Zabezpečení sítě pro IoT Central s využitím privátních koncových bodů
Ke standardním koncovým bodům IoT Central pro připojení zařízení se přistupuje pomocí veřejných adres URL. Jakékoli zařízení s platnou identitou se může z libovolného místa připojit k vaší aplikaci IoT Central.
Pomocí privátních koncových bodů omezte a zabezpečte připojení zařízení k aplikaci IoT Central a povolte přístup pouze přes privátní virtuální síť.
Privátní koncové body používají privátní IP adresy z adresního prostoru virtuální sítě k privátnímu připojení vašich zařízení k aplikaci IoT Central. Síťový provoz mezi zařízeními ve virtuální síti a platformou IoT prochází virtuální sítí a privátním propojením v páteřní síti Microsoftu, čímž eliminuje riziko ohrožení veřejného internetu.
Další informace o virtuálních sítích Azure najdete tady:
Privátní koncové body ve vaší aplikaci IoT Central umožňují:
- Zabezpečte cluster nakonfigurováním brány firewall tak, aby blokovala všechna připojení zařízení na veřejném koncovém bodu.
- Zvyšte zabezpečení virtuální sítě tím, že povolíte ochranu dat ve virtuální síti.
- Bezpečně připojte zařízení k IoT Central z místních sítí, které se připojují k virtuální síti pomocí brány VPN nebo privátního partnerského vztahu ExpressRoute .
Použití privátních koncových bodů v IoT Central je vhodné pro zařízení připojená k místní síti. Privátní koncové body byste neměli používat pro zařízení nasazená v síti Wide Area, jako je například internet.
Co je privátní koncový bod?
Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti, které má přiřazené IP adresy z rozsahu IP adres vaší virtuální sítě. Privátní koncový bod poskytuje zabezpečené připojení mezi vašimi zařízeními ve virtuální síti a platformou IoT, ke které se připojují. Připojení mezi privátním koncovým bodem a platformou Azure IoT používá zabezpečené privátní propojení:
Zařízení připojená k virtuální síti se můžou bezproblémově připojit ke clusteru přes privátní koncový bod. Autorizační mechanismy jsou stejné, jako byste použili pro připojení k veřejným koncovým bodům. Musíte ale aktualizovat adresu URL připojení DPS, protože adresa URL hostitele global.azure-devices-provisioning.net globálního zřizování se nepřeloží, pokud je pro vaši aplikaci zakázaný přístup z veřejné sítě.
Když vytvoříte privátní koncový bod pro cluster ve vaší virtuální síti, odešle se žádost o souhlas ke schválení vlastníkem předplatného. Pokud je uživatel žádající o vytvoření privátního koncového bodu zároveň vlastníkem předplatného, žádost se automaticky schválí. Vlastníci předplatného můžou spravovat žádosti o souhlas a privátní koncové body pro cluster v Azure Portal v části Privátní koncové body.
Každá aplikace IoT Central může podporovat více privátních koncových bodů, z nichž každý se může nacházet ve virtuální síti v jiné oblasti. Pokud máte v plánu používat více privátních koncových bodů, pečlivě nakonfigurujte DNS a naplánujte velikost podsítí virtuální sítě.
Plánování velikosti podsítě ve virtuální síti
Velikost podsítě ve vaší virtuální síti nejde po vytvoření podsítě změnit. Proto je důležité naplánovat velikost podsítě a umožnit budoucí růst.
IoT Central vytvoří několik plně kvalifikovaných názvů domén viditelných zákazníkem v rámci nasazení privátního koncového bodu. Kromě plně kvalifikovaného názvu domény pro IoT Central existují plně kvalifikované názvy domén pro základní prostředky IoT Hub, Event Hubs a Device Provisioning Service.
Privátní koncový bod IoT Central používá několik IP adres z vaší virtuální sítě a podsítě. Na základě profilu zatížení aplikace také IoT Central automaticky škáluje podkladové služby IoT Huby , takže se může zvýšit počet IP adres používaných privátním koncovým bodem. Toto možné zvýšení naplánujte při určování velikosti podsítě.
Následující informace vám pomůžou určit celkový počet IP adres požadovaných ve vaší podsíti:
| Použití | Počet IP adres na privátní koncový bod |
|---|---|
| IoT Central URL | 1 |
| Podkladová centra IoT | 2-50 |
| Event Hubs odpovídající službě IoT Hubs | 2-50 |
| Device Provisioning Service | 1 |
| Rezervované adresy Azure | 5 |
| Celkem | 11-107 |
Další informace najdete v nejčastějších dotazech k Azure Virtual Network.
Poznámka
Minimální velikost podsítě je /28 (14 použitelných IP adres). Pro použití s privátním koncovým bodem /24 IoT Central se doporučuje, což pomáhá při extrémních úlohách.
Další kroky
Teď, když jste se seznámili s používáním privátních koncových bodů pro připojení zařízení k aplikaci, je zde navrhovaný další krok: