Netzwerksicherheit für IoT Central mit privaten Endpunkten
Auf die IoT Central-Standardendpunkte für die Gerätekonnektivität wird über öffentliche URLs zugegriffen. Jedes Gerät mit einer gültigen Identität kann von jedem Standort aus eine Verbindung mit Ihrer IoT-Central-Anwendung herstellen.
Verwenden Sie private Endpunkte, um die Gerätekonnektivität mit Ihrer IoT-Central-Anwendung einzuschränken und zu schützen und nur den Zugriff über Ihr privates virtuelles Netzwerk zuzulassen.
Private Endpunkte verwenden private IP-Adressen aus einem Adressraum eines virtuellen Netzwerks, um Ihre Geräte privat mit Ihrer IoT Central-Anwendung zu verbinden. Der Netzwerkdatenverkehr zwischen den Geräten im virtuellen Netzwerk und der Registrierung wird über das virtuelle Netzwerk und eine private Verbindung im Microsoft-Backbone-Netzwerk geleitet und somit nicht dem öffentlichen Internet ausgesetzt.
Erfahren Sie mehr über Azure Virtual Networks:
Private Endpunkte in Ihrer IoT-Central-Anwendung ermöglichen Ihnen:
- Schützen Sie Ihren Cluster, indem Sie die Firewall so konfigurieren, dass alle Verbindungen am öffentlichen Endpunkt blockiert werden.
- Erhöhen Sie die Sicherheit für das virtuelle Netzwerk, indem Sie Daten im virtuellen Netzwerk schützen können.
- Verbinden mit verbesserter Sicherheit für IoT Central aus lokalen Netzwerken, die über ein VPN-Gateway oder private ExpressRoute-Peering eine Verbindung mit dem virtuellen Netzwerk herstellen.
Die Verwendung privater Endpunkte in IoT Central eignet sich für Geräte, die mit einem lokalen Netzwerk verbunden sind. Sie sollten keine privaten Endpunkte für Geräte verwenden, die in einem Weitbereichsnetzwerk wie dem Internet bereitgestellt werden.
Was ist ein privater Endpunkt?
Ein privater Endpunkt ist eine spezielle Netzwerkschnittstelle für einen Azure-Dienst in Ihrem virtuellen Netzwerk, dem (eine) IP-Adresse(n) aus dem IP-Adressbereich Ihres virtuellen Netzwerks zugewiesen sind. Ein privater Endpunkt bietet sichere Konnektivität zwischen Ihren Geräten im virtuellen Netzwerk und der IoT-Plattform, mit der sie eine Verbindung herstellen. Für die Verbindung zwischen dem privaten Endpunkt und der Azure-IoT-Plattform wird eine sichere private Verbindung verwendet:
Geräte, die mit dem virtuellen Netzwerk verbunden sind, können über den privaten Endpunkt nahtlos eine Verbindung mit dem Cluster herstellen. Die Autorisierungsmechanismen sind dieselben, die Sie zum Herstellen einer Verbindung mit den öffentlichen Endpunkten verwenden würden. Sie müssen jedoch die DPS-Verbindungs-URL aktualisieren, da die globale Host-global.azure-devices-provisioning.net-URL nicht aufgelöst wird, wenn der Öffentliche Netzwerkzugriff für Ihre Anwendung deaktiviert ist.
Wenn Sie einen privaten Endpunkt für einen Cluster in Ihrem virtuellen Netzwerk erstellen, wird eine Zustimmungsanforderung zur Genehmigung durch den Abonnementbesitzer gesendet. Wenn der Benutzer, der die Erstellung des privaten Endpunkts anfordert, auch ein Besitzer des Abonnements ist, wird diese Einwilligungsanforderung automatisch genehmigt. Abonnementbesitzer können Einwilligungsanforderungen und die privaten Endpunkte für die Cluster im Azure-Portal über die Registerkarte Private Endpunkte verwalten.
Jede IoT-Central-Anwendung kann mehrere private Endpunkte unterstützen, die sich jeweils in einem virtuelles Netzwerk in einer anderen Region befinden können. Wenn Sie mehrere private Endpunkte verwenden möchten, achten Sie besonders darauf, Ihr DNS zu konfigurieren und die Größe Ihrer Subnetze des virtuellen Netzwerks zu planen.
Planen der Größe des Subnetzes in Ihrem virtuellen Netzwerk
Die Größe des Subnetzes in Ihrem virtuellen Netzwerk kann nach der Erstellung des Subnetzes nicht geändert werden. Daher ist es wichtig, die Größe des Subnetzes zu planen und zukünftiges Wachstum zu ermöglichen.
IoT Central erstellt mehrere für Kunden sichtbare FQDNs im Rahmen einer Bereitstellung eines privaten Endpunkts. Zusätzlich zum FQDN für IoT Central gibt es FQDNs für zugrunde liegende IoT Hub-, Event Hubs- und Device Provisioning Service-Ressourcen.
Der private IoT-Central-Endpunkt verwendet mehrere IP-Adressen aus Ihrem virtuellen Netzwerk und Subnetz. Basierend auf dem Auslastungsprofil der Anwendung, wird von IoT Central die zugrunde liegenden IoT Hubs automatisch skaliert, sodass die Anzahl der IP-Adressen, die von einem privaten Endpunkt verwendet werden, erhöht werden kann. Planen Sie diese mögliche Erhöhung, wenn Sie die Größe für das Subnetz bestimmen.
Verwenden Sie die folgenden Informationen, um die Gesamtzahl der IP-Adressen zu ermitteln, die in Ihrem Subnetz erforderlich sind:
| Zweck | Anzahl der IP-Adressen pro privatem Endpunkt |
|---|---|
| IoT-Central-URL | 1 |
| Zugrunde liegende IoT Hubs | 2–50 |
| Event Hubs für IoT Hubs | 2–50 |
| Device Provisioning Service | 1 |
| Für Azure reservierte Adressen | 5 |
| Gesamt | 11-107 |
Weitere Informationen finden Sie unter Azure Virtual Network FAQ.
Hinweis
Die Mindestgröße für das Subnetz ist /28 (14 verwendbare IP-Adressen). Für die Verwendung mit einem privaten IoT-Central-Endpunkt wird /24 empfohlen, der bei extrem hohen Workloads hilft.
Nächste Schritte
Nachdem Sie nun erfahren haben, wie Sie private Endpunkte verwenden, um ein Gerät mit Ihrer Anwendung zu verbinden, wird als nächstes der folgende Schritt empfohlen: