Az Azure IoT Hub Device Provisioning Service (DPS) támogatása virtuális hálózatokhoz
Ez a cikk bemutatja a virtuális hálózat (VNET) kapcsolati mintáját az IoT-eszközöknek a DPS-t használó IoT Hubokkal történő kiépítéséhez. Ez a minta privát kapcsolatot biztosít az eszközök, a DPS és az IoT Hub között egy ügyfél tulajdonában lévő Azure VNET-ben.
A legtöbb esetben, ahol a DPS virtuális hálózattal van konfigurálva, az IoT Hub is ugyanabban a virtuális hálózaton van konfigurálva. Az IoT Hubs virtuális hálózat támogatásával és konfigurációval kapcsolatos további információkért lásd: IoT Hub virtuális hálózat támogatása.
Introduction
Alapértelmezés szerint a DPS-gazdagépnevek egy nyilvános végpontra lesznek leképezve egy nyilvánosan elérhető IP-címmel az interneten keresztül. Ez a nyilvános végpont minden ügyfél számára látható. Az IoT-eszközök széles körű hálózatokon és helyszíni hálózatokon keresztül megpróbálhatják elérni a nyilvános végpontot.
Az ügyfelek több okból is korlátozhatják az Azure-erőforrásokhoz, például a DPS-hez való kapcsolódást. Ezek az okok a következők:
A nyilvános interneten keresztüli kapcsolat expozíciójának megakadályozása. Az expozíció csökkenthető, ha több biztonsági réteget vezet be az IoT Hub és a DPS-erőforrások hálózati szintű elkülönítésével
Privát kapcsolati élmény engedélyezése a helyszíni hálózati eszközökről annak biztosítása érdekében, hogy az adatok és a forgalom közvetlenül az Azure gerinchálózatára legyen továbbítva.
A bizalmas helyszíni hálózatok kiszivárgási támadásainak megakadályozása.
Az Azure-ra kiterjedő, privát végpontokat használó kapcsolati minták követése.
A kapcsolatok korlátozásának gyakori megközelítései közé tartoznak a DPS IP-szűrési szabályai és a virtuális hálózat (VNET) privát végpontokkal. Ennek a cikknek a célja a DPS magánvégpontok használatával végzett VNET-megközelítésének ismertetése.
A helyszíni hálózatokban működő eszközök virtuális magánhálózattal (VPN) vagy ExpressRoute privát társviszony-létesítéssel csatlakozhatnak egy Azure-beli virtuális hálózathoz, és privát végpontokon keresztül férhetnek hozzá a DPS-erőforrásokhoz.
A privát végpont egy olyan privát IP-cím, amely egy ügyfél által birtokolt virtuális hálózaton belül van lefoglalva, amellyel egy Azure-erőforrás elérhető. A DPS-erőforrás privát végpontja lehetővé teszi, hogy a virtuális hálózaton belül működő eszközök a nyilvános végpont felé irányuló forgalom engedélyezése nélkül kérhessenek üzembe helyezést a DPS-erőforrástól. Minden DPS-erőforrás több privát végpontot is támogathat, amelyek mindegyike egy másik régióban található virtuális hálózaton található.
Előfeltételek
A folytatás előtt győződjön meg arról, hogy a következő előfeltételek teljesülnek:
A DPS-erőforrás már létrejött, és az IoT Hubokhoz van csatolva. Az új DPS-erőforrás beállításával kapcsolatos útmutatásért lásd: IoT Hub Device Provisioning Service beállítása az Azure Portalon
Kiépített egy Azure-beli virtuális hálózatot egy alhálózattal, amelyben létrejön a privát végpont. További információ: virtuális hálózat létrehozása az Azure CLI használatával.
A helyszíni hálózatokon belül működő eszközök esetében állítsa be a virtuális magánhálózatot (VPN) vagy az ExpressRoute privát társviszony-létesítést az Azure-beli virtuális hálózatba.
A privát végpont korlátozásai
Figyelje meg a DPS jelenlegi korlátozásait magánvégpontok használatakor:
A privát végpontok nem működnek, ha a DPS-erőforrás és a csatolt IoT Hub különböző felhőkben található. Például az Azure Government és a globális Azure.
