Privát végpont létrehozása és konfigurálása az IoT Centralhoz
Az eszközeit az Azure Virtual Network privát végpontja segítségével csatlakoztathatja az IoT Central-alkalmazáshoz.
A privát végpontok egy virtuális hálózati címtér magánhálózati IP-címeit használják az eszközök privát csatlakoztatásához az IoT Central-alkalmazáshoz. A virtuális hálózaton lévő eszközök és az IoT-platform közötti hálózati forgalom áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, így kiküszöböli a nyilvános interneten való kitettséget. Ez a cikk bemutatja, hogyan hozhat létre privát végpontot az IoT Central-alkalmazáshoz.
Előfeltételek
- Aktív Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
- Egy IoT Central-alkalmazás. További információ: IoT Central-alkalmazás létrehozása.
- Egy virtuális hálózat az Azure-előfizetésben. További információ: Virtuális hálózat létrehozása. Az útmutató lépéseinek elvégzéséhez nincs szükség Bastion-gazdagépre vagy virtuális gépekre.
Privát végpont létrehozása
Az IoT Central-alkalmazáshoz többféleképpen hozhat létre privát végpontot:
- A Azure Portal használatával hozzon létre közvetlenül egy privát végponti erőforrást. Akkor használja ezt a lehetőséget, ha nem rendelkezik hozzáféréssel a privát végpontot igénylő IoT Central-alkalmazáshoz.
- Privát végpont létrehozása meglévő IoT Central-alkalmazáson
Privát végpont létrehozása meglévő IoT Central-alkalmazáson:
A Azure Portal keresse meg az alkalmazást, majd válassza a Hálózatkezelés lehetőséget.
Válassza a Privát végponti kapcsolatok lapot, majd a + Privát végpont lehetőséget.
Az Alapvető beállítások lapon adjon meg egy nevet, és válasszon ki egy régiót a privát végponthoz. Ezután válassza a Tovább: Erőforrás lehetőséget.
Az Erőforrás lap automatikusan fel van töltve. Válassza a Tovább: Virtual Network lehetőséget.
A Virtual Network lapon válassza ki azt a virtuális hálózatot és alhálózatot, ahol üzembe szeretné helyezni a privát végpontot.
Ugyanezen a lapon, a Privát IP-konfiguráció szakaszban válassza az IP-cím dinamikus lefoglalása lehetőséget.
Válassza a Tovább: DNS lehetőséget.
A DNS lapon válassza az Igen lehetőséget az Integrálás privát DNS-zónával beállításhoz. A privát DNS feloldja az összes szükséges végpontot a virtuális hálózat magánhálózati IP-címére:
Megjegyzés
Az IoT Central automatikus skálázási képességei miatt a saját DNS integrációs lehetőséget kell használnia, ha egyáltalán lehetséges. Ha valamilyen okból nem tudja használni ezt a beállítást, olvassa el az Egyéni DNS-kiszolgáló használata című témakört.
Válassza a Tovább: Címkék lehetőséget.
A Címkék lapon konfigurálja a szükséges címkéket, majd válassza a Tovább: Áttekintés + Létrehozás lehetőséget.
Tekintse át a konfiguráció részleteit, majd válassza a Létrehozás lehetőséget a privát végponti erőforrás létrehozásához.
Privát végpont létrehozásának ellenőrzése
Ha a privát végpont létrehozása befejeződött, az Azure Portal érheti el.
Az alkalmazáshoz létrehozott összes privát végpont megtekintése:
A Azure Portal keresse meg az IoT Central-alkalmazást, majd válassza a Hálózatkezelés lehetőséget.
Válassza a Privát végponti kapcsolatok lapot. A táblázatban az alkalmazáshoz létrehozott összes privát végpont látható.
Egyéni DNS-kiszolgáló használata
Bizonyos esetekben előfordulhat, hogy nem tud integrálni a virtuális hálózat privát DNS-zónájával. Használhatja például a saját DNS-kiszolgálóját, vagy létrehozhat DNS-rekordokat a virtuális gépek gazdagépfájljaival. Ez a szakasz a DNS-zónák elérését ismerteti.
Telepítse a chocolatey-t.
Telepítse az ARMClientet:
choco install armclient
Jelentkezzen be az ARMClient használatával:
armclient login
Az alábbi paranccsal kérje le az IoT Central-alkalmazás privát DNS-zónáját. Cserélje le a helyőrzőket az IoT Central-alkalmazás részleteire:
armclient GET /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources?api-version=2021-11-01-preview
Ellenőrizze a választ. A szükséges DNS-zónák a
requiredZoneNames
válasz hasznos adattömbjében találhatók:{ "value": [ { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources/iotApp", "name": "ioTApp", "type": "Microsoft.IoTCentral/IoTApps/privateLinkResources", "location": "<the region of your application>", "properties": { "groupId": "iotApp", "requiredMembers":[ "<IoTCentral Name>", "<DPS Name>", "<IoTHub1 Name>", "<IoTHub2 Name>", "<EH1 Name>", "<EH2 Name>"], "requiredZoneNames": [ "privatelink.azureiotcentral.com", "privatelink.azure-devices.net", "privatelink.servicebus.windows.net", "privatelink.azure-devices-provisioning.net"], "provisioningState": "Succeeded"} } ] }
A Azure Portal keresse meg a privát végpontot, és válassza a DNS-konfiguráció lehetőséget. Ezen a lapon megtalálhatja a DNS-névhez való IP-címleképezéshez szükséges információkat.
Figyelmeztetés
Ezekkel az adatokkal feltöltheti az egyéni DNS-kiszolgálót a szükséges rekordokkal. Ha egyáltalán lehetséges, integrálnia kell a virtuális hálózat privát DNS-zónáival, és nem kell saját egyéni DNS-kiszolgálót konfigurálnia. Az IoT Central-alkalmazások privát végpontjai eltérnek a többi Azure PaaS-szolgáltatástól. Bizonyos helyzetekben, például az IoT Central automatikus skálázása, az IoT Central kibővíti a privát végponton keresztül elérhető IoT Hubok számát. Ha úgy dönt, hogy feltölti saját egyéni DNS-kiszolgálóját, az Ön felelőssége frissíteni a DNS-rekordokat, amikor az IoT Central automatikusan skáláz, és később eltávolítja a rekordokat, amikor az IoT Hubok száma felskáláz.
Nyilvános hozzáférés korlátozása
Ha az eszközök nyilvános hozzáférését az IoT Centralra szeretné korlátozni, kapcsolja ki a nyilvános végpontokról való hozzáférést. A nyilvános hozzáférés kikapcsolása után az eszközök nem tudnak nyilvános hálózatokról csatlakozni az IoT Centralhoz, és privát végpontot kell használniuk:
A Azure Portal keresse meg az IoT Central-alkalmazást, majd válassza a Hálózatkezelés lehetőséget.
A Nyilvános hozzáférés lapon válassza a Letiltva lehetőséget a nyilvános hálózati hozzáféréshez.
Igény szerint megadhatja azon IP-címek/tartományok listáját, amelyek csatlakozhatnak az IoT Central-alkalmazás nyilvános végpontjához.
Kattintson a Mentés gombra.
Csatlakozás privát végponthoz
Ha letiltja az IoT Central-alkalmazás nyilvános hálózati hozzáférését, az eszközök nem tudnak csatlakozni a Device Provisioning Service (DPS) globális végpontjához. Ez azért történik, mert a DPS egyetlen teljes tartománynevének közvetlen IP-címe van a virtuális hálózaton. A globális végpont most már nem érhető el.
Amikor privát végpontot konfigurál az IoT Central-alkalmazáshoz, az IoT Central szolgáltatásvégpontja frissül a közvetlen DPS-végpontnak megfelelően.
Frissítse az eszköz kódját a közvetlen DPS-végpont használatára.
Ajánlott eljárások
Ne használjon privát kapcsolati altartomány URL-címeket az eszközök IoT Centralhoz való csatlakoztatásához. A privát végpont létrehozása után mindig használja az IoT Central-alkalmazásban megjelenő DPS URL-címet.
Az Azure által biztosított privát DNS-zónák használata a DNS-felügyelethez. Kerülje a saját DNS-kiszolgáló használatát, mert folyamatosan frissítenie kell a DNS-konfigurációt, hogy lépést tartson az IoT Central erőforrásainak automatikus skálázásával.
Ha több privát végpontot hoz létre ugyanahhoz az IoT Central-erőforráshoz, a DNS-zóna felülírhatja az FQDN-eket, ezért újra hozzá kell adnia őket.
Korlátozások
Jelenleg a privát kapcsolat csak az IoT Central-alkalmazásban lévő mögöttes IoT Hubokhoz és DPS-hez való eszközkapcsolatokhoz engedélyezett. Az IoT Central webes felhasználói felülete és API-k továbbra is a nyilvános végpontjaikon keresztül működnek.
A privát végpontnak ugyanabban a régióban kell lennie, mint a virtuális hálózatnak.
Ha letiltja a nyilvános hálózati hozzáférést:
Az IoT Central szimulált eszközei nem működnek, mert nem csatlakoznak a virtuális hálózathoz.
A globális DPS-végpont (
global.device-provisioning.net
) nem érhető el. Frissítse az eszköz belső vezérlőprogramját a közvetlen DPS-példányhoz való csatlakozáshoz. A közvetlen DPS URL-címet az IoT Central-alkalmazás Eszközkapcsolati csoportok lapján találja.
Privát végpont konfigurálása után nem nevezheti át az IoT Central-alkalmazást.
A privát végpont vagy az IoT Central-alkalmazás nem helyezhető át másik erőforráscsoportba vagy előfizetésbe.
A támogatás az IPv4-re korlátozódik. Az IPv6 nem támogatott.
Hibaelhárítás
Ha nem tud csatlakozni egy privát végponthoz, kövesse az alábbi hibaelhárítási útmutatót:
A kapcsolat állapotának ellenőrzése
Győződjön meg arról, hogy a privát végpont kapcsolati állapota jóváhagyásra van állítva.
- A Azure Portal keresse meg az alkalmazást, majd válassza a Hálózatkezelés lehetőséget.
- Válassza a Privát végpontok kapcsolat lapfület . Ellenőrizze, hogy a kapcsolat állapota jóváhagyva van-e a privát végponthoz.
Ellenőrzések futtatása a virtuális hálózaton belül
Az alábbi ellenőrzések segítségével megvizsgálhatja az ugyanazon a virtuális hálózaton belüli csatlakozási problémákat. Helyezzen üzembe egy virtuális gépet ugyanabban a virtuális hálózaton, ahol létrehozta a privát végpontot. Jelentkezzen be a virtuális gépre a következő tesztek futtatásához.
Annak érdekében, hogy a névfeloldás megfelelően működjön, iterálja át a privát végpont DNS-konfigurációjának összes teljes tartománynevét, és futtassa a teszteket a , Test-NetConnection
vagy más hasonló eszközök használatával nslookup
annak ellenőrzéséhez, hogy az egyes DNS-címek megfelelnek-e a megfelelő IP-címnek.
Emellett futtassa a következő parancsot az egyes teljes tartománynevek DNS-nevének és a megfelelő IP-címnek a ellenőrzéséhez.
#replace the <...> placeholders with the correct values
nslookup iotc-….azure-devices.net
Az eredmény a következő kimenethez hasonlóan néz ki:
#Results in the following output:
Server:127.0.0.53
Address:127.0.0.53#53
Non-authoritative answer: xyz.azure-devices.net
canonical name = xyz.privatelink.azure-devices.net
Name:xyz.privatelink.azure-devices.net
Address: 10.1.1.12
Ha olyan teljes tartománynevet talál, amely nem egyezik meg a megfelelő IP-címmel, javítsa ki az egyéni DNS-kiszolgálót. Ha nem egyéni DNS-kiszolgálót használ, hozzon létre egy támogatási jegyet.
Ellenőrizze, hogy több privát végpontja van-e
A DNS-konfiguráció felülírható, ha egyetlen IoT Central-alkalmazáshoz több privát végpontot hoz létre vagy töröl:
- A Azure Portal keresse meg a privát végpont erőforrását.
- A DNS szakaszban ellenőrizze, hogy vannak-e bejegyzések az összes szükséges erőforráshoz: IoT Hubs, Event Hubs, DPS és IoT Central teljes tartománynevek.
- Ellenőrizze, hogy a DNS-zónát használó egyéb privát végpontok IP-címei (és IP-címei) megjelennek-e a DNS A rekordjában.
- Távolítsa el az IP-címek A rekordjait a régebbi privát végpontokról, amelyeket már töröltek.
Egyéb hibaelhárítási tippek
Ha a fenti ellenőrzések kipróbálása után továbbra is problémát tapasztal, próbálja ki a privát végpont hibaelhárítási útmutatóját.
Ha minden ellenőrzés sikeres, és az eszközök továbbra sem tudnak kapcsolatot létesíteni az IoT Centrallal, forduljon a tűzfalakért és a hálózatkezelésért általában felelős vállalati biztonsági csapathoz. A hiba lehetséges okai a következők:
- Az Azure-beli virtuális hálózat helytelen konfigurációja
- Tűzfalberendezés helytelen konfigurációja
- Felhasználó által definiált útvonalak helytelen konfigurálása az Azure-beli virtuális hálózaton
- Helytelenül konfigurált proxy az eszköz és az IoT Central-erőforrások között
Következő lépések
Most, hogy megismerte, hogyan hozhat létre privát végpontot az alkalmazáshoz, a következő javasolt lépés: