Az Azure IoT Hub Device Provisioning Service (DPS) támogatása virtuális hálózatokhoz

Ez a cikk bemutatja a virtuális hálózat (VNET) kapcsolati mintáját az IoT-eszközöknek a DPS-t használó IoT Hubokkal történő kiépítéséhez. Ez a minta privát kapcsolatot biztosít az eszközök, a DPS és az IoT Hub között egy ügyfél tulajdonában lévő Azure VNET-ben.

A legtöbb esetben, ahol a DPS virtuális hálózattal van konfigurálva, az IoT Hub is ugyanabban a virtuális hálózaton van konfigurálva. Az IoT Hubs virtuális hálózat támogatásával és konfigurációval kapcsolatos további információkért lásd: IoT Hub virtuális hálózat támogatása.

Introduction

Alapértelmezés szerint a DPS-gazdagépnevek egy nyilvános végpontra lesznek leképezve egy nyilvánosan elérhető IP-címmel az interneten keresztül. Ez a nyilvános végpont minden ügyfél számára látható. Az IoT-eszközök széles körű hálózatokon és helyszíni hálózatokon keresztül megpróbálhatják elérni a nyilvános végpontot.

Az ügyfelek több okból is korlátozhatják az Azure-erőforrásokhoz, például a DPS-hez való kapcsolódást. Ezek az okok a következők:

• A nyilvános interneten keresztüli kapcsolat expozíciójának megakadályozása. Az expozíció csökkenthető, ha több biztonsági réteget vezet be az IoT Hub és a DPS-erőforrások hálózati szintű elkülönítésével

• Privát kapcsolati élmény engedélyezése a helyszíni hálózati eszközökről annak biztosítása érdekében, hogy az adatok és a forgalom közvetlenül az Azure gerinchálózatára legyen továbbítva.

• A bizalmas helyszíni hálózatok kiszivárgási támadásainak megakadályozása.

• Az Azure-ra kiterjedő, privát végpontokat használó kapcsolati minták követése.

A kapcsolatok korlátozásának gyakori megközelítései közé tartoznak a DPS IP-szűrési szabályai és a virtuális hálózat (VNET) privát végpontokkal. Ennek a cikknek a célja a DPS magánvégpontok használatával végzett VNET-megközelítésének ismertetése.

A helyszíni hálózatokban működő eszközök virtuális magánhálózattal (VPN) vagy ExpressRoute privát társviszony-létesítéssel csatlakozhatnak egy Azure-beli virtuális hálózathoz, és privát végpontokon keresztül férhetnek hozzá a DPS-erőforrásokhoz.

A privát végpont egy olyan privát IP-cím, amely egy ügyfél által birtokolt virtuális hálózaton belül van lefoglalva, amellyel egy Azure-erőforrás elérhető. A DPS-erőforrás privát végpontja lehetővé teszi, hogy a virtuális hálózaton belül működő eszközök a nyilvános végpont felé irányuló forgalom engedélyezése nélkül kérhessenek üzembe helyezést a DPS-erőforrástól. Minden DPS-erőforrás több privát végpontot is támogathat, amelyek mindegyike egy másik régióban található virtuális hálózaton található.

Előfeltételek

A folytatás előtt győződjön meg arról, hogy a következő előfeltételek teljesülnek:

• A DPS-erőforrás már létrejött, és az IoT Hubokhoz van csatolva. Az új DPS-erőforrás beállításával kapcsolatos útmutatásért lásd: IoT Hub Device Provisioning Service beállítása az Azure Portalon

• Kiépített egy Azure-beli virtuális hálózatot egy alhálózattal, amelyben létrejön a privát végpont. További információ: virtuális hálózat létrehozása az Azure CLI használatával.

• A helyszíni hálózatokon belül működő eszközök esetében állítsa be a virtuális magánhálózatot (VPN) vagy az ExpressRoute privát társviszony-létesítést az Azure-beli virtuális hálózatba.

A privát végpont korlátozásai

Figyelje meg a DPS jelenlegi korlátozásait magánvégpontok használatakor:

• A privát végpontok nem működnek, ha a DPS-erőforrás és a csatolt IoT Hub különböző felhőkben található. Például az Azure Government és a globális Azure.

• A DPS privát végpontjai az Azure Private Linket használják, amelyek csak nyilvános régiókban támogatottak. További információ: Azure Private Link rendelkezésre állása.

• Az Azure Functions for DPS-hez készült egyéni foglalási szabályzatok jelenleg nem működnek, ha az Azure-függvény le van zárva egy virtuális hálózatra és privát végpontokra.

• A DPS VNET jelenlegi támogatása csak a DPS-be irányuló adatbemenő adatokhoz használható. Az adatforgalom, amely a DPS és az IoT Hub közötti forgalom, egy belső szolgáltatásközi mechanizmust használ a dedikált virtuális hálózat helyett. A DPS és az IoT Hub közötti teljes VNET-alapú kimenő forgalom zárolásának támogatása jelenleg nem érhető el.

• A legalacsonyabb késési foglalási szabályzattal rendelhet hozzá egy eszközt az IoT Hubhoz a legalacsonyabb késéssel. Ez a foglalási szabályzat nem megbízható virtuális hálózati környezetben.

• Egy vagy több privát végpont engedélyezése általában magában foglalja a DPS-példányhoz való nyilvános hozzáférés letiltását. Ha a nyilvános hozzáférés le van tiltva, többé nem használhatja az Azure Portalt a regisztrációk kezelésére. Ehelyett az Azure CLI, a PowerShell vagy a szolgáltatás API-jával kezelheti a regisztrációkat a DPS-példányon konfigurált virtuális hálózat(ok)/privát végpont(ok)on belüli gépekről.

• Privát végpontok használata esetén javasoljuk a DPS üzembe helyezését az egyik olyan régióban, amely támogatja a rendelkezésre állási zónákat. Ellenkező esetben a privát végpontokat engedélyező DPS-példányok leállás esetén korlátozott rendelkezésre állást tapasztalhatnak.

Megjegyzés:

Az adatok tárolási szempontja:

A DPS globális eszközvégpontot (global.azure-devices-provisioning.net) biztosít. Ha azonban a globális végpontot használja, az adatok átirányíthatók azon a régión kívülre, ahol a DPS-példányt eredetileg létrehozták. Az adatok kezdeti DPS-régión belüli helyének biztosításához használjon privát végpontokat.

Privát végpont beállítása

Privát végpont beállításához kövesse az alábbi lépéseket:

1. Az Azure Portalon nyissa meg a DPS-erőforrást, és válassza a Hálózatkezelés lapot. Válassza a Privát végpont kapcsolatai és a + Privát végpont lehetőséget.

   

2. A Privát végpont létrehozása alapszintű beállítások lapon adja meg az alábbi táblázatban említett információkat.

   

   Mező	Érték
   Előfizetés	Válassza ki a privát végpontot tartalmazó kívánt Azure-előfizetést.
   Erőforráscsoport	A privát végpontot tartalmazó erőforráscsoport kiválasztása vagy létrehozása
   Név	Adja meg a privát végpont nevét
   Region	A kiválasztott régiónak meg kell egyeznie a virtuális hálózatot tartalmazó régióval, de nem kell megegyeznie a DPS-erőforrásával.

   Válassza a Tovább elemet : Az erőforrás a privát végpont által megadott erőforrás konfigurálásához.

3. A Privát végpont erőforrásának létrehozása lapon adja meg az alábbi táblázatban említett információkat.

   

   Mező	Érték
   Előfizetés	Válassza ki azt az Azure-előfizetést, amely tartalmazza azt a DPS-erőforrást, amelyre a privát végpont mutat.
   Erőforrás típusa	Válassza a Microsoft.Devices/ProvisioningServices lehetőséget.
   Erőforrás	Válassza ki azt a DPS-erőforrást, amelyre a privát végpont leképeződik.
   Cél alerőforrás	Válassza az iotDps lehetőséget.

   Tipp.

   Az Azure-erőforráshoz erőforrás-azonosító vagy aliasbeállítás alapján Csatlakozás információ a jelen cikk Privát végpont kérése szakaszában található.

   Válassza a Tovább elemet : Konfiguráció a virtuális hálózat privát végponthoz való konfigurálásához.

4. A Privát végpont konfigurációjának létrehozása lapon válassza ki a virtuális hálózatot és az alhálózatot a privát végpont létrehozásához.

   Válassza a Tovább: Címkék lehetőséget, és igény szerint adjon meg címkéket az erőforráshoz.

   

5. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget a privát végponterőforrás létrehozásához.

Privát végpontok használata eszközökkel

Ha privát végpontokat szeretne eszközkiépítési kóddal használni, a kiépítési kódnak a DPS-példány adott szolgáltatásvégpontját kell használnia, ahogyan az az Azure Portal DPS-példányának áttekintési oldalán látható. A szolgáltatásvégpont az alábbi űrlapot tartalmazza.

<Your DPS Tenant Name>.azure-devices-provisioning.net

A dokumentációban és az SDK-kban bemutatott legtöbb mintakód egy adott DPS-példány megoldásához használja a globális eszközvégpontot (global.azure-devices-provisioning.net) és az azonosító hatókörét . Használja a szolgáltatásvégpontot a globális eszközvégpont helyett, amikor magánvégpontok használatával csatlakozik egy DPS-példányhoz az eszközök kiépítéséhez.

Az Azure IoT C SDK kiépítési eszközügyfél-mintája (pro_dev_client_sample) például úgy lett kialakítva, hogy a globális eszközvégpontot használja globális kiépítési URI-ként (global_prov_uri) a prov_dev_client_sample.c-ben

MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_RESULT, PROV_DEVICE_RESULT_VALUE);
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_REG_STATUS, PROV_DEVICE_REG_STATUS_VALUES);

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

}

PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(global_prov_uri, id_scope, prov_transport)) == NULL)
{
    (void)printf("failed calling Prov_Device_Create\r\n");

Ha magánvégponttal szeretné használni a mintát, a fenti kiemelt kód úgy módosul, hogy a DPS-erőforrás szolgáltatásvégpontját használja. Ha például a szolgáltatásvégpont az, mydps.azure-devices-provisioning.neta kód a következőképpen nézne ki.

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* service_uri = "mydps.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

    PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
    PROV_DEVICE_HANDLE prov_device_handle;
    if ((prov_device_handle = Prov_Device_Create(service_uri, id_scope, prov_transport)) == NULL)
    {
        (void)printf("failed calling Prov_Device_Create\r\n");
    }

Privát végpont kérése

Privát végpontot kérhet egy DPS-példányhoz erőforrás-azonosító alapján. A kérés teljesítéséhez az erőforrás tulajdonosának kell megadnia az erőforrás-azonosítót.

1. Az erőforrás-azonosító a DPS-erőforrás tulajdonságok lapján található, az alább látható módon.

   

   Figyelmeztetés

   Vegye figyelembe, hogy az erőforrás-azonosító tartalmazza az előfizetés azonosítóját.

2. Miután megkapta az erőforrás-azonosítót, kövesse a Privát végpont beállítása a privát végpont létrehozása erőforráslap 3. lépésében leírt lépéseket. Válassza Csatlakozás egy Azure-erőforráshoz erőforrás-azonosító vagy alias alapján, és adja meg az adatokat az alábbi táblázatban.

   Mező	Érték
   Erőforrás-azonosító vagy alias	Adja meg a DPS-erőforrás erőforrás-azonosítóját.
   Cél alerőforrás	IotDps megadása
   Üzenet kérése	Adjon meg egy kérésüzenetet a DPS-erőforrás tulajdonosának. Például: Please approve this new private endpoint for IoT devices in site 23 to access this DPS instance

   Válassza a Tovább elemet : Konfiguráció a virtuális hálózat privát végponthoz való konfigurálásához.

3. A Privát végpont konfigurációjának létrehozása lapon válassza ki a virtuális hálózatot és az alhálózatot a privát végpont létrehozásához.

   Válassza a Tovább: Címkék lehetőséget, és igény szerint adjon meg címkéket az erőforráshoz.

4. Válassza a Véleményezés + létrehozás , majd a Létrehozás lehetőséget a privát végpontkérelem létrehozásához.

5. A DPS-tulajdonos a privát végpont kérését a DPS hálózatkezelés lapján található Privát végpont kapcsolatok listájában látja. Ezen a lapon a tulajdonos jóváhagyhatja vagy elutasíthatjaa privát végpont kérését.

   

Privát végpontok díjszabása

A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.

Következő lépések

Az alábbi hivatkozásokon további információt talál a DPS biztonsági funkcióiról:

• Biztonság
• TLS 1.2-támogatás