Özel Bağlantı kullanarak Azure Digital Twins'e özel erişimi etkinleştirme

Azure Digital Twins'i Azure Özel Bağlantı ile birlikte kullanarak Azure Digital Twins örneğiniz için özel uç noktaları etkinleştirerek genel kullanıma açıklığı ortadan kaldırıp sanal ağınızda bulunan istemcilerin Özel Bağlantı üzerinden örneğe güvenli bir şekilde erişmesini sağlayabilirsiniz. Azure Digital Twins'e yönelik bu güvenlik stratejisi hakkında daha fazla bilgi için bkz. Azure Digital Twins örneği için özel uç nokta ile Özel Bağlantı.

Bu makalede ele alınan adımlar şunlardır:

1. Özel Bağlantı açın ve Azure Digital Twins örneği için özel uç nokta yapılandırın.
2. Azure Digital Twins örneğinden bir özel uç noktayı görüntüleyin, düzenleyin veya silin.
3. Azure Digital Twins'in API erişimini yalnızca bağlantılarla Özel Bağlantı kısıtlamak için genel ağ erişim bayraklarını devre dışı bırakın veya etkinleştirin.

Bu makale ayrıca ARM şablonu kullanarak Azure Digital Twins'i Özel Bağlantı ile dağıtma ve yapılandırma sorunlarını giderme bilgilerini içerir.

Önkoşullar

Özel uç nokta ayarlamadan önce uç noktanın dağıtılabildiği bir Azure Sanal Ağ (VNet) gerekir. Henüz bir sanal ağınız yoksa, bunu ayarlamak için Azure Sanal Ağ hızlı başlangıçlarından birini izleyebilirsiniz.

Azure Digital Twins'e özel uç noktalar ekleme

Azure Digital Twins örneğinin özel uç noktasıyla Özel Bağlantı açmak için Azure portal veya Azure CLI'yi kullanabilirsiniz.

örneğin ilk kurulumunun bir parçası olarak Özel Bağlantı ayarlamak istiyorsanız Azure portal kullanmanız gerekir. Aksi takdirde, oluşturulduktan sonra bir örnekte Özel Bağlantı etkinleştirmek istiyorsanız Azure portal veya Azure CLI'yı kullanabilirsiniz. Bu oluşturma yöntemlerinden herhangi biri örneğiniz için aynı yapılandırma seçeneklerini ve aynı bitiş sonucunu verir.

Tercih ettiğiniz deneyime yönelik yönergeleri seçmek için aşağıdaki bölümlerdeki sekmeleri kullanın.

İpucu

Azure Digital Twins örneğiniz yerine Özel Bağlantı hizmeti aracılığıyla bir Özel Bağlantı uç noktası da ayarlayabilirsiniz. Bu ayrıca aynı yapılandırma seçeneklerini ve aynı bitiş sonucunu verir.

Özel Bağlantı kaynakları ayarlama hakkında daha fazla bilgi için Azure portal, Azure CLI, Azure Resource Manager veya PowerShell için Özel Bağlantı belgelerine bakın.

Örnek oluşturma sırasında özel uç nokta ekleme

Bu bölümde, Azure Digital Twins örneğinin ilk kurulumunun bir parçası olarak Özel Bağlantı ile özel bir uç nokta oluşturacaksınız. Bu eylem yalnızca Azure portal yapılabilir.

Portal

Bu bölümde, Azure portal bir Azure Digital Twins örneği ayarlanırken Özel Bağlantı nasıl açıldığı açıklanmaktadır.

Özel Bağlantı seçenekleri, örnek kurulumunun Ağ sekmesinde bulunur.

1. Azure portal bir Azure Digital Twins örneği ayarlamaya başlayın. Yönergeler için bkz. Örnek ve kimlik doğrulaması ayarlama.

2. Örnek kurulumunun Ağ sekmesine ulaştığınızda, Bağlantı yöntemi için Özel uç nokta seçeneğini belirleyerek özel uç noktaları etkinleştirebilirsiniz.

   Bunu yaptığınızda özel uç noktanızın ayrıntılarını yapılandırabileceğiniz Özel uç nokta bağlantıları adlı bir bölüm eklenir. Devam etmek için + Ekle düğmesini seçin.

