Mengaktifkan akses privat ke Azure Digital Twins menggunakan Private Link

Dengan menggunakan Azure Digital Twins bersama dengan Azure Private Link, Anda dapat mengaktifkan titik akhir privat untuk instans Azure Digital Twins Anda, untuk menghilangkan paparan publik dan memungkinkan klien yang terletak di jaringan virtual Anda untuk mengakses instans dengan aman melalui Private Link. Untuk informasi selengkapnya tentang strategi keamanan ini untuk Azure Digital Twins, lihat Private Link dengan titik akhir privat untuk instans Azure Digital Twins.

Berikut adalah langkah-langkah yang tercakup dalam artikel ini:

1. Aktifkan Private Link dan konfigurasikan titik akhir privat untuk instans Azure Digital Twins.
2. Menampilkan, mengedit, atau menghapus titik akhir privat dari instans Azure Digital Twins.
3. Nonaktifkan atau aktifkan bendera akses jaringan publik, untuk membatasi akses API bagi Azure Digital Twins untuk Private Link koneksi saja.

Artikel ini juga berisi informasi untuk menyebarkan Azure Digital Twins dengan Private Link menggunakan templat ARM, dan pemecahan masalah konfigurasi.

Prasyarat

Sebelum bisa menyiapkan titik akhir privat, Anda memerlukan Azure Virtual Network (VNet) tempat titik akhir dapat digunakan. Jika belum memiliki VNet, Anda bisa mengikuti salah satu mulai cepat Azure Virtual Network untuk menyiapkannya.

Menambahkan titik akhir privat ke Azure Digital Twins

Anda dapat menggunakan portal Azure atau Azure CLI untuk mengaktifkan Private Link dengan titik akhir privat untuk instans Azure Digital Twins.

Jika ingin menyiapkan Private Link sebagai bagian dari penyiapan awal instans, Anda harus menggunakan portal Azure. Jika tidak, jika Anda ingin mengaktifkan Private Link pada instans setelah dibuat, Anda dapat menggunakan portal Azure atau Azure CLI. Salah satu metode pembuatan ini akan memberikan opsi konfigurasi dan hasil akhir yang sama untuk instans Anda.

Gunakan tab di bagian berikut untuk memilih petunjuk untuk pengalaman pilihan Anda.

Tip

Anda juga dapat menyiapkan titik akhir Privat Link melalui layanan Privat Link, alih-alih melalui instans Azure Digital Twins Anda. Ini juga memberikan opsi konfigurasi yang sama dan hasil akhirnya yang sama.

Untuk informasi selengkapnya tentang menyiapkan sumber daya Private Link, lihat dokumentasi Private Link untuk portal Azure, Azure CLI, Azure Resource Manager, atau PowerShell.

Menambahkan titik akhir privat selama pembuatan instans

Di bagian ini, Anda akan membuat titik akhir privat dengan Private Link sebagai bagian dari penyiapan awal instans Azure Digital Twins. Tindakan ini hanya dapat dilakukan di portal Azure.

Portal

Bagian ini menjelaskan cara mengaktifkan Private Link saat menyiapkan instans Azure Digital Twins di portal Azure.

Opsi Private Link terletak di tab Jaringan dari penyiapan instans.

1. Mulai siapkan instans Azure Digital Twins di portal Azure. Ikuti petunjuknya, lihat Menyiapkan instans dan autentikasi.

2. Di tab Jaringan penyiapan instans, Anda dapat mengaktifkan titik akhir privat dengan memilih opsi Titik akhir privat untuk Metode konektivitas.

   Melakukannya akan menambahkan bagian yang disebut Koneksi titik akhir privat tempat Anda dapat mengonfigurasi detail titik akhir privat Anda. Pilih tombol + Tambah untuk melanjutkan.

   

3. Di halaman Buat titik akhir privat yang terbuka, masukkan detail titik akhir privat baru.

   

   1. Isi pilihan untuk grup Langganan dan Sumber Daya Anda. Atur Lokasi ke lokasi yang sama dengan VNet yang akan Anda gunakan. PilihNamauntuk titik akhir, dan untuk sub-sumber daya Target pilih API.

   2. Selanjutnya, pilih jaringan Virtual dan Subnet yang ingin Anda gunakan untuk menyebarkan titik akhir.

   3. Terakhir, pilih apakah akan Diintegrasikan dengan zona DNS privat. Anda bisa menggunakan default Ya untuk, bantuan dengan opsi ini, Anda bisa mengikuti link di portal untuk mempelajari selengkapnya tentang integrasi DNS privat.

   4. Setelah mengisi opsi konfigurasi, pilih OK untuk menyelesaikan.

4. Setelah Anda menyelesaikan proses ini, portal akan mengembalikan Anda ke tab Jaringan dari penyiapan instans Azure Digital Twins. Verifikasi bahwa titik akhir baru Anda dapat dilihat di Koneksi titik akhir privat.

   

5. Gunakan tombol navigasi bawah untuk melanjutkan penyiapan instans lainnya.

CLI

Anda tidak dapat menambahkan titik akhir Private Link selama pembuatan instans menggunakan Azure CLI.

Anda dapat beralih ke portal Azure untuk menambahkan titik akhir selama pembuatan instans, atau melanjutkan ke bagian berikutnya untuk menggunakan CLI guna menambahkan titik akhir privat setelah instans dibuat.

Menambahkan titik akhir privat ke instans yang sudah ada

Di bagian ini, Anda akan mengaktifkan Private Link dengan titik akhir privat untuk instans Azure Digital Twins yang sudah ada.

Portal

1. Pertama, navigasikan ke portal Microsoft Azure di browser. Munculkan instans Azure Digital Twins Anda dengan mencari namanya di bilah pencarian portal.

2. Pilih Jaringan di menu sebelah kiri.

3. Beralih ke tabKoneksi titik akhir privat.

4. Pilih + Titik akhir privat untuk membuka pengaturan Buat titik akhir privat.

   

5. Di tab Dasar , masukkan atau pilih grup Langganan dan Sumber Daya proyek Anda, dan Nama dan Wilayah untuk titik akhir Anda. Wilayah harus sama dengan wilayah untuk VNet yang Anda gunakan.

   

   Setelah selesai, pilih tombol Berikutnya : Sumber Daya > untuk masuk ke tab berikutnya.

6. Di tab Sumber Daya, masukkan atau pilih informasi ini:

   • Metode koneksi: Pilih Sambungkan ke sumber daya Azure di direktori saya untuk mencari instans Azure Digital Twins Anda.
   • Langganan: Masukkan langganan Anda.
   • Jenis sumber daya: Pilih Microsoft.DigitalTwins/digitalTwinsInstances
   • Sumber Daya: Pilih nama instans Azure Digital Twins Anda.
   • Sub-sumber daya target: Pilih API.

   

   Setelah selesai, pilih tombol Berikutnya : Konfigurasi > untuk masuk ke tab berikutnya.

7. Di tab Konfigurasi, masukkan atau pilih informasi ini:

   • Jaringan virtual: Pilih jaringan virtual Anda.
   • Subnet: Pilih subnet dari jaringan virtual Anda.
   • Integrasikan dengan zona DNS privat: Pilih apakah akan Diintegrasikan dengan zona DNS pribadi. Anda bisa menggunakan default Ya untuk, bantuan dengan opsi ini, Anda bisa mengikuti link di portal untuk mempelajari selengkapnya tentang integrasi DNS privat. Jika Anda memilih Ya, Anda dapat meninggalkan informasi konfigurasi default.

   

   Setelah selesai, Anda dapat memilih tombolUlasan + buat untuk menyelesaikan penyetelan.

8. Di tab Tinjau + buat , tinjau pilihan Anda dan pilih tombol Buat .

Ketika titik akhir selesai diterapkan, titik akhir akan muncul di koneksi titik akhir privat untuk instans Azure Digital Twins Anda.

CLI

Untuk membuat titik akhir privat dan mengaitkannya ke instans Azure Digital Twins menggunakan Azure CLI, gunakan perintah az network private-endpoint create. Identifikasi instans Azure Digital Twins dengan menggunakan ID yang sepenuhnya memenuhi syarat dalam parameter --private-connection-resource-id.

Berikut adalah contoh yang menggunakan perintah untuk membuat titik akhir privat, hanya dengan parameter yang diperlukan.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Untuk daftar lengkap parameter yang diperlukan dan opsional, serta contoh pembuatan endpoint yang lebih pribadi, lihat dokumentasi referensi pembuatan titik akhir pribadi jaringan az.

Mengelola titik akhir privat

Di bagian ini, Anda akan melihat cara menampilkan, mengedit, dan menghapus titik akhir privat setelah dibuat.

Portal

Setelah titik akhir privat dibuat untuk instans Azure Digital Twins, Anda dapat melihatnya di tab Jaringan untuk instans Azure Digital Twins Anda. Halaman ini akan menampilkan semua koneksi titik akhir privat yang terkait dengan instans.

Pilih titik akhir untuk melihat informasinya secara detail, buat perubahan pada pengaturan konfigurasinya, atau hapus koneksi.

Tip

Titik akhir juga dapat dilihat dari Pusat Private Link di portal Microsoft Azure.

CLI

Setelah titik akhir pribadi dibuat untuk instans Azure Digital Twins Anda, Anda dapat menggunakan perintah koneksi titik akhir pribadi jaringan az dt untuk terus mengelola koneksi titik akhir pribadi sehubungan dengan instans. Operasi meliputi:

• Menampilkan koneksi titik akhir privat
• Mengatur status koneksi titik akhir privat
• Menghapus koneksi titik akhir privat
• Mencantumkan semua koneksi titik akhir privat untuk instans

Untuk informasi dan contoh selengkapnya, lihat dokumentasi referensi titik akhir privat jaringan az dt.

Dapatkan informasi Private Link lainnya

Anda bisa mendapatkan informasi selengkapnya tentang status Private Link instans Anda dengan perintah tautan privat jaringan az dt. Operasi meliputi:

• Mencantumkan tautan pribadi yang terkait dengan instans Azure Digital Twins
• Tampilkan tautan pribadi yang terkait dengan instans

Untuk informasi dan contoh selengkapnya, lihat dokumentasi referensi tautan pribadi jaringan az dt.

Menonaktifkan/mengaktifkan bendera akses jaringan publik

Anda dapat mengonfigurasi instans Azure Digital Twins untuk menolak semua koneksi publik dan hanya mengizinkan koneksi melalui titik akhir akses privat untuk meningkatkan keamanan jaringan. Tindakan ini dilakukan dengan bendera akses jaringan publik.

Kebijakan ini memungkinkan Anda membatasi akses API ke koneksi Private Link saja. Ketika bendera akses jaringan publik diatur ke disabled, semua panggilan REST API ke bidang data instans Azure Digital Twins dari cloud publik akan mengembalikan 403, Unauthorized. Jika tidak, ketika kebijakan diatur ke disabled dan permintaan dibuat melalui titik akhir privat, panggilan API akan berhasil.

Anda dapat memperbarui nilai bendera jaringan menggunakan alat perintah portal Azure, Azure CLI, atau ARMClient.

Portal

Untuk menonaktifkan atau mengaktifkan akses jaringan publik di portal Microsoft Azure, buka portal dan navigasikan ke instans Azure Digital Twins Anda.

1. Pilih Jaringan di menu sebelah kiri.

2. Di tab Akses publik, atur Perbolehkan akses jaringan publik keJaringan Dinonaktifkan atau Semua jaringan.

   

   Pilih Simpan.

CLI

Di Azure CLI, Anda dapat menonaktifkan atau mengaktifkan akses jaringan publik dengan menambahkan parameter --public-network-access ke perintah az dt create. Meskipun perintah ini juga dapat digunakan untuk membuat instans baru, Anda dapat menggunakannya untuk mengedit properti instans yang ada dengan memberikannya nama instans yang sudah ada. (Untuk informasi selengkapnya tentang perintah ini, lihat dokumentasi referensinya atau instruksi umum untuk menyiapkan titik akhir Azure Digital Twins).

Untuk menonaktifkan akses jaringan publik untuk instans Azure Digital Twins, gunakan parameter --public-network-access seperti ini:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Untuk mengaktifkan akses jaringan publik pada instans tempat jaringan saat ini dinonaktifkan, gunakan perintah serupa berikut:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Dengan alat perintah ARMClient, akses jaringan publik diaktifkan atau dinonaktifkan menggunakan perintah di bawah ini.

Untuk menonaktifkan akses jaringan publik:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Untuk mengaktifkan akses jaringan publik:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Menyebarkan dengan templat ARM

Anda juga dapat menyiapkan Private Link dengan Azure Digital Twins menggunakan templat ARM.

Untuk contoh templat yang memungkinkan fungsi Azure tersambung ke Azure Digital Twins melalui titik akhir Private Link, lihat Azure Digital Twins dengan fungsi Azure dan Private Link (templat ARM).

Templat ini membuat instans Azure Digital Twins, jaringan virtual, fungsi Azure yang terhubung ke jaringan virtual, dan koneksi Private Link untuk membuat instans Azure Digital Twins dapat diakses oleh fungsi Azure melalui titik akhir privat.

Pecahkan masalah

Berikut adalah beberapa masalah umum yang mungkin muncul saat menggunakan Private Link dengan Azure Digital Twins.

• Masalah: Saat mencoba mengakses API Azure Digital Twins, Anda akan melihat kode kesalahan HTTP 403 dengan kesalahan berikut dalam isi respons:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Resolusi: Kesalahan ini terjadi ketika publicNetworkAccess telah dinonaktifkan untuk instans Azure Digital Twins dan permintaan API diharapkan datang melalui Private Link, tetapi panggilan dirutekan melalui jaringan publik (mungkin melalui load balancer yang dikonfigurasi untuk jaringan virtual). Pastikan klien API Anda menyelesaikan IP privat untuk titik akhir privat saat mencoba mengakses API melalui nama host titik akhir.

  Untuk memfasilitasi resolusi nama host ke IP privat titik akhir privat dalam subnet, Anda dapat mengonfigurasi zona DNS privat. Verifikasi bahwa zona DNS privat ditautkan dengan benar ke jaringan virtual dan menggunakan nama zona yang tepat, seperti privatelink.digitaltwins.azure.net.

• Masalah: Saat mencoba mengakses Azure Digital Twins melalui titik akhir privat, waktu koneksi habis.

  Resolusi: Verifikasi bahwa tidak ada aturan grup keamanan jaringan yang melarang klien berkomunikasi ke titik akhir privat dan subnetnya. Komunikasi pada port TCP 443 harus diizinkan antara alamat IP/subnet sumber klien, dan alamat IP/subnet tujuan titik akhir privat.

Untuk saran pemecahan masalah Private Link selengkapnya, lihat Memecahkan masalah konektivitas Titik Akhir Privat Azure.

Langkah berikutnya

Siapkan lingkungan yang dilindungi dengan cepat dengan Private Link menggunakan templat ARM: Azure Digital Twins dengan fungsi Azure dan Private Link.

Atau, pelajari selengkapnya tentang Private Link untuk Azure: Apa itu layanan Azure Private Link?