دعم خدمة توفير الأجهزة (DPS) لمركز إنترنت الأشياء من Azure للشبكات الظاهرية

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

تقدم هذه المقالة نمط اتصال الشبكة الظاهرية (VNET) لأجهزة إنترنت الأشياء التي توفر مع محاور إنترنت الأشياء باستخدام DPS. يوفر هذا النمط اتصالا خاصا بين الأجهزة وDPS ومركز إنترنت الأشياء داخل Azure VNET مملوك للعميل.

في معظم السيناريوهات التي يتم فيها تكوين DPS باستخدام VNET، سيتم أيضا تكوين مركز إنترنت الأشياء الخاص بك في نفس الشبكة الافتراضية الخاصة. لمزيد من المعلومات المحددة حول دعم VNET وتكوينه لمراكز إنترنت الأشياء، راجع دعم الشبكة الظاهرية لمركز إنترنت الأشياء.

مقدمة

بشكل افتراضي، يتم تعيين أسماء مضيفات DPS إلى نقطة نهاية عامة باستخدام عنوان IP قابل للتوجيه بشكل عام عبر الإنترنت. نقطة النهاية العامة هذه مرئية لجميع العملاء. يمكن محاولة الوصول إلى نقطة النهاية العامة بواسطة أجهزة إنترنت الأشياء عبر شبكات واسعة النطاق وشبكات محلية.

لعدة أسباب، قد يرغب العملاء في تقييد الاتصال بموارد Azure، مثل DPS. وتشمل هذه الأسباب:

• منع التعرض للاتصال عبر الإنترنت العام. يمكن تقليل التعرض من خلال تقديم المزيد من طبقات الأمان عبر عزل مستوى الشبكة لمركز إنترنت الأشياء وموارد DPS

• تمكين تجربة اتصال خاصة من أصول الشبكة المحلية لضمان نقل بياناتك وحركة المرور مباشرة إلى شبكة Azure الأساسية.

• منع هجمات التسلل من الشبكات المحلية الحساسة.

• اتباع أنماط الاتصال على مستوى Azure التي تم إنشاؤها باستخدام نقاط النهاية الخاصة.

تتضمن الأساليب الشائعة لتقييد الاتصال قواعد تصفية DPS IP والشبكات الافتراضية (VNET) مع نقاط النهاية الخاصة. الهدف من هذه المقالة هو وصف نهج VNET ل DPS باستخدام نقاط النهاية الخاصة.

يمكن للأجهزة التي تعمل في الشبكات المحلية استخدام الشبكة الافتراضية الخاصة (VPN) أو نظير ExpressRoute الخاص للاتصال بشبكة VNET في Azure والوصول إلى موارد DPS من خلال نقاط النهاية الخاصة.

نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل VNET مملوك للعميل يمكن من خلاله الوصول إلى مورد Azure. من خلال وجود نقطة نهاية خاصة لمورد DPS الخاص بك ، ستتمكن من السماح للأجهزة التي تعمل داخل VNET بطلب التوفير بواسطة مورد DPS الخاص بك دون السماح بحركة المرور إلى نقطة النهاية العامة. يمكن لكل مورد DPS دعم نقاط نهاية خاصة متعددة ، قد يكون كل منها موجودا في VNET في منطقة مختلفة.

المتطلبات الأساسية

قبل المتابعة ، تأكد من استيفاء المتطلبات الأساسية التالية:

• تم إنشاء مورد DPS الخاص بك بالفعل وربطه بمحاور إنترنت الأشياء الخاصة بك. للحصول على إرشادات حول إعداد مورد DPS جديد، راجع إعداد خدمة توفير الأجهزة في IoT Hub باستخدام مدخل Azure

• لقد قمت بتزويد Azure VNET بشبكة فرعية سيتم فيها إنشاء نقطة النهاية الخاصة. لمزيد من المعلومات، راجع إنشاء شبكة ظاهرية باستخدام Azure CLI.

• بالنسبة للأجهزة التي تعمل داخل الشبكات المحلية، قم بإعداد الشبكة الافتراضية الخاصة (VPN) أو ExpressRoute الخاصة التي تشاهد Azure VNET.

قيود نقطة النهاية الخاصة

لاحظ القيود الحالية التالية ل DPS عند استخدام نقاط النهاية الخاصة:

• لن تعمل نقاط النهاية الخاصة مع DPS عندما يكون مورد DPS ولوحة الوصل المرتبطة في سحابات مختلفة. على سبيل المثال، Azure Government وAzure العالمي.

• حاليا، لن تعمل نهج التخصيص المخصصة مع وظائف Azure ل DPS عندما يتم تأمين وظيفة Azure إلى VNET ونقاط النهاية الخاصة.

• دعم DPS VNET الحالي مخصص لإدخال البيانات إلى DPS فقط. يستخدم مخرج البيانات ، وهو حركة المرور من DPS إلى IoT Hub ، آلية داخلية من خدمة إلى خدمة بدلا من VNET مخصص. لا يتوفر حاليا دعم تأمين الخروج الكامل المستند إلى VNET بين DPS وIoT Hub.

• يتم استخدام سياسة تخصيص أقل زمن انتقال لتعيين جهاز إلى مركز إنترنت الأشياء بأقل زمن انتقال. نهج التخصيص هذا غير موثوق به في بيئة شبكة افتراضية.

• عادة ما يتضمن تمكين نقطة نهاية خاصة واحدة أو أكثر تعطيل الوصول العام إلى مثيل DPS الخاص بك. وهذا يعني أنه لم يعد بإمكانك استخدام مدخل Azure لإدارة عمليات التسجيل. بدلا من ذلك، يمكنك إدارة عمليات التسجيل باستخدام واجهات برمجة تطبيقات Azure CLI أو PowerShell أو Service من الأجهزة الموجودة داخل VNET (الوحدات)/نقطة النهاية الخاصة التي تم تكوينها على مثيل DPS.

• عند استخدام نقاط النهاية الخاصة، نوصي بنشر DPS في إحدى المناطق التي تدعم مناطق توافر الخدمات. وإلا، فقد تشهد مثيلات DPS مع تمكين نقاط النهاية الخاصة انخفاضا في التوافر في حالة انقطاع التيار الكهربائي.

ملاحظة

النظر في إقامة البيانات:

يوفر DPS نقطة نهاية جهاز عمومية (global.azure-devices-provisioning.net). ومع ذلك، عند استخدام نقطة النهاية العمومية، قد تتم إعادة توجيه بياناتك خارج المنطقة التي تم فيها إنشاء مثيل DPS في البداية. لضمان موقع البيانات داخل منطقة DPS الأولية، استخدم نقاط النهاية الخاصة.

إعداد نقطة نهاية خاصة

لإعداد نقطة نهاية خاصة، اتبع الخطوات التالية:

1. في مدخل Azure، افتح مورد DPS وانقر فوق علامة التبويب الشبكة. انقر فوق اتصالات نقطة النهاية الخاصة و+ نقطة النهاية الخاصة.

   

2. في الصفحة إنشاء أساسيات نقطة نهاية خاصة ، أدخل المعلومات المذكورة في الجدول أدناه.

   

   الحقل	القيمة
   الاشتراك	اختر اشتراك Azure المطلوب لاحتواء نقطة النهاية الخاصة.
   مجموعة الموارد	اختيار مجموعة موارد أو إنشائها لاحتواء نقطة النهاية الخاصة
   الاسم	أدخل اسما لنقطة النهاية الخاصة بك
   المنطقة	يجب أن تكون المنطقة المختارة هي نفسها المنطقة التي تحتوي على VNET ، ولكن ليس من الضروري أن تكون هي نفسها مورد DPS.

   انقر فوق التالي : مورد لتكوين المورد الذي ستشير إليه نقطة النهاية الخاصة.

3. في الصفحة إنشاء مورد نقطة نهاية خاص ، أدخل المعلومات المذكورة في الجدول أدناه.

   

   الحقل	القيمة
   الاشتراك	اختر اشتراك Azure الذي يحتوي على مورد DPS الذي ستشير إليه نقطة النهاية الخاصة.
   نوع المورد	اختر Microsoft.Devices/ProvisioningServices.
   المورد	حدد مورد DPS الذي ستقوم نقطة النهاية الخاصة بتعيينه إليه.
   الهدف الفرعي المورد	حدد iotDps.

   تلميح

   يتم توفير معلومات حول الاتصال إلى مورد Azure بواسطة معرف المورد أو الإعداد المستعار في القسم طلب نقطة نهاية خاصة في هذه المقالة.

   انقر فوق التالي: تكوين لتكوين VNET لنقطة النهاية الخاصة.

4. في الصفحة إنشاء تكوين نقطة نهاية خاصة ، اختر الشبكة الظاهرية والشبكة الفرعية لإنشاء نقطة النهاية الخاصة بها.

   انقر فوق التالي: العلامات، وقم اختياريا بتوفير أي علامات للمورد الخاص بك.

   

5. انقر فوق مراجعة + إنشاء ثم إنشاء لإنشاء مورد نقطة النهاية الخاص.

استخدام نقاط النهاية الخاصة مع الأجهزة

لاستخدام نقاط النهاية الخاصة مع التعليمات البرمجية لإدارة حسابات الأجهزة، يجب أن تستخدم شفرة إدارة الحسابات نقطة نهاية الخدمة المحددة لمورد DPS كما هو موضح في صفحة النظرة العامة لمورد DPS في مدخل Azure. تحتوي نقطة نهاية الخدمة على النموذج التالي.

<Your DPS Tenant Name>.azure-devices-provisioning.net

تستخدم معظم نماذج التعليمات البرمجية الموضحة في وثائقنا ومجموعات تطوير البرامج (SDK) نقطة نهاية الجهاز العمومي (global.azure-devices-provisioning.net) ونطاق المعرف لحل مورد DPS معين. استخدم نقطة نهاية الخدمة بدلا من نقطة نهاية الجهاز العمومية عند الاتصال بمورد DPS باستخدام نقاط نهاية خاصة لتوفير أجهزتك.

على سبيل المثال، تم تصميم نموذج عميل جهاز إدارة الحسابات (pro_dev_client_sample) في Azure IoT C SDK لاستخدام نقطة نهاية الجهاز العمومي كعنوان URI (global_prov_uri) للتوفير العمومي في prov_dev_client_sample.c

MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_RESULT, PROV_DEVICE_RESULT_VALUE);
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_REG_STATUS, PROV_DEVICE_REG_STATUS_VALUES);

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

}

PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(global_prov_uri, id_scope, prov_transport)) == NULL)
{
    (void)printf("failed calling Prov_Device_Create\r\n");

لاستخدام النموذج مع نقطة نهاية خاصة، سيتم تغيير التعليمة البرمجية المميزة أعلاه لاستخدام نقطة نهاية الخدمة لمورد DPS الخاص بك. على سبيل المثال ، إذا كانت mydps.azure-devices-provisioning.netنقطة نهاية الخدمة الخاصة بك ، فستبدو التعليمة البرمجية كما يلي.

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* service_uri = "mydps.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

    PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
    PROV_DEVICE_HANDLE prov_device_handle;
    if ((prov_device_handle = Prov_Device_Create(service_uri, id_scope, prov_transport)) == NULL)
    {
        (void)printf("failed calling Prov_Device_Create\r\n");
    }

طلب نقطة نهاية خاصة

يمكنك طلب نقطة نهاية خاصة إلى مورد DPS حسب معرف المورد. لتقديم هذا الطلب، تحتاج إلى مالك المورد لتزويدك بمعرف المورد.

1. يتم توفير معرف المورد في علامة التبويب خصائص مورد DPS كما هو موضح أدناه.

   

   تنبيه

   كن على علم بأن معرف المورد يحتوي على معرف الاشتراك.

2. بمجرد حصولك على معرف المورد، اتبع الخطوات المذكورة أعلاه في إعداد نقطة نهاية خاصة إلى الخطوة 3 في الصفحة إنشاء مورد نقطة نهاية خاصة. انقر الاتصال إلى مورد Azure حسب معرف المورد أو الاسم المستعار وأدخل المعلومات في الجدول التالي.

   الحقل	القيمة
   معرف المورد أو الاسم المستعار	أدخل معرف المورد لمورد DPS.
   الهدف الفرعي المورد	أدخل iotDps
   طلب رسالة	أدخل رسالة طلب لمالك مورد DPS. على سبيل المثال، Please approve this new private endpoint for IoT devices in site 23 to access this DPS instance

   انقر فوق التالي: تكوين لتكوين VNET لنقطة النهاية الخاصة.

3. في الصفحة إنشاء تكوين نقطة نهاية خاصة ، اختر الشبكة الظاهرية والشبكة الفرعية لإنشاء نقطة النهاية الخاصة بها.

   انقر فوق التالي: العلامات، وقم اختياريا بتوفير أي علامات للمورد الخاص بك.

4. انقر فوق مراجعة + إنشاء ثم إنشاء لإنشاء طلب نقطة النهاية الخاص بك.

5. سيشاهد مالك DPS طلب نقطة النهاية الخاص في قائمة اتصالات نقطة النهاية الخاصة في علامة التبويب شبكة DPS. في تلك الصفحة، يمكن للمالك الموافقة على طلب نقطة النهاية الخاص أو رفضه كما هو موضح أدناه.

   

تسعير نقاط النهاية الخاصة

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

الخطوات التالية

استخدم الروابط أدناه لمعرفة المزيد حول ميزات أمان DPS:

• الأمان
• دعم TLS 1.2