   

3. Açılan Özel uç nokta oluştur sayfasında yeni bir özel uç noktanın ayrıntılarını girin.

   

   1. Abonelik ve Kaynak grubunuzun seçimlerini doldurun. Konum değerini, kullanmakta olduğunuz sanal ağ ile aynı konuma ayarlayın. Uç nokta için bir Ad seçin ve Hedef alt kaynaklar için API'yi seçin.

   2. Ardından uç noktayı dağıtmak için kullanmak istediğiniz Sanal ağı ve Alt Ağı seçin.

   3. Son olarak, Özel DNS bölgesiyle tümleştirilip tümleştirileceğini seçin. Evet varsayılanını kullanabilir veya bu seçenekle ilgili yardım için portaldaki bağlantıyı izleyerek özel DNS tümleştirmesi hakkında daha fazla bilgi edinebilirsiniz.

   4. Yapılandırma seçeneklerini doldurduktan sonra tamamlamak için Tamam'ı seçin.

4. Bu işlemi tamamladıktan sonra portal sizi Azure Digital Twins örneği kurulumunun Ağ sekmesine döndürür. Yeni uç noktanızın Özel uç nokta bağlantıları altında görünür olduğunu doğrulayın.

   

5. Örnek kurulumunun geri kalanına devam etmek için alt gezinti düğmelerini kullanın.

CLI

Azure CLI kullanarak örnek oluşturma sırasında Özel Bağlantı uç noktası ekleyemezsiniz.

Örnek oluşturma sırasında uç noktayı eklemek için Azure portal geçiş yapabilir veya örnek oluşturulduktan sonra cli kullanarak özel uç nokta eklemek için sonraki bölüme geçebilirsiniz.

Var olan örneğe özel uç nokta ekleme

Bu bölümde, zaten var olan bir Azure Digital Twins örneği için özel uç nokta ile Özel Bağlantı etkinleştireceksiniz.

Portal

1. İlk olarak tarayıcıda Azure portal gidin. Portal arama çubuğunda adını arayarak Azure Digital Twins örneğinizi açın.

2. Sol taraftaki menüden Ağ'ı seçin.

3. Özel uç nokta bağlantıları sekmesine geçin.

4. + Özel uç nokta'ya seçerek Özel uç nokta oluştur kurulumunu açın.

   

5. Temel Bilgiler sekmesinde projenizin Abonelik ve Kaynak grubunu ve uç noktanız için bir Ad ve Bölge girin veya seçin. Bölgenin, kullandığınız sanal ağın bölgesiyle aynı olması gerekir.

   

   İşiniz bittiğinde sonraki sekmeye gitmek için sonraki : Kaynak > düğmesini seçin.

6. Kaynak sekmesinde şu bilgileri girin veya seçin:

   • Bağlantı yöntemi: Azure Digital Twins örneğinizi aramak için Dizinimdeki bir Azure kaynağına bağlan'ı seçin.
   • Abonelik: Aboneliğinizi girin.
   • Kaynak türü: Microsoft.DigitalTwins/digitalTwinsInstances'ı seçin
   • Kaynak: Azure Digital Twins örneğinizin adını seçin.
   • Hedef alt kaynak: API'yi seçin.

   

   İşiniz bittiğinde sonraki sekmeye gitmek için sonraki : Yapılandırma > düğmesini seçin.

7. Yapılandırma sekmesinde şu bilgileri girin veya seçin:

   • Sanal ağ: Sanal ağınızı seçin.
   • Alt ağ: Sanal ağınızdan bir alt ağ seçin.
   • Özel DNS bölgesiyle tümleştirme: Özel DNS bölgesiyle tümleştirilip tümleştirileceğini seçin. Evet varsayılanını kullanabilir veya bu seçenekle ilgili yardım için portaldaki bağlantıyı izleyerek özel DNS tümleştirmesi hakkında daha fazla bilgi edinebilirsiniz. Evet'i seçerseniz, varsayılan yapılandırma bilgilerini bırakabilirsiniz.

   

   İşiniz bittiğinde, kurulumu tamamlamak için Gözden Geçir + oluştur düğmesini seçebilirsiniz.

8. Gözden geçir ve oluştur sekmesinde seçimlerinizi gözden geçirin ve Oluştur düğmesini seçin.

Uç noktanın dağıtımı tamamlandığında, Azure Digital Twins örneğiniz için özel uç nokta bağlantılarında gösterilmelidir.

CLI

Azure CLI kullanarak bir özel uç nokta oluşturmak ve bunu bir Azure Digital Twins örneğine bağlamak için az network private-endpoint create komutunu kullanın. parametresindeki tam kimliğini kullanarak Azure Digital Twins örneğini --private-connection-resource-id tanımlayın.

Yalnızca gerekli parametrelerle özel uç nokta oluşturmak için komutunu kullanan bir örnek aşağıda verilmiştir.

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>" 

Gerekli ve isteğe bağlı parametrelerin tam listesi ve daha fazla özel uç nokta oluşturma örneği için az network private-endpoint create reference belgelerine bakın.

Özel uç noktaları yönetme

Bu bölümde, oluşturulduktan sonra özel uç noktayı görüntülemeyi, düzenlemeyi ve silmeyi öğreneceksiniz.

Portal

Azure Digital Twins örneğiniz için özel uç nokta oluşturulduktan sonra, bunu Azure Digital Twins örneğinizin Ağ sekmesinde görüntüleyebilirsiniz. Bu sayfa, örnekle ilişkili tüm özel uç nokta bağlantılarını gösterir.

Bilgilerini ayrıntılı olarak görüntülemek, yapılandırma ayarlarında değişiklik yapmak veya bağlantıyı silmek için uç noktayı seçin.

İpucu

Uç nokta, Azure portal Özel Bağlantı Merkezi'nden de görüntülenebilir.

CLI

Azure Digital Twins örneğiniz için özel uç nokta oluşturulduktan sonra az dt network private-endpoint connection komutlarını kullanarak özel uç nokta bağlantılarını örneğe göre yönetmeye devam edebilirsiniz. İşlemler şunları içerir:

• Özel uç nokta bağlantısını gösterme
• Özel uç nokta bağlantısının durumunu ayarlama
• Özel uç nokta bağlantısını silme
• Örnek için tüm özel uç nokta bağlantılarını listeleme

Daha fazla bilgi ve örnekler için az dt network private-endpoint başvuru belgelerine bakın.

Daha fazla Özel Bağlantı bilgi edinin

az dt network private-link komutlarıyla örneğinizin Özel Bağlantı durumu hakkında daha fazla bilgi edinebilirsiniz. İşlemler şunları içerir:

• Azure Digital Twins örneğiyle ilişkili özel bağlantıları listeleme
• Örnekle ilişkilendirilmiş özel bağlantıyı gösterme

Daha fazla bilgi ve örnek için az dt network private-link başvuru belgelerine bakın.

Genel ağ erişim bayraklarını devre dışı bırakma /etkinleştirme

Azure Digital Twins örneğinizi tüm genel bağlantıları reddedecek ve ağ güvenliğini artırmak için yalnızca özel erişim uç noktaları üzerinden bağlantılara izin verecek şekilde yapılandırabilirsiniz. Bu eylem genel ağ erişim bayrağıyla gerçekleştirilir.

Bu ilke, API erişimini yalnızca Özel Bağlantı bağlantılarla kısıtlamanıza olanak tanır. Genel ağ erişim bayrağı olarak ayarlandığında disabled, genel buluttan Azure Digital Twins örneği veri düzlemine yapılan tüm REST API çağrıları döndürülecektir 403, Unauthorized. Aksi takdirde, ilke olarak ayarlandığında disabled ve özel bir uç nokta üzerinden istek yapıldığında API çağrısı başarılı olur.

Azure portal, Azure CLI veya ARMClient komut aracını kullanarak ağ bayrağının değerini güncelleştirebilirsiniz.

Portal

Azure portal genel ağ erişimini devre dışı bırakmak veya etkinleştirmek için portalı açın ve Azure Digital Twins örneğinize gidin.

1. Sol taraftaki menüden Ağ'ı seçin.

2. Genel erişim sekmesinde Genel ağ erişimine izin ver'iDevre Dışı veya Tüm ağlar olarak ayarlayın.

   

   Kaydet’i seçin.

CLI

Azure CLI'de, komutuna bir --public-network-access parametre az dt create ekleyerek genel ağ erişimini devre dışı bırakabilir veya etkinleştirebilirsiniz. Bu komut yeni bir örnek oluşturmak için de kullanılabilse de, mevcut bir örneğin özelliklerini düzenlemek için zaten var olan bir örneğin adını sağlayarak bu komutu kullanabilirsiniz. (Bu komut hakkında daha fazla bilgi için başvuru belgelerine veya Azure Digital Twins örneği ayarlamaya yönelik genel yönergelere bakın).

Azure Digital Twins örneğinde genel ağ erişimini devre dışı bırakmak için şu parametreyi --public-network-access kullanın:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

Şu anda devre dışı bırakılmış bir örnekte genel ağ erişimini etkinleştirmek için aşağıdaki benzer komutu kullanın:

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

ARMClient

ARMClient komut aracıyla, genel ağ erişimi aşağıdaki komutlar kullanılarak etkinleştirilir veya devre dışı bırakılır.

Genel ağ erişimini devre dışı bırakmak için:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"  

Genel ağ erişimini etkinleştirmek için:

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"  

ARM şablonlarıyla dağıtma

Arm şablonu kullanarak Azure Digital Twins ile Özel Bağlantı de ayarlayabilirsiniz.

Azure işlevinin Özel Bağlantı uç noktası üzerinden Azure Digital Twins'e bağlanmasına olanak tanıyan örnek bir şablon için bkz. Azure işlevi ve Özel Bağlantı (ARM şablonu) ile Azure Digital Twins.

Bu şablon bir Azure Digital Twins örneği, bir sanal ağ, sanal ağa bağlı bir Azure işlevi ve Azure Digital Twins örneğini özel bir uç nokta üzerinden Azure işlevi için erişilebilir hale getirmek için Özel Bağlantı bir bağlantı oluşturur.

Sorun giderme

Azure Digital Twins ile Özel Bağlantı kullanırken ortaya çıkabilecek bazı yaygın sorunlar aşağıdadır.

• Sorunu: Azure Digital Twins API'lerine erişmeye çalışırken yanıt gövdesinde aşağıdaki hatayı içeren bir HTTP hata kodu 403 görürsünüz:

  {
      "statusCode": 403,
      "message": "Public network access disabled by policy."
  }
  

  Çözünürlük: Bu hata, Azure Digital Twins örneği için devre dışı bırakıldığında publicNetworkAccess ve API isteklerinin Özel Bağlantı gelmesi beklendiğinde, ancak çağrı genel ağ üzerinden (büyük olasılıkla sanal ağ için yapılandırılmış bir yük dengeleyici üzerinden) yönlendirildiğinde oluşur. API'ye uç nokta ana bilgisayar adı üzerinden erişmeye çalışırken API istemcinizin özel uç nokta için özel IP'yi çözümlediğinden emin olun.

  Bir alt ağdaki özel uç noktanın özel IP'sine ana bilgisayar adı çözümlemesini kolaylaştırmak için özel bir DNS bölgesi yapılandırabilirsiniz. Özel DNS bölgesinin sanal ağa doğru şekilde bağlandığını ve gibi privatelink.digitaltwins.azure.netdoğru bölge adını kullandığını doğrulayın.

• Sorunu: Azure Digital Twins'e özel bir uç nokta üzerinden erişmeye çalışırken bağlantı zaman aşımına uğradı.

  Çözünürlük: İstemcinin özel uç nokta ve alt ağıyla iletişim kurmasını engelleyen ağ güvenlik grubu kuralları olmadığını doğrulayın. İstemcinin kaynak IP adresi/alt ağı ile özel uç nokta hedef IP adresi/alt ağı arasında 443 numaralı TCP bağlantı noktası üzerinden iletişim kurulmasına izin verilmelidir.

Sorun giderme önerileri Özel Bağlantı daha fazla bilgi için bkz. Azure Özel Uç Nokta bağlantı sorunlarını giderme.

Sonraki adımlar

ARM şablonu kullanarak Özel Bağlantı ile korumalı bir ortamı hızla ayarlayın: Azure işlevi ve Özel Bağlantı ile Azure Digital Twins.

Veya Azure için Özel Bağlantı hakkında daha fazla bilgi edinin: Azure Özel Bağlantı hizmeti nedir?