A DPS privát végpontjai az Azure Private Linket használják, amelyek csak nyilvános régiókban támogatottak. További információ: Azure Private Link rendelkezésre állása.
Az Azure Functions for DPS-hez készült egyéni foglalási szabályzatok jelenleg nem működnek, ha az Azure-függvény le van zárva egy virtuális hálózatra és privát végpontokra.
A DPS VNET jelenlegi támogatása csak a DPS-be irányuló adatbemenő adatokhoz használható. Az adatforgalom, amely a DPS és az IoT Hub közötti forgalom, egy belső szolgáltatásközi mechanizmust használ a dedikált virtuális hálózat helyett. A DPS és az IoT Hub közötti teljes VNET-alapú kimenő forgalom zárolásának támogatása jelenleg nem érhető el.
A legalacsonyabb késési foglalási szabályzattal rendelhet hozzá egy eszközt az IoT Hubhoz a legalacsonyabb késéssel. Ez a foglalási szabályzat nem megbízható virtuális hálózati környezetben.
Egy vagy több privát végpont engedélyezése általában magában foglalja a DPS-példányhoz való nyilvános hozzáférés letiltását. Ha a nyilvános hozzáférés le van tiltva, többé nem használhatja az Azure Portalt a regisztrációk kezelésére. Ehelyett az Azure CLI, a PowerShell vagy a szolgáltatás API-jával kezelheti a regisztrációkat a DPS-példányon konfigurált virtuális hálózat(ok)/privát végpont(ok)on belüli gépekről.
Privát végpontok használata esetén javasoljuk a DPS üzembe helyezését az egyik olyan régióban, amely támogatja a rendelkezésre állási zónákat. Ellenkező esetben a privát végpontokat engedélyező DPS-példányok leállás esetén korlátozott rendelkezésre állást tapasztalhatnak.
Megjegyzés:
Az adatok tárolási szempontja:
A DPS globális eszközvégpontot (global.azure-devices-provisioning.net
) biztosít. Ha azonban a globális végpontot használja, az adatok átirányíthatók azon a régión kívülre, ahol a DPS-példányt eredetileg létrehozták. Az adatok kezdeti DPS-régión belüli helyének biztosításához használjon privát végpontokat.
Privát végpont beállítása
Privát végpont beállításához kövesse az alábbi lépéseket:
Az Azure Portalon nyissa meg a DPS-erőforrást, és válassza a Hálózatkezelés lapot. Válassza a Privát végpont kapcsolatai és a + Privát végpont lehetőséget.
A Privát végpont létrehozása alapszintű beállítások lapon adja meg az alábbi táblázatban említett információkat.
Mező Érték Előfizetés Válassza ki a privát végpontot tartalmazó kívánt Azure-előfizetést. Erőforráscsoport A privát végpontot tartalmazó erőforráscsoport kiválasztása vagy létrehozása Név Adja meg a privát végpont nevét Region A kiválasztott régiónak meg kell egyeznie a virtuális hálózatot tartalmazó régióval, de nem kell megegyeznie a DPS-erőforrásával. Válassza a Tovább elemet : Az erőforrás a privát végpont által megadott erőforrás konfigurálásához.
A Privát végpont erőforrásának létrehozása lapon adja meg az alábbi táblázatban említett információkat.
Mező Érték Előfizetés Válassza ki azt az Azure-előfizetést, amely tartalmazza azt a DPS-erőforrást, amelyre a privát végpont mutat. Erőforrás típusa Válassza a Microsoft.Devices/ProvisioningServices lehetőséget. Erőforrás Válassza ki azt a DPS-erőforrást, amelyre a privát végpont leképeződik. Cél alerőforrás Válassza az iotDps lehetőséget. Tipp.
Az Azure-erőforráshoz erőforrás-azonosító vagy aliasbeállítás alapján Csatlakozás információ a jelen cikk Privát végpont kérése szakaszában található.
Válassza a Tovább elemet : Konfiguráció a virtuális hálózat privát végponthoz való konfigurálásához.
A Privát végpont konfigurációjának létrehozása lapon válassza ki a virtuális hálózatot és az alhálózatot a privát végpont létrehozásához.
Válassza a Tovább: Címkék lehetőséget, és igény szerint adjon meg címkéket az erőforráshoz.
Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget a privát végponterőforrás létrehozásához.
Privát végpontok használata eszközökkel
Ha privát végpontokat szeretne eszközkiépítési kóddal használni, a kiépítési kódnak a DPS-példány adott szolgáltatásvégpontját kell használnia, ahogyan az az Azure Portal DPS-példányának áttekintési oldalán látható. A szolgáltatásvégpont az alábbi űrlapot tartalmazza.
<Your DPS Tenant Name>.azure-devices-provisioning.net
A dokumentációban és az SDK-kban bemutatott legtöbb mintakód egy adott DPS-példány megoldásához használja a globális eszközvégpontot (global.azure-devices-provisioning.net
) és az azonosító hatókörét . Használja a szolgáltatásvégpontot a globális eszközvégpont helyett, amikor magánvégpontok használatával csatlakozik egy DPS-példányhoz az eszközök kiépítéséhez.
Az Azure IoT C SDK kiépítési eszközügyfél-mintája (pro_dev_client_sample) például úgy lett kialakítva, hogy a globális eszközvégpontot használja globális kiépítési URI-ként (global_prov_uri
) a prov_dev_client_sample.c-ben
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_RESULT, PROV_DEVICE_RESULT_VALUE);
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_REG_STATUS, PROV_DEVICE_REG_STATUS_VALUES);
static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";
}
PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(global_prov_uri, id_scope, prov_transport)) == NULL)
{
(void)printf("failed calling Prov_Device_Create\r\n");
Ha magánvégponttal szeretné használni a mintát, a fenti kiemelt kód úgy módosul, hogy a DPS-erőforrás szolgáltatásvégpontját használja. Ha például a szolgáltatásvégpont az, mydps.azure-devices-provisioning.net
a kód a következőképpen nézne ki.
static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* service_uri = "mydps.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";
PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(service_uri, id_scope, prov_transport)) == NULL)
{
(void)printf("failed calling Prov_Device_Create\r\n");
}
Privát végpont kérése
Privát végpontot kérhet egy DPS-példányhoz erőforrás-azonosító alapján. A kérés teljesítéséhez az erőforrás tulajdonosának kell megadnia az erőforrás-azonosítót.
Az erőforrás-azonosító a DPS-erőforrás tulajdonságok lapján található, az alább látható módon.
Figyelmeztetés
Vegye figyelembe, hogy az erőforrás-azonosító tartalmazza az előfizetés azonosítóját.
Miután megkapta az erőforrás-azonosítót, kövesse a Privát végpont beállítása a privát végpont létrehozása erőforráslap 3. lépésében leírt lépéseket. Válassza Csatlakozás egy Azure-erőforráshoz erőforrás-azonosító vagy alias alapján, és adja meg az adatokat az alábbi táblázatban.
Mező Érték Erőforrás-azonosító vagy alias Adja meg a DPS-erőforrás erőforrás-azonosítóját. Cél alerőforrás IotDps megadása Üzenet kérése Adjon meg egy kérésüzenetet a DPS-erőforrás tulajdonosának.
Például:Please approve this new private endpoint
for IoT devices in site 23 to access this DPS instance
Válassza a Tovább elemet : Konfiguráció a virtuális hálózat privát végponthoz való konfigurálásához.
A Privát végpont konfigurációjának létrehozása lapon válassza ki a virtuális hálózatot és az alhálózatot a privát végpont létrehozásához.
Válassza a Tovább: Címkék lehetőséget, és igény szerint adjon meg címkéket az erőforráshoz.
Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget a privát végpontkérelem létrehozásához.
A DPS-tulajdonos a privát végpont kérését a DPS hálózatkezelés lapján található Privát végpont kapcsolatok listájában látja. Ezen a lapon a tulajdonos jóváhagyhatja vagy elutasíthatjaa privát végpont kérését.
Privát végpontok díjszabása
A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.
Következő lépések
Az alábbi hivatkozásokon további információt talál a DPS biztonsági funkcióiról: