IoT Hub ondersteuning voor virtuele netwerken met Private Link en beheerde identiteit

Standaard worden de hostnamen van IoT Hub toegewezen aan een openbaar eindpunt met een openbaar routeerbaar IP-adres via internet. Verschillende klanten delen dit IoT Hub openbaar eindpunt en IoT-apparaten in wide area-netwerken en on-premises netwerken hebben er allemaal toegang toe.

IoT Hub public endpoint

IoT Hub functies, waaronder berichtroutering, bestandsupload en bulksgewijs importeren/exporteren van apparaten, hebben ook connectiviteit nodig van IoT Hub naar een Azure-resource die eigendom is van de klant via het openbare eindpunt. Deze connectiviteitspaden vormen gezamenlijk het uitgaand verkeer van IoT Hub naar klantresources.

Mogelijk wilt u de connectiviteit met uw Azure-resources (inclusief IoT Hub) beperken via een VNet waarvan u eigenaar bent en die u gebruikt. Deze redenen zijn onder andere:

  • Introductie van netwerkisolatie voor uw IoT-hub door te voorkomen dat er verbinding wordt gemaakt met het openbare internet.

  • Het inschakelen van een privéverbindingservaring vanuit uw on-premises netwerkassets om ervoor te zorgen dat uw gegevens en verkeer rechtstreeks naar het Backbone-netwerk van Azure worden verzonden.

  • Voorkomen van exfiltratieaanvallen van gevoelige on-premises netwerken.

  • Na vastgestelde azure-brede connectiviteitspatronen met behulp van privé-eindpunten.

In dit artikel wordt beschreven hoe u deze doelen kunt bereiken met behulp van Azure Private Link voor inkomend verkeer naar IoT Hub en het gebruik van vertrouwde Microsoft-services uitzondering voor uitgaande connectiviteit van IoT Hub naar andere Azure-resources.

Een privé-eindpunt is een privé-IP-adres dat is toegewezen in een VNet dat eigendom is van de klant, waarmee een Azure-resource bereikbaar is. Via Azure Private Link kunt u een privé-eindpunt instellen voor uw IoT-hub, zodat services binnen uw VNet IoT Hub kunnen bereiken zonder dat verkeer naar het openbare eindpunt van IoT Hub hoeft te worden verzonden. Op dezelfde manier kunnen uw on-premises apparaten virtual private network (VPN) of ExpressRoute-peering gebruiken om verbinding te maken met uw VNet en uw IoT Hub (via het privé-eindpunt). Als gevolg hiervan kunt u de connectiviteit met de openbare eindpunten van uw IoT-hub beperken of volledig blokkeren met behulp van IoT Hub IP-filter of de wisselknop voor openbare netwerktoegang. Met deze methode blijft de verbinding met uw hub met behulp van het privé-eindpunt voor apparaten. De belangrijkste focus van deze installatie is voor apparaten in een on-premises netwerk. Deze installatie wordt niet aanbevolen voor apparaten die zijn geïmplementeerd in een wide area-netwerk.

IoT Hub virtual network engress

Zorg ervoor dat aan de volgende vereisten wordt voldaan voordat u doorgaat:

Een privé-eindpunt instellen voor IoT Hub ingress

Privé-eindpunt werkt voor IoT Hub-API's (zoals apparaat-naar-cloud-berichten) en service-API's (zoals het maken en bijwerken van apparaten).

  1. Selecteer in Azure Portal netwerken, privétoegang en klik op de optie + Een privé-eindpunt maken.

    Screenshot showing where to add private endpoint for IoT Hub

  2. Geef het abonnement, de resourcegroep, de naam en de regio op waarin u het nieuwe privé-eindpunt wilt maken. In het ideale moment moet het privé-eindpunt worden gemaakt in dezelfde regio als uw hub.

  3. Klik op Volgende: Resource en geef het abonnement op voor uw IoT Hub resource en selecteer 'Microsoft.Devices/IotHubs' als resourcetype, uw IoT Hub naam als resource en iotHub als doelsubresource.

  4. Klik op Volgende: Configuratie en geef uw virtuele netwerk en subnet op om het privé-eindpunt te maken. Selecteer desgewenst de optie voor integratie met de privé-DNS-zone van Azure.

  5. Klik op Volgende: Tags en geef eventueel tags op voor uw resource.

  6. Klik op Beoordelen en maken om uw private link-resource te maken.

Ingebouwd Event Hub-compatibel eindpunt

Het ingebouwde Event Hub-compatibele eindpunt kan ook worden geopend via een privé-eindpunt. Wanneer Private Link is geconfigureerd, ziet u een extra privé-eindpuntverbinding voor het ingebouwde eindpunt. Het is degene met servicebus.windows.net de FQDN.

Image showing two private endpoints given each IoT Hub private link

met IoT Hub IP-filter kunt u desgewenst openbare toegang tot het ingebouwde eindpunt bepalen.

Als u de toegang tot uw IoT-hub volledig wilt blokkeren, schakelt u de toegang tot het openbare netwerk uit of gebruikt u het IP-filter om alle IP-adressen te blokkeren en selecteert u de optie om regels toe te passen op het ingebouwde eindpunt.

Zie prijzen van Azure Private Link voor meer informatie over prijzen.

Egress connectiviteit van IoT Hub met andere Azure-resources

IoT Hub kunt verbinding maken met uw Azure Blob Storage, Event Hub, Service Bus-resources voor berichtroutering, het uploaden van bestanden en bulksgewijs importeren/exporteren van apparaten via het openbare eindpunt van de resources. Het binden van uw resource aan een VNet blokkeert standaard de verbinding met de resource. Als gevolg hiervan voorkomt deze configuratie dat IoT Hub gegevens naar uw resources kan verzenden. U kunt dit probleem oplossen door connectiviteit van uw IoT Hub resource in te schakelen naar uw opslagaccount, Event Hub of Service Bus-resources via de vertrouwde Microsoft-serviceoptie.

Als u wilt dat andere services uw IoT-hub kunnen vinden als een vertrouwde Microsoft-service, moet uw hub de beheerde identiteit gebruiken. Zodra een beheerde identiteit is ingericht, moet u de Azure RBAC-machtiging verlenen aan de beheerde identiteit van uw hub voor toegang tot uw aangepaste eindpunt. Volg het artikel Ondersteuning voor beheerde identiteiten in IoT Hub voor het inrichten van een beheerde identiteit met Azure RBAC-machtiging en voeg het aangepaste eindpunt toe aan uw IoT Hub. Zorg ervoor dat u de vertrouwde uitzondering van Microsoft in de eerste partij in IoT Hub om toegang van uw IoT Hub tot het aangepaste eindpunt toe te staan als u de firewallconfiguraties hebt.

Prijzen voor vertrouwde Microsoft-serviceoptie

Uitzonderingsfunctie voor vertrouwde microsoft-services is gratis. Kosten voor de ingerichte opslagaccounts, Event Hubs of Service Bus-resources zijn afzonderlijk van toepassing.

Volgende stappen

Gebruik de onderstaande koppelingen voor meer informatie over IoT Hub functies: