Hálózati biztonság az IoT Centralhoz privát végpontok használatával
Az eszközkapcsolat szabványos IoT Central-végpontjai nyilvános URL-címekkel érhetők el. Az érvényes identitással rendelkező eszközök bármilyen helyről csatlakozhatnak az IoT Central-alkalmazáshoz.
Privát végpontok használatával korlátozhatja és biztonságossá teheti az eszköz IoT Central-alkalmazáshoz való csatlakozását, és csak a privát virtuális hálózaton keresztül engedélyezi a hozzáférést.
A privát végpontok virtuális hálózati címtérből származó privát IP-címeket használnak az eszközök privát csatlakoztatásához az IoT Central-alkalmazáshoz. A virtuális hálózaton lévő eszközök és az IoT-platform közötti hálózati forgalom bejárja a virtuális hálózatot és egy privát kapcsolatot a Microsoft gerinchálózatán, így kiküszöböli a nyilvános interneten való kitettséget.
Az Azure-beli virtuális hálózatokkal kapcsolatos további információkért lásd:
Az IoT Central-alkalmazásban található privát végpontok lehetővé teszik a következőket:
- A fürt biztonságossá tételéhez konfigurálja a tűzfalat a nyilvános végponton található összes eszközkapcsolat blokkolásához.
- A virtuális hálózat biztonságának növeléséhez engedélyezze a virtuális hálózaton lévő adatok védelmét.
- Biztonságosan csatlakoztathat eszközöket az IoT Centralhoz olyan helyszíni hálózatokról, amelyek VPN-átjáró vagy ExpressRoute privát társviszony-létesítés használatával csatlakoznak a virtuális hálózathoz.
A privát végpontok használata az IoT Centralban megfelelő a helyszíni hálózathoz csatlakoztatott eszközökhöz. Nem szabad privát végpontokat használni a nagy kiterjedésű hálózaton, például az interneten üzembe helyezett eszközökhöz.
Mi az a privát végpont?
A privát végpont egy speciális hálózati adapter a virtuális hálózaton található Azure-szolgáltatásokhoz, amelyek a virtuális hálózat IP-címtartományából vannak hozzárendelve. A privát végpont biztonságos kapcsolatot biztosít a virtuális hálózaton lévő eszközök és az IoT-platform között, amelyhez csatlakoznak. A privát végpont és az Azure IoT-platform közötti kapcsolat biztonságos privát kapcsolatot használ:
A virtuális hálózathoz csatlakoztatott eszközök zökkenőmentesen csatlakozhatnak a fürthöz a privát végponton keresztül. Az engedélyezési mechanizmusok ugyanazok, amelyeket a nyilvános végpontokhoz való csatlakozáshoz használ. Frissítenie kell azonban a DPS-kapcsolat URL-címét, mert a globális kiépítési gazdagép global.azure-devices-provisioning.net URL-címe nem oldódik fel, ha az alkalmazás nyilvános hálózati hozzáférése le van tiltva.
Amikor privát végpontot hoz létre egy fürthöz a virtuális hálózatban, a rendszer jóváhagyásra vonatkozó kérést küld az előfizetés tulajdonosa számára. Ha a privát végpont létrehozását kérő felhasználó egyben az előfizetés tulajdonosa is, a rendszer automatikusan jóváhagyja a kérést. Az előfizetés-tulajdonosok a Azure Portal privát végpontjai alatt kezelhetik a fürt hozzájárulási kéréseit és privát végpontjait.
Minden IoT Central-alkalmazás több privát végpontot is támogat, amelyek mindegyike egy másik régióban található virtuális hálózaton található. Ha több privát végpontot szeretne használni, különös figyelmet kell fordítania a DNS konfigurálására és a virtuális hálózati alhálózatok méretének megtervezésére.
Az alhálózat méretének megtervezése a virtuális hálózaton
A virtuális hálózat alhálózatának mérete nem módosítható az alhálózat létrehozása után. Ezért fontos megtervezni az alhálózat méretét, és lehetővé tenni a jövőbeli növekedést.
Az IoT Central több ügyfél számára látható teljes tartománynevet hoz létre egy privát végpont üzembe helyezésének részeként. Az IoT Central teljes tartománynevén kívül a mögöttes IoT Hub, az Event Hubs és az Eszközkiépítési szolgáltatás erőforrásainak teljes tartománynevei is elérhetők.
Az IoT Central privát végpontja több IP-címet használ a virtuális hálózatból és az alhálózatból. Emellett az alkalmazás terhelésprofilja alapján az IoT Central automatikusan skálázhatja a mögöttes IoT Hubokat , így a privát végpontok által használt IP-címek száma nőhet. Tervezze meg ezt a lehetséges növekedést az alhálózat méretének meghatározásakor.
Az alábbi információk segítségével meghatározhatja az alhálózathoz szükséges IP-címek teljes számát:
| Használat | IP-címek száma privát végpontonként |
|---|---|
| IoT Central URL-címe | 1 |
| Mögöttes IoT Hubok | 2-50 |
| Az IoT Hubsnak megfelelő eseményközpontok | 2-50 |
| Device Provisioning Service | 1 |
| Fenntartott Azure-címek | 5 |
| Összesen | 11-107 |
További információért tekintse meg az Azure Azure Virtual Network gyakori kérdéseket.
Megjegyzés
Az alhálózat /28 minimális mérete (14 használható IP-cím). Az IoT Central privát végponttal /24 való használathoz ajánlott, ami segít a szélsőséges számítási feladatokban.
Következő lépések
Most, hogy megismerkedett a privát végpontok használatával az eszköz alkalmazáshoz való csatlakoztatásához, a következő javasolt lépés: