Включение частного доступа к Azure Digital Twins с помощью Приватный канал

Используя Azure Digital Twins вместе с Приватный канал Azure, вы можете включить частные конечные точки для экземпляра Azure Digital Twins, чтобы исключить открытый доступ и разрешить клиентам, расположенным в виртуальной сети, безопасный доступ к экземпляру через Приватный канал. Дополнительные сведения об этой стратегии безопасности для Azure Digital Twins см. в статье Приватный канал с частной конечной точкой для экземпляра Azure Digital Twins.

Ниже перечислены действия, которые подробно описаны в этой статье.

1. Включите приватный канал и настройте частную конечную точку для экземпляра Azure Digital Twins.
2. Просмотр, изменение и удаление частной конечной точки из экземпляра Azure Digital Twins.
3. Отключите или включите флаги доступа к общедоступной сети, чтобы ограничить доступ к API для Azure Digital Twins только Приватный канал подключениями.

В этой статье также содержатся сведения о развертывании Azure Digital Twins с помощью Приватный канал с помощью шаблона ARM и устранении неполадок конфигурации.

Предварительные требования

Перед настройкой частной конечной точки вам потребуется Виртуальная сеть Azure, в которой можно развернуть эту точку. Если у вас еще нет виртуальной сети, для ее настройки можно воспользоваться одним из кратких руководств по виртуальной сети Azure.

Добавление частных конечных точек в Azure Digital Twins

Чтобы включить Приватный канал с частной конечной точкой для экземпляра Azure Digital Twins, можно использовать портал Azure или Azure CLI.

Если вы хотите настроить Приватный канал в рамках первоначальной настройки экземпляра, необходимо использовать портал Azure. В противном случае, если вы хотите включить Приватный канал в экземпляре после его создания, можно использовать портал Azure или Azure CLI. Любой из этих методов создания позволяет получить одинаковые параметры конфигурации и одинаковый результат для вашего экземпляра.

Используйте вкладки в следующих разделах, чтобы выбрать инструкции для желаемого способа.

Совет

Вы также можете настроить конечную точку приватного канала через службу Приватный канал Azure, а не через экземпляр Azure Digital Twins. Это позволяет получить те же параметры конфигурации и тот же конечный результат.

Дополнительные сведения о настройке Приватный канал ресурсов см. в документации по Приватный канал для портал Azure, Azure CLI, Azure Resource Manager или PowerShell.

Добавление частной конечной точки во время создания экземпляра

В этом разделе вы создадите частную конечную точку вместе с Приватным каналом в ходе первоначальной настройки экземпляра Azure Digital Twins. Это действие можно выполнить только на портале Azure.

Портал

В этом разделе описано, как включить Приватный канал при настройке экземпляра Azure Digital Twins на портале Azure.

Параметры приватного канала находятся на вкладке Сеть в окне установки экземпляра.

1. Начните настройку экземпляра Azure Digital Twins на портале Azure. Инструкции см. в статье Настройка экземпляра Azure Digital Twins и аутентификация (портал).

2. На вкладке Сеть в настройке экземпляра можно включить частные конечные точки, выбрав параметр Частная конечная точка для параметра Метод подключения.

   При этом будет добавлен раздел Подключения к частной конечной точке , в котором можно настроить сведения о частной конечной точке. Нажмите кнопку + Добавить для продолжения.

   

3. На открывшейся странице Создание частной конечной точки введите сведения о новой частной конечной точке.

   

   1. Заполните поле выбора Подписка и Группы ресурсов. Установите для параметра Расположение то же расположение, что и для используемой сети VNet. Выберите Имя конечной точки, а для пункта Целевые подресурсы выберите API.

   2. Затем выберите виртуальную сеть и подсеть, которые хотите использовать для развертывания конечной точки.

   3. В заключение выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS.

   4. После заполнения параметров конфигурации нажмите кнопку ОК для завершения.

4. После завершения этого процесса портал вернется на вкладку Сеть при настройке экземпляра Azure Digital Twins. Убедитесь, что новая конечная точка отображается в разделе Подключения к частной конечной точке.

   

5. Чтобы продолжить установку экземпляра, используйте кнопки навигации внизу.

CLI

Вы не можете добавить конечную точку Приватный канал во время создания экземпляра с помощью Azure CLI.

Вы можете переключиться на портал Azure, чтобы добавить конечную точку во время создания экземпляра, либо перейти к следующему разделу, чтобы использовать интерфейс командной строки для добавления частной конечной точки после создания экземпляра.

