你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用专用链接实现对 Azure 数字孪生的专用访问

2025-06-20

通过将 Azure 数字孪生与 Azure 专用链接结合使用，可以为 Azure 数字孪生实例启用专用终结点，以消除公开披露，并允许位于虚拟网络中的客户端通过专用链接安全地访问实例。有关 Azure 数字孪生的此安全策略的详细信息，请参阅与 Azure 数字孪生实例的专用终结点的专用链接。

下面是本文中介绍的过程：

打开专用链接，并为 Azure 数字孪生实例配置专用终结点。
查看、编辑或删除 Azure 数字孪生实例中的专用终结点。
禁用或启用公用网络访问标志，从而将 Azure 数字孪生的 API 访问限制为仅使用专用链接连接。
使用 ARM 模板部署具有专用链接的 Azure 数字孪生
排查配置问题。

先决条件

在设置专用终结点之前，需要一个可在其中部署终结点的 Azure 虚拟网络（VNet ）。如果还没有 VNet，请按照 Azure 虚拟网络快速入门指南来设置一个。

向 Azure 数字孪生添加专用终结点

可以使用 Azure 门户或 Azure CLI 为 Azure 数字孪生实例启用带有专用终结点的专用链接。

如果要将专用链接设置为实例初始设置的一部分，则需要使用 Azure 门户。否则，如果要在创建实例后在实例上启用专用链接，可以使用 Azure 门户或 Azure CLI。这些创建方法中的任何一种都为实例提供相同的配置选项和相同的最终结果。

使用以下部分中的选项卡，可以选择针对你首选体验的说明。

提示

此外，还可以通过专用链接服务设置专用链接终结点，而非通过 Azure 数字孪生实例。此方法也将提供相同的配置选项和相同的最终结果。

有关设置专用链接资源的详细信息，请参阅 Azure 门户、Azure CLI、Azure 资源管理器或 PowerShell 的专用链接文档。

在实例创建过程中添加专用终结点

在本部分中，将创建一个专用终结点，其中包含专用链接作为 Azure 数字孪生实例初始设置的一部分。这个操作只能通过 Azure 门户来完成。

“专用链接”选项位于实例设置的“网络”选项卡中。

开始在 Azure 门户中设置一个 Azure 数字孪生实例。有关说明，请参阅设置实例和身份验证。
当你访问实例设置的“网络”选项卡时，可以通过在“连接方式”中选择“专用终结点”选项来启用专用终结点。

这样做会添加一个名为 “专用终结点连接 ”的部分，可在其中配置专用终结点的详细信息。选择“+ 添加”按钮以继续。
在打开的“创建专用终结点”页中，输入新专用终结点的详细信息。
1. 为“订阅”和“资源组”填充所选内容。将 “位置 ”设置为与使用的 VNet 相同的位置。选择终结点“名称”，并为“目标子资源”选择“API”。
2. 接下来，选择要用于部署终结点的“虚拟网络”和“子网”。
3. 最后，选择是否与专用 DNS 区域集成。可以使用默认值“是”，或者为了便于选择，通过门户中的链接来详细了解专用 DNS 集成。
4. 填写完配置选项后，选择“确定”完成此操作。
完成此过程后，门户将返回到 Azure 数字孪生实例设置的网络选项卡。 验证新终结点在“专用终结点连接”下是否可见。
使用底部的导航按钮继续完成余下的实例设置。

将专用终结点添加到现有实例

在本部分中，将为已存在的 Azure 数字孪生实例启用专用链接和专用终结点。此作可以在 Azure 门户或 Azure CLI 中完成。

门户
CLI

首先，在浏览器中导航到 Azure 门户。通过在门户搜索栏中搜索其名称，打开 Azure 数字孪生实例。
从左侧菜单中选择 “设置 > 网络 ”。
切换到“专用终结点连接”选项卡。
选择“+ 专用终结点”，打开“创建专用终结点”设置。
在 “基本信息 ”选项卡中，输入或选择项目的订阅和 资源组 ，以及名称、 网络接口名称 （可以使用填充的默认值）和终结点 的区域 。区域需要与要使用的 VNet 的所在区域相同。

完成后，选择“下一步: 资源 >”按钮以转到下一个选项卡。
在“资源”选项卡中，输入或选择以下信息：
- 连接方法：选择“连接到我的目录中的 Azure 资源”，以搜索 Azure 数字孪生实例。
- 订阅：输入你的订阅。
- 资源类型：选择 "Microsoft.DigitalTwins/digitalTwinsInstances”
- 资源：选择 Azure 数字孪生实例的名称。
- 目标子资源：选择 "API”。
完成后，选择“ 下一步：虚拟网络 > ”按钮转到下一个选项卡。
在 “虚拟网络 ”选项卡中，输入或选择以下信息：
- 虚拟网络：选择虚拟网络。
- 子网：从虚拟网络中选择一个子网。
- 专用终结点的网络策略：启用或禁用。有关详细信息，请参阅管理专用终结点的网络策略。
- 专用 IP 配置：选择是动态分配 IP 地址，还是使用专用 IP 以静态方式分配 IP。
- 应用程序安全组：根据需要配置安全详细信息。有关详细信息，请参阅应用程序安全组。
选择 “下一步：DNS”。
在“DNS”中保留默认值。选择 “下一步：标记”，然后选择 “下一步：查看 + 创建”。
在“查看 + 创建”选项卡中查看所做的选择，然后选择“创建”按钮。

完成终结点部署后，该终结点会显示在 Azure 数字孪生实例的专用终结点连接中。

要使用 Azure CLI 创建专用终结点并将其链接到 Azure 数字孪生实例，请使用 az network private-endpoint create 命令。在 --private-connection-resource-id 参数中使用其完全限定的 ID 标识 Azure 数字孪生实例。

