IoT Hub virtuális hálózatok támogatása Azure Private Link

  • Cikk

Alapértelmezés szerint IoT Hub gazdagépneve egy nyilvános végpontra van leképezve, nyilvánosan kiosztható IP-címmel az interneten keresztül. A különböző ügyfelek ugyanezt a nyilvános IoT Hub-végpontot használják, a nagy kiterjedésű hálózatokon és a helyszíni hálózatokon található IoT-eszközök pedig egyaránt hozzáférhetnek.

A nyilvános végpont IoT Hub diagramja.

Egyes IoT Hub funkciókhoz, például az üzenet-útválasztáshoz, a fájlfeltöltéshez és a tömeges eszközimportáláshoz/-exportáláshoz is szükség van az IoT Hub és az ügyfél tulajdonában lévő Azure-erőforrás közötti kapcsolatra a nyilvános végponton keresztül. Ezek a kapcsolati útvonalak alkotják az IoT Hub és az ügyfélerőforrások közötti kimenő forgalmat.

Több okból is korlátozhatja az Azure-erőforrásokhoz (beleértve a IoT Hub) való kapcsolódást egy ön tulajdonában lévő és üzemeltetett virtuális hálózaton keresztül, többek között az alábbiak miatt:

  • Az IoT Hub hálózatelkülönítésének bevezetése a nyilvános internethez való kapcsolódás megakadályozásával.

  • Privát kapcsolati élmény engedélyezése a helyszíni hálózati eszközökről, amely biztosítja, hogy az adatok és a forgalom közvetlenül az Azure gerinchálózatára legyen továbbítva.

  • A bizalmas helyszíni hálózatokból származó exfiltrációs támadások megakadályozása.

  • Az Azure-ra kiterjedő, privát végpontokat használó kapcsolati mintákat követve.

Ez a cikk bemutatja, hogyan érheti el ezeket a célokat a Azure Private Link használatával a IoT Hub bejövő kapcsolathoz, valamint a megbízható Microsoft-szolgáltatások kivételének a IoT Hub és más Azure-erőforrások közötti kimenő forgalomhoz való csatlakozásához.

A privát végpont egy olyan privát IP-cím, amely egy ügyfél tulajdonában lévő virtuális hálózaton belül van lefoglalva, amelyen keresztül egy Azure-erőforrás elérhető. A Azure Private Link segítségével beállíthat egy privát végpontot az IoT Hubhoz, hogy a virtuális hálózaton belüli szolgáltatások elérjék IoT Hub anélkül, hogy a forgalmat IoT Hub nyilvános végpontjára kellene küldeni. Hasonlóképpen, a helyszíni eszközök virtuális magánhálózattal (VPN) vagy ExpressRoute-társviszony-létesítéssel is kapcsolatot létesíthetnek a virtuális hálózattal és az IoT Hubbal (annak privát végpontján keresztül). Ennek eredményeképpen korlátozhatja vagy teljesen letilthatja az IoT Hub nyilvános végpontjaihoz való csatlakozást IoT Hub IP-szűrő vagy a nyilvános hálózati hozzáférés kapcsolójával. Ez a megközelítés az eszközök privát végpontjának használatával tartja a kapcsolatot a központtal. Ennek a beállításnak a fő fókusza a helyszíni hálózaton belüli eszközökre vonatkozik. Ez a beállítás nem ajánlott a széles körű hálózaton üzembe helyezett eszközök esetében.

Diagram IoT Hub virtuális hálózati bejövő forgalomról.

Mielőtt továbblép, győződjön meg arról, hogy a következő előfeltételek teljesülnek:

Privát végpont beállítása az IoT Hub bejövő forgalma számára

A privát végpont IoT Hub eszköz API-khoz (például az eszközről a felhőbe irányuló üzenetekhez) és a szolgáltatás API-khoz (például eszközök létrehozására és frissítésére) használható.

  1. A Azure Portal keresse meg az IoT Hubot.

  2. Válassza aPrivát hozzáféréshálózatkezelése>, majd a Privát végpont létrehozása lehetőséget.

    Képernyőkép arról, hogy hová kell privát végpontot hozzáadni a IoT Hub.

  3. Adja meg az előfizetést, az erőforráscsoportot, a nevet és a régiót az új privát végpont létrehozásához. Ideális esetben a magánvégpontot a központhoz hasonló régióban kell létrehozni.

  4. Válassza a Tovább: Erőforrás lehetőséget, és adja meg az előfizetést a IoT Hub erőforráshoz, majd válassza a "Microsoft.Devices/IotHubs" lehetőséget erőforrástípusként, az IoT Hub nevét erőforrásként, az iotHubot pedig cél-alforrásként.

  5. Válassza a Tovább: Konfiguráció lehetőséget, és adja meg a virtuális hálózatot és az alhálózatot a privát végpont létrehozásához. Szükség esetén válassza az Azure privát DNS-zónával való integráció lehetőségét.

  6. Válassza a Tovább: Címkék lehetőséget, és igény szerint adja meg az erőforráshoz tartozó címkéket.

  7. Válassza a Felülvizsgálat + létrehozás lehetőséget a privát kapcsolati erőforrás létrehozásához.

Beépített Event Hubs-kompatibilis végpont

A beépített Event Hubs-kompatibilis végpont privát végponton keresztül is elérhető. Ha a privát kapcsolat konfigurálva van, egy másik privát végpontkapcsolatot kell látnia a beépített végponthoz. Ez az egyik az servicebus.windows.net FQDN-ben.

Képernyőkép két privát végpontról az egyes IoT Hub privát hivatkozásokkal

Az IoT Hub IP-szűrője opcionálisan képes szabályozni a beépített végponthoz való nyilvános hozzáférést.

Az IoT Hubhoz való nyilvános hálózati hozzáférés teljes letiltásához kapcsolja ki a nyilvános hálózati hozzáférést , vagy ip-szűrő használatával tiltsa le az összes IP-címet, és válassza ki a szabályokat a beépített végpontra való alkalmazásra.

A díjszabás részleteiért lásd Azure Private Link díjszabást.

Kimenő kapcsolat IoT Hub és más Azure-erőforrások között

Az IoT Hub csatlakozhat az Azure Blob Storage-, eseményközpont- és Service Bus-erőforrásokhoz az üzenetirányításhoz, a fájlfeltöltéshez és a tömeges eszközimportáláshoz/-exportáláshoz az erőforrások nyilvános végpontján keresztül. Az erőforrás virtuális hálózathoz való kötése alapértelmezés szerint blokkolja az erőforráshoz való csatlakozást. Ennek eredményeképpen ez a konfiguráció megakadályozza, hogy az IoT Hubok adatokat küldjenek az erőforrásoknak. A probléma megoldásához engedélyezze a IoT Hub erőforrás és a tárfiók, az eseményközpont vagy a service bus-erőforrások közötti kapcsolatot a megbízható Microsoft-szolgáltatás lehetőséggel.

Ahhoz, hogy más szolgáltatások megbízható Microsoft-szolgáltatásként találják meg az IoT Hubot, a központnak felügyelt identitást kell használnia. Miután kiépített egy felügyelt identitást, adjon engedélyt a központ felügyelt identitásának az egyéni végpont eléréséhez. Kövesse a felügyelt identitások támogatása az IoT Hub-ben című cikket egy felügyelt identitás Azure-beli szerepköralapú hozzáférés-vezérlési (RBAC) engedéllyel történő kiépítéséhez, és adja hozzá az egyéni végpontot az IoT Hubhoz. Győződjön meg arról, hogy bekapcsolja a Megbízható Microsoft belső kivételt, hogy az IoT Hubs hozzáférjen az egyéni végponthoz, ha rendelkezik a tűzfalkonfigurációkkal.

Megbízható Microsoft-szolgáltatás díjszabása

A Megbízható Microsoft belső szolgáltatások kivételfunkciója ingyenes. A kiépített tárfiókok, eseményközpontok vagy service bus-erőforrások díjai külön-külön érvényesek.

Következő lépések

A IoT Hub funkciókkal kapcsolatos további információkért használja az alábbi hivatkozásokat: