Центр Интернета вещей поддержка виртуальных сетей с Приватный канал Azure

  • Статья

По умолчанию имена узлов центра Интернета вещей сопоставляются с общедоступной конечной точкой с общедоступным IP-адресом через Интернет. Разные клиенты совместно используют эту общедоступную конечную точку Центра Интернета вещей, и получить к ней доступ могут все устройства Интернета вещей в глобальных и локальных сетях.

Схема Центр Интернета вещей общедоступной конечной точки.

Некоторые функции Центр Интернета вещей, включая маршрутизацию сообщений, отправку файлов и массовый импорт и экспорт устройств, также требуют подключения из Центр Интернета вещей к ресурсу Azure, принадлежащей клиенту, через общедоступную конечную точку. Эти пути подключения составляют исходящий трафик от Центр Интернета вещей к ресурсам клиента.

Вы можете ограничить подключение к ресурсам Azure (включая Центр Интернета вещей) через виртуальную сеть, которой вы владеете и работаете, по нескольким причинам, в том числе:

  • Обеспечение сетевой изоляции для Центра Интернета вещей за счет предотвращения подключения к общедоступному Интернету.

  • Включение частного подключения из локальных сетевых ресурсов, которое гарантирует передачу данных и трафика непосредственно в магистральную сеть Azure.

  • Предотвращение атак, связанных с кражей данных из конфиденциальных локальных сетей.

  • Соблюдение шаблонов подключения, заданных на уровне Azure, с помощью частных конечных точек.

В этой статье описывается, как добиться этих целей с помощью Приватного канала Azure для входящего подключения к Центру Интернета вещей и использования доверенных служб Майкрософт для исходящего подключения из Центра Интернета вещей к другим ресурсам Azure.

Частная конечная точка — это частный IP-адрес, выделенный в виртуальной сети клиента, с помощью которого доступен ресурс Azure. С помощью Приватный канал Azure можно настроить частную конечную точку для Центра Интернета вещей, чтобы разрешить службам в виртуальной сети доступ к Центр Интернета вещей без необходимости отправлять трафик в общедоступную конечную точку Центр Интернета вещей. Аналогичным образом локальные устройства могут использовать виртуальную частную сеть (VPN) или пиринг ExpressRoute для подключения к виртуальной сети и Центру Интернета вещей (через частную конечную точку). В результате вы можете ограничить или полностью заблокировать подключение к общедоступным конечным точкам Центра Интернета вещей с помощью фильтра IP-адресов в Центре Интернета вещей и переключателя доступа к общедоступной сети. Такой подход обеспечивает возможность подключения к центру с помощью частной конечной точки для устройств. Основной задачей этой установки является наличие устройств в локальной сети. Такая схема не рекомендуется для устройств, развернутых в глобальной сети.

Схема Центр Интернета вещей входящего трафика виртуальной сети.

Прежде чем продолжать, убедитесь, что выполняются следующие необходимые условия.

Настройка частной конечной точки для входящего трафика Центра Интернета вещей

Частная конечная точка работает для api Центр Интернета вещей устройств (например, сообщений с устройства в облако) и API служб (например, для создания и обновления устройств).

  1. Найдите нужный Центр Интернета вещей на портале Azure.

  2. Выберите Сеть>Частный доступ, а затем выберите Создать частную конечную точку.

    Снимок экрана: место добавления частной конечной точки для Центр Интернета вещей.

  3. Укажите подписку, группу ресурсов, имя и регион для создания новой частной конечной точки. В идеале частная конечная точка должна быть создана в том же регионе, что и центр.

  4. Выберите Далее: ресурс, укажите подписку для ресурса Центр Интернета вещей и выберите "Microsoft.Devices/IotHubs" в качестве типа ресурса, имя центра Интернета вещей в качестве ресурса и iotHub в качестве целевого подресурса.

  5. Выберите Далее: конфигурация и укажите виртуальную сеть и подсеть для создания частной конечной точки. При необходимости выберите параметр для интеграции с частной зоной DNS Azure.

  6. Выберите Далее: Теги и при необходимости укажите любые теги для ресурса.

  7. Выберите Просмотр и создание , чтобы создать ресурс приватного канала.

Встроенная конечная точка, совместимая с Центрами событий

Доступ к встроенной конечной точке, совместимой с Центрами событий , также можно получить через частную конечную точку. При настройке приватного канала вы увидите другое подключение к частной конечной точке для встроенной конечной точки. Оно аналогично servicebus.windows.net в полном доменном имени.

Снимок экрана: две частные конечные точки с учетом каждого Центр Интернета вещей приватного канала

Фильтр IP-адресов Центра Интернета вещей при необходимости может контролировать общий доступ к встроенной конечной точке.

Чтобы полностью заблокировать доступ к Центру Интернета вещей из общедоступной сети, отключите доступ из общедоступной сети или используйте фильтр IP-адресов для блокировки всех IP-адресов и выберите параметр для применения правил к встроенной конечной точке.

Дополнительные сведения о ценах см. на странице цен на службу "Приватный канал" Azure.

Исходящие подключения из Центра Интернета вещей к другим ресурсам Azure

Центр Интернета вещей может подключаться к хранилищу BLOB-объектов Azure, концентратору событий, ресурсам служебной шины для маршрутизации сообщений, отправки файлов и импорта/экспорта устройств с помощью общедоступной конечной точки ресурсов. Привязка ресурса к виртуальной сети блокирует подключение к ресурсу по умолчанию. В результате такая конфигурация не позволяет Центрам Интернета вещей отправлять данные в ресурсы. Чтобы устранить эту проблему, включите подключение из ресурса Центра Интернета вещей к учетной записи хранения, концентратору событий или ресурсам служебной шины с помощью доверенной службы Майкрософт.

Чтобы другие службы могли находить центр Интернета вещей в качестве доверенной службы Майкрософт, центр должен использовать управляемое удостоверение. После подготовки управляемого удостоверения предоставьте управляемому удостоверению центра разрешение на доступ к пользовательской конечной точке. Следуйте указаниям в статье Поддержка управляемых удостоверений в Центр Интернета вещей, чтобы подготовить управляемое удостоверение с разрешением управления доступом на основе ролей Azure (RBAC) и добавить пользовательскую конечную точку в Центр Интернета вещей. Убедитесь, что вы включили доверенное исключение Майкрософт от первой стороны, чтобы разрешить Центрам Интернета вещей доступ к настраиваемой конечной точке при наличии конфигураций брандмауэра.

Цены на функцию доверенных служб Майкрософт

Функция исключения доверенных служб Майкрософт предоставляется бесплатно. Подготовленные учетные записи хранения, концентраторы событий или ресурсы служебной шины оплачиваются отдельно.

Дальнейшие действия

Дополнительные сведения о функциях Центр Интернета вещей см. по следующим ссылкам: