Privát végpont létrehozása és konfigurálása az IoT Centralhoz

Az eszközeit az Azure Virtual Network privát végpontja segítségével csatlakoztathatja az IoT Central-alkalmazáshoz.

A privát végpontok egy virtuális hálózati címtér magánhálózati IP-címeit használják az eszközök privát csatlakoztatásához az IoT Central-alkalmazáshoz. A virtuális hálózaton lévő eszközök és az IoT-platform közötti hálózati forgalom áthalad a virtuális hálózaton és egy privát kapcsolaton a Microsoft gerinchálózatán, így kiküszöböli a nyilvános interneten való kitettséget. Ez a cikk bemutatja, hogyan hozhat létre privát végpontot az IoT Central-alkalmazáshoz.

Előfeltételek

• Aktív Azure-előfizetés. Ha még nincs Azure-előfizetése, kezdés előtt hozzon létre egy ingyenes fiókot.
• Egy IoT Central-alkalmazás. További információ: IoT Central-alkalmazás létrehozása.
• Egy virtuális hálózat az Azure-előfizetésben. További információ: Virtuális hálózat létrehozása. Az útmutató lépéseinek elvégzéséhez nincs szükség Bastion-gazdagépre vagy virtuális gépekre.

Privát végpont létrehozása

Az IoT Central-alkalmazáshoz többféleképpen hozhat létre privát végpontot:

• A Azure Portal használatával hozzon létre közvetlenül egy privát végponti erőforrást. Akkor használja ezt a lehetőséget, ha nem rendelkezik hozzáféréssel a privát végpontot igénylő IoT Central-alkalmazáshoz.
• Privát végpont létrehozása meglévő IoT Central-alkalmazáson

Privát végpont létrehozása meglévő IoT Central-alkalmazáson:

1. A Azure Portal keresse meg az alkalmazást, majd válassza a Hálózatkezelés lehetőséget.

2. Válassza a Privát végponti kapcsolatok lapot, majd a + Privát végpont lehetőséget.

3. Az Alapvető beállítások lapon adjon meg egy nevet, és válasszon ki egy régiót a privát végponthoz. Ezután válassza a Tovább: Erőforrás lehetőséget.

4. Az Erőforrás lap automatikusan fel van töltve. Válassza a Tovább: Virtual Network lehetőséget.

5. A Virtual Network lapon válassza ki azt a virtuális hálózatot és alhálózatot, ahol üzembe szeretné helyezni a privát végpontot.

6. Ugyanezen a lapon, a Privát IP-konfiguráció szakaszban válassza az IP-cím dinamikus lefoglalása lehetőséget.

7. Válassza a Tovább: DNS lehetőséget.

8. A DNS lapon válassza az Igen lehetőséget az Integrálás privát DNS-zónával beállításhoz. A privát DNS feloldja az összes szükséges végpontot a virtuális hálózat magánhálózati IP-címére:

   

   Megjegyzés

   Az IoT Central automatikus skálázási képességei miatt a saját DNS integrációs lehetőséget kell használnia, ha egyáltalán lehetséges. Ha valamilyen okból nem tudja használni ezt a beállítást, olvassa el az Egyéni DNS-kiszolgáló használata című témakört.

9. Válassza a Tovább: Címkék lehetőséget.

10. A Címkék lapon konfigurálja a szükséges címkéket, majd válassza a Tovább: Áttekintés + Létrehozás lehetőséget.

11. Tekintse át a konfiguráció részleteit, majd válassza a Létrehozás lehetőséget a privát végponti erőforrás létrehozásához.

Privát végpont létrehozásának ellenőrzése

Ha a privát végpont létrehozása befejeződött, az Azure Portal érheti el.

Az alkalmazáshoz létrehozott összes privát végpont megtekintése:

1. A Azure Portal keresse meg az IoT Central-alkalmazást, majd válassza a Hálózatkezelés lehetőséget.

2. Válassza a Privát végponti kapcsolatok lapot. A táblázatban az alkalmazáshoz létrehozott összes privát végpont látható.

Egyéni DNS-kiszolgáló használata

Bizonyos esetekben előfordulhat, hogy nem tud integrálni a virtuális hálózat privát DNS-zónájával. Használhatja például a saját DNS-kiszolgálóját, vagy létrehozhat DNS-rekordokat a virtuális gépek gazdagépfájljaival. Ez a szakasz a DNS-zónák elérését ismerteti.

1. Telepítse a chocolatey-t.

2. Telepítse az ARMClientet:

   choco install armclient
   

3. Jelentkezzen be az ARMClient használatával:

   armclient login 
   

4. Az alábbi paranccsal kérje le az IoT Central-alkalmazás privát DNS-zónáját. Cserélje le a helyőrzőket az IoT Central-alkalmazás részleteire:

   armclient GET /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources?api-version=2021-11-01-preview
   

5. Ellenőrizze a választ. A szükséges DNS-zónák a requiredZoneNames válasz hasznos adattömbjében találhatók:

   {  
     "value": [  
       {  
         "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources/iotApp",  
         "name": "ioTApp",  
         "type": "Microsoft.IoTCentral/IoTApps/privateLinkResources",  
         "location": "<the region of your application>",  
         "properties": {  
         "groupId": "iotApp",  
         "requiredMembers":[  
           "<IoTCentral Name>",  
           "<DPS Name>",  
           "<IoTHub1 Name>",  
           "<IoTHub2 Name>",  
           "<EH1 Name>",  
           "<EH2 Name>"],  
         "requiredZoneNames": [  
           "privatelink.azureiotcentral.com",  
           "privatelink.azure-devices.net",  
           "privatelink.servicebus.windows.net",  
           "privatelink.azure-devices-provisioning.net"],  
         "provisioningState": "Succeeded"}  
       }  
     ]  
   }
   

6. A Azure Portal keresse meg a privát végpontot, és válassza a DNS-konfiguráció lehetőséget. Ezen a lapon megtalálhatja a DNS-névhez való IP-címleképezéshez szükséges információkat.

Figyelmeztetés

Ezekkel az adatokkal feltöltheti az egyéni DNS-kiszolgálót a szükséges rekordokkal. Ha egyáltalán lehetséges, integrálnia kell a virtuális hálózat privát DNS-zónáival, és nem kell saját egyéni DNS-kiszolgálót konfigurálnia. Az IoT Central-alkalmazások privát végpontjai eltérnek a többi Azure PaaS-szolgáltatástól. Bizonyos helyzetekben, például az IoT Central automatikus skálázása, az IoT Central kibővíti a privát végponton keresztül elérhető IoT Hubok számát. Ha úgy dönt, hogy feltölti saját egyéni DNS-kiszolgálóját, az Ön felelőssége frissíteni a DNS-rekordokat, amikor az IoT Central automatikusan skáláz, és később eltávolítja a rekordokat, amikor az IoT Hubok száma felskáláz.

Nyilvános hozzáférés korlátozása

Ha az eszközök nyilvános hozzáférését az IoT Centralra szeretné korlátozni, kapcsolja ki a nyilvános végpontokról való hozzáférést. A nyilvános hozzáférés kikapcsolása után az eszközök nem tudnak nyilvános hálózatokról csatlakozni az IoT Centralhoz, és privát végpontot kell használniuk:

1. A Azure Portal keresse meg az IoT Central-alkalmazást, majd válassza a Hálózatkezelés lehetőséget.

2. A Nyilvános hozzáférés lapon válassza a Letiltva lehetőséget a nyilvános hálózati hozzáféréshez.

3. Igény szerint megadhatja azon IP-címek/tartományok listáját, amelyek csatlakozhatnak az IoT Central-alkalmazás nyilvános végpontjához.

4. Kattintson a Mentés gombra.

Csatlakozás privát végponthoz

Ha letiltja az IoT Central-alkalmazás nyilvános hálózati hozzáférését, az eszközök nem tudnak csatlakozni a Device Provisioning Service (DPS) globális végpontjához. Ez azért történik, mert a DPS egyetlen teljes tartománynevének közvetlen IP-címe van a virtuális hálózaton. A globális végpont most már nem érhető el.

Amikor privát végpontot konfigurál az IoT Central-alkalmazáshoz, az IoT Central szolgáltatásvégpontja frissül a közvetlen DPS-végpontnak megfelelően.

Frissítse az eszköz kódját a közvetlen DPS-végpont használatára.

Ajánlott eljárások

• Ne használjon privát kapcsolati altartomány URL-címeket az eszközök IoT Centralhoz való csatlakoztatásához. A privát végpont létrehozása után mindig használja az IoT Central-alkalmazásban megjelenő DPS URL-címet.

• Az Azure által biztosított privát DNS-zónák használata a DNS-felügyelethez. Kerülje a saját DNS-kiszolgáló használatát, mert folyamatosan frissítenie kell a DNS-konfigurációt, hogy lépést tartson az IoT Central erőforrásainak automatikus skálázásával.

• Ha több privát végpontot hoz létre ugyanahhoz az IoT Central-erőforráshoz, a DNS-zóna felülírhatja az FQDN-eket, ezért újra hozzá kell adnia őket.

Korlátozások

• Jelenleg a privát kapcsolat csak az IoT Central-alkalmazásban lévő mögöttes IoT Hubokhoz és DPS-hez való eszközkapcsolatokhoz engedélyezett. Az IoT Central webes felhasználói felülete és API-k továbbra is a nyilvános végpontjaikon keresztül működnek.

• A privát végpontnak ugyanabban a régióban kell lennie, mint a virtuális hálózatnak.

• Ha letiltja a nyilvános hálózati hozzáférést:

  • Az IoT Central szimulált eszközei nem működnek, mert nem csatlakoznak a virtuális hálózathoz.

  • A globális DPS-végpont (global.device-provisioning.net) nem érhető el. Frissítse az eszköz belső vezérlőprogramját a közvetlen DPS-példányhoz való csatlakozáshoz. A közvetlen DPS URL-címet az IoT Central-alkalmazás Eszközkapcsolati csoportok lapján találja.

• Privát végpont konfigurálása után nem nevezheti át az IoT Central-alkalmazást.

• A privát végpont vagy az IoT Central-alkalmazás nem helyezhető át másik erőforráscsoportba vagy előfizetésbe.

• A támogatás az IPv4-re korlátozódik. Az IPv6 nem támogatott.

Hibaelhárítás

Ha nem tud csatlakozni egy privát végponthoz, kövesse az alábbi hibaelhárítási útmutatót:

A kapcsolat állapotának ellenőrzése

Győződjön meg arról, hogy a privát végpont kapcsolati állapota jóváhagyásra van állítva.

1. A Azure Portal keresse meg az alkalmazást, majd válassza a Hálózatkezelés lehetőséget.
2. Válassza a Privát végpontok kapcsolat lapfület . Ellenőrizze, hogy a kapcsolat állapota jóváhagyva van-e a privát végponthoz.

Ellenőrzések futtatása a virtuális hálózaton belül

Az alábbi ellenőrzések segítségével megvizsgálhatja az ugyanazon a virtuális hálózaton belüli csatlakozási problémákat. Helyezzen üzembe egy virtuális gépet ugyanabban a virtuális hálózaton, ahol létrehozta a privát végpontot. Jelentkezzen be a virtuális gépre a következő tesztek futtatásához.

Annak érdekében, hogy a névfeloldás megfelelően működjön, iterálja át a privát végpont DNS-konfigurációjának összes teljes tartománynevét, és futtassa a teszteket a , Test-NetConnectionvagy más hasonló eszközök használatával nslookupannak ellenőrzéséhez, hogy az egyes DNS-címek megfelelnek-e a megfelelő IP-címnek.

Emellett futtassa a következő parancsot az egyes teljes tartománynevek DNS-nevének és a megfelelő IP-címnek a ellenőrzéséhez.

#replace the <...> placeholders with the correct values 
nslookup iotc-….azure-devices.net 

Az eredmény a következő kimenethez hasonlóan néz ki:

#Results in the following output: 
Server:127.0.0.53 
Address:127.0.0.53#53 

Non-authoritative answer: xyz.azure-devices.net
canonical name = xyz.privatelink.azure-devices.net
Name:xyz.privatelink.azure-devices.net
Address: 10.1.1.12

Ha olyan teljes tartománynevet talál, amely nem egyezik meg a megfelelő IP-címmel, javítsa ki az egyéni DNS-kiszolgálót. Ha nem egyéni DNS-kiszolgálót használ, hozzon létre egy támogatási jegyet.

Ellenőrizze, hogy több privát végpontja van-e

A DNS-konfiguráció felülírható, ha egyetlen IoT Central-alkalmazáshoz több privát végpontot hoz létre vagy töröl:

• A Azure Portal keresse meg a privát végpont erőforrását.
• A DNS szakaszban ellenőrizze, hogy vannak-e bejegyzések az összes szükséges erőforráshoz: IoT Hubs, Event Hubs, DPS és IoT Central teljes tartománynevek.
• Ellenőrizze, hogy a DNS-zónát használó egyéb privát végpontok IP-címei (és IP-címei) megjelennek-e a DNS A rekordjában.
• Távolítsa el az IP-címek A rekordjait a régebbi privát végpontokról, amelyeket már töröltek.

Egyéb hibaelhárítási tippek

Ha a fenti ellenőrzések kipróbálása után továbbra is problémát tapasztal, próbálja ki a privát végpont hibaelhárítási útmutatóját.

Ha minden ellenőrzés sikeres, és az eszközök továbbra sem tudnak kapcsolatot létesíteni az IoT Centrallal, forduljon a tűzfalakért és a hálózatkezelésért általában felelős vállalati biztonsági csapathoz. A hiba lehetséges okai a következők:

• Az Azure-beli virtuális hálózat helytelen konfigurációja
• Tűzfalberendezés helytelen konfigurációja
• Felhasználó által definiált útvonalak helytelen konfigurálása az Azure-beli virtuális hálózaton
• Helytelenül konfigurált proxy az eszköz és az IoT Central-erőforrások között

Következő lépések

Most, hogy megismerte, hogyan hozhat létre privát végpontot az alkalmazáshoz, a következő javasolt lépés:

Alkalmazás felügyelése