下面是一个使用命令创建专用终结点（仅包含所需参数）的示例。它包含用于资源名称的占位符。

az network private-endpoint create --connection-name <private-link-service-connection> --name <name-for-private-endpoint> --resource-group <resource-group> --subnet <subnet-ID> --private-connection-resource-id "/subscriptions/<subscription-ID>/resourceGroups/<resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<Azure-Digital-Twins-instance-name>"

有关必需参数和可选参数的完整列表，以及更多专用终结点创建示例，请参阅 az network private-endpoint create 参考文档。

管理专用终结点

在本部分中，你将了解如何在创建专用终结点后查看、编辑和删除专用终结点。可以在 Azure 门户中或使用 Azure CLI 执行这些作。

门户
CLI

为 Azure 数字孪生实例创建专用终结点后，可以在 Azure 数字孪生实例的“设置网络”>页中查看它。此页面显示与实例关联的所有专用终结点连接。

选择终结点可以查看详细信息，更改其配置设置，或删除连接。

提示

也可以从 Azure 门户的“专用链接中心”查看该终结点。

禁用/启用公用网络访问标志

可以将 Azure 数字孪生实例配置为拒绝所有公用连接，并仅允许专用访问终结点连接，以此增强网络安全性。使用公用网络访问标志完成此操作。

此策略支持将 API 访问限制为仅使用专用链接连接。当公共网络访问标志设置为 disabled时，来自公有云至 Azure 数字孪生实例数据平面的所有 REST API 调用都返回 403, Unauthorized。否则，当策略设置为 disabled 并且通过专用终结点发出请求时，API 调用会成功。

可以使用 Azure 门户、Azure CLI 或 ARMClient 命令工具更新网络标志的值。

若要在 Azure 门户中禁用或启用公用网络访问，请打开门户并导航到 Azure 数字孪生实例。

在左侧菜单中选择 “设置 > 网络 ”。
在“公共访问”选项卡中，将“允许公用网络访问”设置为“已禁用”或“所有网络” 。

选择“保存”。

在 Azure CLI 中，可以通过将 --public-network-access 参数添加到 az dt create 命令来禁用或启用公用网络访问。尽管此命令也可用于创建新的实例，但你可以使用它来编辑现有实例的属性，方法是向其提供已存在的实例的名称。（有关此命令的详细信息，请参阅其参考文档或有关设置 Azure 数字孪生实例的一般说明）。

若要对 Azure 数字孪生实例禁用公用网络访问，请使用 --public-network-access 参数，如下所示：

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Disabled

若要对当前禁用的实例启用公用网络访问，请使用以下类似命令：

az dt create --dt-name <name-of-existing-instance> --resource-group <resource-group> --public-network-access Enabled

使用 ARMClient 命令工具时，使用以下命令启用或禁用公共网络访问。

关闭公共网络访问：

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'disabled' } }"

若要启用公共网络访问，请执行以下操作：

armclient login 

armclient PATCH /subscriptions/<your-Azure-subscription-ID>/resourceGroups/<your-resource-group>/providers/Microsoft.DigitalTwins/digitalTwinsInstances/<your-Azure-Digital-Twins-instance>?api-version=2020-12-01 "{ 'properties': { 'publicNetworkAccess': 'enabled' } }"

使用 ARM 模板进行部署

还可以使用 ARM 模板设置与 Azure 数字孪生的专用链接。

有关允许 Azure 函数通过专用链接终结点连接到 Azure 数字孪生的示例模板，请参阅 Azure 数字孪生与 Azure 函数和专用链接（ARM 模板）。

此模板创建一个 Azure 数字孪生实例、一个虚拟网络、一个连接到虚拟网络的 Azure 函数和一个专用链接连接，以使 Azure 函数能够通过专用终结点访问 Azure 数字孪生实例。

限制和故障排除

将专用链接与 Azure 数字孪生配合使用时的一个限制是不支持跨租户应用场景。

若要进行故障排除，下面是一些常见问题的解决方案：

问题： 尝试访问 Azure 数字孪生 API 时，响应正文中会显示 HTTP 错误代码 403，并出现以下错误：
```
{
    "statusCode": 403,
    "message": "Public network access disabled by policy."
}
```
解决方案： 此错误发生的原因是当 Azure 数字孪生实例的 publicNetworkAccess 被禁用时，API 请求应通过专用链接 (Private Link) 进行，但调用通过公用网络传输（可能是通过为虚拟网络配置的负载均衡器进行传输）。尝试通过终结点主机名访问 API 时，请确保 API 客户端正在解析专用终结点的专用 IP。

为方便将主机名解析为子网中专用终结点的专用 IP，可以配置专用 DNS 区域。验证专用 DNS 区域是否已正确链接到虚拟网络，并使用正确的区域名称（例如 privatelink.digitaltwins.azure.net）。
问题：尝试通过专用终结点访问 Azure 数字孪生时，连接超时。

解决方法：验证是否不存在禁止客户端与专用终结点及其子网通信的网络安全组规则。在客户端的源 IP 地址/子网和专用终结点目标 IP 地址/子网之间，必须允许 TCP 端口 443 上的通信。

有关更多专用链接故障排除建议，请参阅排查 Azure 专用终结点连接问题。

后续步骤

使用 ARM 模板快速设置使用专用链接的受保护环境：Azure 数字孪生与 Azure 函数和专用链接。

或者，详细了解 Azure 的专用链接：什么是 Azure 专用链接服务？