات من خلال الارتباط الخاص، ولكن تم توجيه المكالمة عبر الشبكة العامة (ربما عبر موازن تحميل تم تكوينه لشبكة ظاهرية). تأكد من أن عميل واجهة برمجة التطبيقات يعمل على حل عنوان IP الخاص لنقطة النهاية الخاصة عند محاولة الوصول إلى واجهة برمجة التطبيقات من خلال اسم مضيف نقطة النهاية.

    لتسهيل حل اسم المضيف لعنوان IP الخاص لنقطة النهاية الخاصة في شبكة فرعية، يمكنك تكوين منطقة DNS خاصة. تحقق من أن منطقة DNS الخاصة مرتبطة بشكل صحيح بالشبكة الظاهرية وتستخدم اسم المنطقة الصحيحة، مثل privatelink.digitaltwins.azure.net.

  • أصدر: عند محاولة الوصول إلى Azure Digital Twins من خلال نقطة نهاية خاصة، تنتهي مهلة الاتصال.

    دقة: تحقق من عدم وجود قواعد مجموعة أمان الشبكة التي تحظر على العميل الاتصال بنقطة النهاية الخاصة والشبكة الفرعية الخاصة بها. يجب السماح بالاتصال على منفذ TCP 443 بين عنوان IP المصدر / الشبكة الفرعية للعميل وعنوان IP / الشبكة الفرعية الخاصة بوجهة نقطة النهاية.

لمزيد من اقتراحات استكشاف أخطاء الارتباط الخاص وإصلاحها، راجع استكشاف مشكلات اتصال Azure Private Endpoint وإصلاحها.

الخطوات التالية

قم بإعداد بيئة محمية بسرعة باستخدام Private Link باستخدام قالب ARM: Azure Digital Twins مع وظيفة Azure و Private Link.

أو تعرف على المزيد حول الارتباط الخاص ل Azure: ما المقصود بخدمة Azure Private Link؟