Добавление частной конечной точки в существующий экземпляр

В этом разделе вы включите приватный канал с частной конечной точкой в уже существующем экземпляре Azure Digital Twins.

Портал

1. Сначала откройте в веб-браузере портал Azure. Откройте экземпляр Azure Digital Twins, выполнив поиск по имени в панели поиска портала.

2. В меню слева выберите Сеть .

3. Выберите вкладку Подключения частной конечной точки.

4. Выберите + Частная конечная точка, чтобы открыть настройку Создание частной конечной точки.

   

5. На вкладке Основные сведения введите или выберите подписку и группу ресурсов проекта, а также имя и регион для конечной точки. Регион необходимо выбрать тот же, что и регион для используемой виртуальной сети VNet.

   

   По завершении нажмите кнопку Далее: ресурс > , чтобы перейти на следующую вкладку.

6. На вкладке Ресурс введите или выберите следующие данные.

   • Метод подключения. Выберите Подключиться к ресурсу Azure в моем каталоге, чтобы найти свой экземпляр Azure Digital Twins.
   • Подписка. Введите свою подписку.
   • Тип ресурса. Выберите Microsoft.DigitalTwins/digitalTwinsInstances.
   • Ресурс. Выберите имя вашего экземпляра Azure Digital Twins.
   • Целевой подресурс. Выберите API.

   

   По завершении нажмите кнопку Далее: конфигурация > , чтобы перейти на следующую вкладку.

7. На вкладке Конфигурация введите или выберите следующие данные.

   • Виртуальная сеть. Выберите свою виртуальную сеть.
   • Подсеть. Выберите подсеть из вашей виртуальной сети.
   • Интеграция с частной зоной DNS. Выберите, следует ли интегрироваться с частной зоной DNS. Можно использовать значение по умолчанию Да или, чтобы получить справку по этому параметру, перейдите по ссылке на портале, чтобы получить дополнительные сведения о частной интеграции с DNS. При выборе Да можно оставить сведения о конфигурации по умолчанию.

   

   По завершении можно нажать кнопку Обзор + создание, чтобы завершить установку.

8. На вкладке Просмотр и создание просмотрите выбранные параметры и нажмите кнопку Создать .

После завершения развертывания конечная точка должна отображаться в подключениях частных конечных точек для своего экземпляра Azure Digital Twins.

CLI

Чтобы создать частную конечную точку и связать ее с экземпляром Azure Digital Twins с помощью Azure CLI, используйте команду az network private-endpoint create. Идентификация экземпляра Azure Digital Twins с помощью полного идентификатора в параметре --private-connection-resource-id.

Ниже приведен пример, в котором команда используется для создания частной конечной точки только с необходимыми параметрами.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Полный список обязательных и необязательных параметров, а также дополнительные примеры создания частных конечных точек см. в справочной документации для команды az network private-endpoint create.

Управление частными конечными точками

Из этого раздела вы узнаете, как просмотреть, изменить и удалить частную конечную точку после ее создания.

Портал

После создания частной конечной точки для экземпляра Azure Digital Twins ее можно просмотреть на вкладке Сеть для экземпляра Azure Digital Twins. На этой странице будут показаны все подключения к частным конечным точкам, связанные с экземпляром.

Выберите конечную точку, чтобы просмотреть сведения о ней, внести изменения в ее параметры конфигурации или удалить подключение.

Совет

Конечную точку можно просмотреть в Центре Приватного канала на портале Azure.

CLI

После создания частной конечной точки для экземпляра Azure Digital Twins можно использовать команды az dt network private-endpoint connection, чтобы продолжить управление подключениями к частным конечным точкам экземпляра. К этим операциям относятся:

• Показать подключения к частной конечной точке;
• установка состояния подключения к частной конечной точке;
• удаление подключения к частной конечной точке;
• создание списка всех подключений к частной конечной точке для экземпляра.

Дополнительные сведения и примеры см. в справочной документации для команды az dt network private-endpoint.

Дополнительные сведения о Приватный канал

Дополнительные сведения о состоянии Приватный канал экземпляра можно получить с помощью команд az dt network private-link. К этим операциям относятся:

• Список приватных каналов связанных с экземпляром Azure Digital Twins
• Отображение приватного канала, связанного с экземпляром

Дополнительные сведения и примеры см. в справочной документации для команды az dt network private-endpoint.

Отключение и включение флагов доступа к общедоступной сети

Вы можете настроить экземпляр Azure Digital Twins так, чтобы запретить все общедоступные подключения и разрешить подключения только через частные конечные точки доступа, чтобы повысить сетевую безопасность. Это действие выполняется с помощью флага доступа к общедоступной сети.

Эта политика позволяет предоставить доступ через API только для соединений Приватного канала. Если для флага доступа к общедоступной сети задано значение disabled, все вызовы REST API к плоскости данных экземпляра Azure Digital Twins из общедоступного облака будут возвращать 403, Unauthorized. В противном случае, если для политики задано значение disabled и запрос выполняется через частную конечную точку, вызов API будет выполнен успешно.

Вы можете обновить значение сетевого флага с помощью портал Azure, Azure CLI или командной программы ARMClient.

Портал

Чтобы отключить или включить доступ к общедоступной сети на портале Azure, откройте портал и перейдите к своему экземпляру Azure Digital Twins.

1. Выберите Сеть в меню слева.

2. На вкладке Общий доступ установите переключатель Разрешить доступ к общедоступной сети либо в значение Выключить, либо Все сети.

   

   Щелкните Сохранить.

CLI

В Azure CLI можно отключить или включить доступ к общедоступной сети, добавив --public-network-access параметр в команду az dt create. Хотя эта команда может использоваться для создания нового экземпляра, также ее можно использовать для изменения свойств существующего экземпляра, указав для него имя уже существующего экземпляра. (Дополнительные сведения об этой команде см. в справочной документации или общих инструкциях по настройке экземпляра Azure Digital Twins).

Чтобы Отключить доступ к общедоступной сети для экземпляра Azure Digital Twins, используйте параметр --public-network-access следующим образом:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Чтобы включить доступ к общедоступной сети в экземпляре, в котором он сейчас отключен, используйте следующую команду:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

Программа командной строки ARMClient позволяет включать или отключать доступ к общедоступной сети с помощью приведенных ниже команд.

Чтобы Отключить доступ к общедоступной сети, выполните следующие действия.

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Чтобы Включить доступ к общедоступной сети, выполните следующие действия.

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

Развертывание с использованием шаблонов Resource Manager

Вы также можете настроить Приватный канал в Azure Digital Twins с помощью шаблона ARM.

Пример шаблона, который позволяет функции Azure подключаться к Azure Digital Twins через конечную точку Приватный канал, см. в статье Azure Digital Twins с функцией Azure и Приватный канал (шаблон ARM).

Этот шаблон создает экземпляр Azure Digital Twins, виртуальную сеть, функцию Azure, подключенную к виртуальной сети, и Приватный канал подключение, чтобы сделать экземпляр Azure Digital Twins доступным для функции Azure через частную конечную точку.

Диагностика

Ниже приведены некоторые распространенные проблемы, которые могут возникнуть при использовании Приватный канал с Azure Digital Twins.

• Проблема: При попытке получить доступ к API Azure Digital Twins в тексте ответа отображается код ошибки HTTP 403 со следующей ошибкой:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Разрешение: Эта ошибка возникает, если publicNetworkAccess для экземпляра Azure Digital Twins отключен, и ожидается, что запросы API будут поступать через Приватный канал, но вызов был перенаправлен через общедоступную сеть (возможно, через подсистему балансировки нагрузки, настроенную для виртуальной сети). Убедитесь, что клиент API разрешает частный IP-адрес для частной конечной точки при попытке доступа к API через имя узла конечной точки.

  Чтобы упростить разрешение имени узла на частный IP-адрес частной конечной точки в подсети, можно настроить частную зону DNS. Убедитесь, что частная зона DNS правильно связана с виртуальной сетью и использует правильное имя зоны, например privatelink.digitaltwins.azure.net.

• Проблема: При попытке доступа к Azure Digital Twins через частную конечную точку истекает время ожидания подключения.

  Разрешение: Убедитесь, что нет правил группы безопасности сети , запрещающих клиенту взаимодействовать с частной конечной точкой и ее подсетью. Должен быть разрешен обмен данными через TCP-порт 443 между IP-адресом источника/подсетью клиента и IP-адресом/подсетью назначения частной конечной точки.

Дополнительные Приватный канал рекомендации по устранению неполадок см. в статье Устранение неполадок с подключением к частной конечной точке Azure.

Дальнейшие действия

Быстрая настройка защищенной среды с Приватный канал с помощью шаблона ARM: Azure Digital Twins с функцией Azure и Приватный канал.

Или узнайте больше о Приватный канал для Azure: Что такое служба Приватный канал Azure?