دعم IoT Hub للشبكات الظاهرية مع الرابطالخاص والهوية المدارة

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

بشكل افتراضي، يتم تعيين أسماء مضيفي IoT Hub إلى نقطة نهاية عامة مع عنوان IP قابل للتوجيه بشكل عام عبر الإنترنت. يشارك عملاء مختلفون نقطة النهاية العامة ل IoT Hub هذه ، ويمكن لأجهزة إنترنت الأشياء في الشبكات واسعة النطاق والشبكات المحلية الوصول إليها.

تتطلب ميزات IoT Hub بما في ذلك توجيه الرسائلوتحميل الملفاتوالاستيراد/التصدير المجمع للأجهزة أيضا الاتصال من IoT Hub إلى مورد Azure مملوك للعميل عبر نقطة النهاية العامة الخاصة به. تشكل مسارات الاتصال هذه بشكل جماعي حركة مرور الخروج من IoT Hub إلى موارد العملاء.

قد ترغب في تقييد الاتصال بموارد Azure (بما في ذلك IoT Hub) من خلال شبكة VNet التي تمتلكها وتديرها. وتشمل هذه الأسباب:

• إدخال عزل الشبكة لمركز إنترنت الأشياء الخاص بك عن طريق منع التعرض للاتصال بالإنترنت العام.

• تمكين تجربة اتصال خاصة من أصول الشبكة المحلية لضمان نقل بياناتك وحركة المرور مباشرة إلى شبكة Azure الأساسية.

• منع هجمات التسلل من الشبكات المحلية الحساسة.

• اتباع أنماط الاتصال على مستوى Azure التي تم إنشاؤها باستخدام نقاط النهاية الخاصة.

توضح هذه المقالة كيفية تحقيق هذه الأهداف باستخدام Azure Private Link لدخول الاتصال بمركز إنترنت الأشياء واستخدام استثناء موثوق به خدمات Microsoft للاتصال بالخروج من IoT Hub إلى موارد Azure الأخرى.

إدخال الاتصال بمركز إنترنت الأشياء باستخدام Azure Private Link

نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل VNet مملوك للعميل يمكن من خلاله الوصول إلى مورد Azure. من خلال Azure Private Link، يمكنك إعداد نقطة نهاية خاصة لمركز إنترنت الأشياء الخاص بك للسماح للخدمات داخل VNet بالوصول إلى مركز إنترنت الأشياء دون الحاجة إلى إرسال حركة المرور إلى نقطة النهاية العامة ل IoT Hub. وبالمثل ، يمكن لأجهزتك المحلية استخدام الشبكة الافتراضية الخاصة (VPN) أو نظير ExpressRoute للحصول على اتصال ب VNet ومركز إنترنت الأشياء الخاص بك (عبر نقطة النهاية الخاصة به). ونتيجة لذلك، يمكنك تقييد الاتصال بنقاط النهاية العامة لمركز إنترنت الأشياء أو حظره تماما باستخدام عامل تصفية IP لمركز إنترنت الأشياء أو تبديل الوصول إلى الشبكة العامة. يحافظ هذا النهج على الاتصال بلوحة الوصل باستخدام نقطة النهاية الخاصة للأجهزة. ينصب التركيز الرئيسي لهذا الإعداد على الأجهزة الموجودة داخل شبكة محلية. لا ينصح بهذا الإعداد للأجهزة التي يتم نشرها في شبكة واسعة النطاق.

قبل المتابعة ، تأكد من استيفاء المتطلبات الأساسية التالية:

• لقد قمت بإنشاء Azure VNet باستخدام شبكة فرعية سيتم فيها إنشاء نقطة النهاية الخاصة.

• بالنسبة للأجهزة التي تعمل في الشبكات المحلية، قم بإعداد الشبكة الافتراضية الخاصة (VPN) أو ExpressRoute الخاصة التي تنظر إلى Azure VNet.

إعداد نقطة نهاية خاصة لدخول IoT Hub

تعمل نقطة النهاية الخاصة مع واجهات برمجة تطبيقات أجهزة IoT Hub (مثل الرسائل من الجهاز إلى السحابة) بالإضافة إلى واجهات برمجة تطبيقات الخدمة (مثل إنشاء الأجهزة وتحديثها).

1. في مدخل Azure، حدد الشبكات، والوصول الخاص، وانقر فوق الخيار + إنشاء نقطة نهاية خاصة .

   

2. قم بتوفير الاشتراك ومجموعة الموارد والاسم والمنطقة لإنشاء نقطة النهاية الخاصة الجديدة فيها. من الناحية المثالية ، يجب إنشاء نقطة نهاية خاصة في نفس المنطقة التي يوجد بها مركزك.

3. انقر فوق التالي: مورد، وقم بتوفير الاشتراك لمورد IoT Hub، وحدد "Microsoft.Devices/IotHubs" كنوع مورد، واسم IoT Hub كمورد وiotHubكمورد فرعي مستهدف.

4. انقر فوق التالي: تكوين الشبكة الظاهرية والشبكة الفرعية وإنشاء نقطة النهاية الخاصة بها. حدد خيار التكامل مع منطقة DNS الخاصة ب Azure، إذا رغبت في ذلك.

5. انقر فوق التالي: العلامات، وقم اختياريا بتوفير أي علامات للمورد الخاص بك.

6. انقر على مراجعة + إنشاء لإنشاء مورد الرابط الخاص.

نقطة نهاية مدمجة متوافقة مع مركز الأحداث

يمكن أيضا الوصول إلى نقطة النهاية المتوافقة مع Event Hub المضمنة عبر نقطة النهاية الخاصة. عند تكوين ارتباط خاص، يجب أن ترى اتصال نقطة نهاية خاص إضافي لنقطة النهاية المضمنة. انها واحدة مع servicebus.windows.net في FQDN.

يمكن لمرشح IP الخاص ب IoT Hub التحكم اختياريا في الوصول العام إلى نقطة النهاية المضمنة.

لحظر الوصول إلى الشبكة العامة تماما إلى مركز إنترنت الأشياء، أوقف تشغيل الوصول العام إلى الشبكة أو استخدم عامل تصفية IP لحظر كل عناوين IP وحدد خيار تطبيق القواعد على نقطة النهاية المضمنة.

تسعير الرابط الخاص

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

Egress الاتصال من IoT Hub إلى موارد Azure الأخرى

يمكن ل IoT Hub الاتصال بوحدة تخزين Azure blob ومحور الأحداث وموارد ناقل الخدمة لتوجيه الرسائلوتحميل الملفاتواستيراد/تصدير الأجهزة المجمعة عبر نقطة النهاية العامة للموارد. يؤدي ربط المورد الخاص بك إلى VNet إلى حظر الاتصال بالمورد بشكل افتراضي. ونتيجة لذلك، يمنع هذا التكوين مركز إنترنت الأشياء من العمل على إرسال البيانات إلى مواردك. لحل هذه المشكلة، قم بتمكين الاتصال من مورد IoT Hub إلى حساب التخزين أو مركز الأحداث أو موارد ناقل الخدمة عبر خيار خدمة Microsoft الموثوق به .

للسماح للخدمات الأخرى بالعثور على مركز إنترنت الأشياء كخدمة Microsoft موثوق بها، يجب أن يستخدم مركز الموزع الهوية المدارة. بمجرد توفير هوية مدارة، ستحتاج إلى منح إذن Azure RBAC للهوية المدارة لمركز الاتصال للوصول إلى نقطة النهاية المخصصة. اتبع المقالة دعم الهويات المدارة في IoT Hub لتوفير هوية مدارة بإذن Azure RPAC، وإضافة نقطة النهاية المخصصة إلى IoT Hub. تأكد من تشغيل استثناء الطرف الأول الموثوق به من Microsoft للسماح بوصول IoT Hub إلى نقطة النهاية المخصصة إذا كان لديك تكوينات جدار الحماية في مكانها.

التسعير لخيار خدمة Microsoft الموثوق بها

ميزة استثناء خدمات الطرف الأول الموثوق بها من Microsoft مجانية. يتم تطبيق رسوم حسابات التخزين المتوفرة أو مراكز الأحداث أو موارد ناقل الخدمة بشكل منفصل.

الخطوات التالية

استخدم الروابط أدناه لمعرفة المزيد حول ميزات IoT Hub:

• توجيه الرسائل
• تحميل الملفات
• استيراد/تصدير الأجهزة بالجملة