IoT Hub ondersteuning voor virtuele netwerken met Azure Private Link

  • Artikel

De hostnamen van IoT Hub worden standaard toegewezen aan een openbaar eindpunt met een openbaar routeerbaar IP-adres via internet. Verschillende klanten delen dit IoT Hub openbaar eindpunt en IoT-apparaten in wide area networks en on-premises netwerken hebben allemaal toegang tot dit eindpunt.

Diagram van IoT Hub openbaar eindpunt.

Voor sommige IoT Hub functies, zoals berichtroutering, het uploaden van bestanden en het bulksgewijs importeren/exporteren van apparaten, is ook connectiviteit vereist van IoT Hub met een Azure-resource die eigendom is van de klant via het openbare eindpunt. Deze connectiviteitspaden vormen het uitgaande verkeer van IoT Hub naar klantresources.

Mogelijk wilt u de connectiviteit met uw Azure-resources (inclusief IoT Hub) beperken via een VNet waarvan u de eigenaar bent en werkt, om verschillende redenen, waaronder:

  • Introductie van netwerkisolatie voor uw IoT-hub door blootstelling aan connectiviteit met het openbare internet te voorkomen.

  • Het inschakelen van een privéverbindingservaring vanuit uw on-premises netwerkassets, waardoor uw gegevens en verkeer rechtstreeks naar het Azure-backbone-netwerk worden verzonden.

  • Exfiltratieaanvallen van gevoelige on-premises netwerken voorkomen.

  • Het volgen van vastgestelde Azure-connectiviteitspatronen met behulp van privé-eindpunten.

In dit artikel wordt beschreven hoe u deze doelen kunt bereiken met behulp van Azure Private Link voor connectiviteit van inkomend verkeer met IoT Hub en het gebruik van vertrouwde Microsoft-services voor uitgaande connectiviteit van IoT Hub naar andere Azure-resources.

Een privé-eindpunt is een privé-IP-adres dat is toegewezen binnen een VNet dat eigendom is van de klant en waarmee een Azure-resource bereikbaar is. Met Azure Private Link kunt u een privé-eindpunt instellen voor uw IoT-hub, zodat services in uw VNet IoT Hub kunnen bereiken zonder dat verkeer naar het openbare eindpunt van IoT Hub hoeft te worden verzonden. Op dezelfde manier kunnen uw on-premises apparaten virtual private network (VPN) of ExpressRoute-peering gebruiken om verbinding te maken met uw VNet en uw IoT-hub (via het privé-eindpunt). Als gevolg hiervan kunt u de connectiviteit met de openbare eindpunten van uw IoT-hub beperken of volledig blokkeren met behulp van IoT Hub IP-filter of de wisselknop voor openbare netwerktoegang. Met deze benadering blijft de verbinding met uw hub met behulp van het privé-eindpunt voor apparaten. De belangrijkste focus van deze installatie is voor apparaten binnen een on-premises netwerk. Deze instelling wordt niet aanbevolen voor apparaten die zijn geïmplementeerd in een Wide Area Network.

Diagram van IoT Hub inkomend virtueel netwerk.

Zorg ervoor dat aan de volgende vereisten wordt voldaan voordat u doorgaat:

Een privé-eindpunt instellen voor IoT Hub ingress

Privé-eindpunten werken voor IoT Hub apparaat-API's (zoals apparaat-naar-cloud-berichten) en service-API's (zoals het maken en bijwerken van apparaten).

  1. Navigeer in de Azure Portal naar uw IoT-hub.

  2. SelecteerPersoonlijke toegang totnetwerken> en selecteer vervolgens Een privé-eindpunt maken.

    Schermopname van het toevoegen van een privé-eindpunt voor IoT Hub.

  3. Geef het abonnement, de resourcegroep, de naam en de regio op om het nieuwe privé-eindpunt te maken. In het ideale geval moet een privé-eindpunt worden gemaakt in dezelfde regio als uw hub.

  4. Selecteer Volgende: Resource, geef het abonnement op voor uw IoT Hub resource en selecteer 'Microsoft.Devices/IotHubs' als resourcetype, de naam van uw IoT-hub als resource en iotHub als doelsubbron.

  5. Selecteer Volgende: Configuratie en geef uw virtuele netwerk en subnet op om het privé-eindpunt in te maken. Selecteer desgewenst de optie voor integratie met de privé-DNS-zone van Azure.

  6. Selecteer Volgende: Tags en geef eventueel tags op voor uw resource.

  7. Selecteer Beoordelen en maken om uw Private Link-resource te maken.

Ingebouwd eindpunt dat compatibel is met Event Hubs

Het ingebouwde Event Hubs-compatibele eindpunt kan ook worden geopend via een privé-eindpunt. Wanneer private link is geconfigureerd, ziet u een andere privé-eindpuntverbinding voor het ingebouwde eindpunt. Het is degene met servicebus.windows.net in de FQDN.

Schermopname van twee privé-eindpunten op elk IoT Hub privékoppeling

met IoT Hub IP-filter kunt u desgewenst openbare toegang tot het ingebouwde eindpunt bepalen.

Als u de openbare netwerktoegang tot uw IoT-hub volledig wilt blokkeren, schakelt u openbare netwerktoegang uit of gebruikt u het IP-filter om alle IP-adressen te blokkeren en selecteert u de optie om regels toe te passen op het ingebouwde eindpunt.

Zie prijzen van Azure Private Link voor meer informatie over prijzen.

Connectiviteit van IoT Hub naar andere Azure-resources

IoT Hub kunt verbinding maken met uw Azure Blob Storage, Event Hub, Service Bus-resources voor berichtroutering, het uploaden van bestanden en bulksgewijs importeren/exporteren van apparaten via het openbare eindpunt van de resources. Het binden van uw resource aan een VNet blokkeert standaard de verbinding met de resource. Als gevolg hiervan voorkomt deze configuratie dat IoT-hubs gegevens naar uw resources verzenden. U kunt dit probleem oplossen door connectiviteit van uw IoT Hub-resource met uw opslagaccount, Event Hub of Service Bus-resources in te schakelen via de optie vertrouwde Microsoft-service.

Als u wilt dat andere services uw IoT-hub kunnen vinden als een vertrouwde Microsoft-service, moet uw hub een beheerde identiteit gebruiken. Zodra een beheerde identiteit is ingericht, verleent u de beheerde identiteit van uw hub toestemming voor toegang tot uw aangepaste eindpunt. Volg het artikel Ondersteuning voor beheerde identiteiten in IoT Hub om een beheerde identiteit in te richten met een RBAC-machtiging (Op rollen gebaseerd toegangsbeheer) van Azure en voeg het aangepaste eindpunt toe aan uw IoT-hub. Zorg ervoor dat u de vertrouwde uitzondering van Microsoft zelf inschakelt om uw IoT-hubs toegang te geven tot het aangepaste eindpunt als u de firewallconfiguraties hebt ingesteld.

Prijzen voor vertrouwde Microsoft-serviceoptie

De uitzonderingsfunctie vertrouwde microsoft-services is gratis. Kosten voor de ingerichte opslagaccounts, Event Hubs of Service Bus-resources zijn afzonderlijk van toepassing.

Volgende stappen

Gebruik de volgende koppelingen voor meer informatie over IoT Hub functies: