IoT Hub stöd för virtuella nätverk med Private Link och hanterad identitet

Som standard IoT Hub värdnamnen till en offentlig slutpunkt med en offentligt dirigerbar IP-adress via Internet. Olika kunder delar IoT Hub offentliga slutpunkten, och IoT-enheter i över breda nätverk och lokala nätverk kan komma åt den.

IoT Hub offentlig slutpunkt

IoT Hub funktioner som meddelanderoutning, filuppladdning och massimport/massenhetsexport kräver också anslutning från IoT Hub till en kundägd Azure-resurs via dess offentliga slutpunkt. Dessa anslutningsvägar utgör tillsammans den utgående trafiken från IoT Hub till kundresurser.

Du kanske vill begränsa anslutningen till dina Azure-resurser (inklusive IoT Hub) via ett VNet som du äger och använder. Dessa orsaker är:

  • Introduktion till nätverksisolering för din IoT-hubb genom att förhindra att anslutningen exponeras för det offentliga Internet.

  • Aktivera en privat anslutningsupplevelse från dina lokala nätverkstillgångar och se till att dina data och trafik överförs direkt till Azure-stamnätverket.

  • Förhindra exfiltreringsattacker från känsliga lokala nätverk.

  • Efter etablerade anslutningsmönster för hela Azure med privata slutpunkter.

Den här artikeln beskriver hur du uppnår dessa mål med hjälp av Azure Private Link för ingressanslutning till IoT Hub och använder betrott Microsoft-tjänster-undantag för utgående anslutning från IoT Hub till andra Azure-resurser.

En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt VNet som en Azure-resurs kan nås via. Via Azure Private Link kan du konfigurera en privat slutpunkt för din IoT-hubb så att tjänster i ditt VNet kan nå IoT Hub utan att trafik behöver skickas till IoT Hub offentliga slutpunkt. På samma sätt kan dina lokala enheter använda VPN (Virtual Private Network) eller ExpressRoute-peering för att få anslutning till ditt VNet och din IoT Hub (via dess privata slutpunkt). Därför kan du begränsa eller helt blockera anslutningen till din IoT-hubbs offentliga slutpunkter genom att IoT Hub IP-filter eller det offentliga nätverksåtkomstreglaget. Den här metoden behåller anslutningen till hubben med hjälp av den privata slutpunkten för enheter. Den här konfigurationen fokuserar huvudsakligen på enheter i ett lokalt nätverk. Den här konfigurationen rekommenderas inte för enheter som distribueras i ett brett nätverk.

IoT Hub för virtuellt nätverk

Kontrollera att följande krav är uppfyllda innan du fortsätter:

Konfigurera en privat slutpunkt för IoT Hub ingress

Privat slutpunkt fungerar för IoT Hub-API:er (t.ex. meddelanden från enheten till molnet) samt tjänst-API:er (som att skapa och uppdatera enheter).

  1. I Azure Portal väljer du Nätverk, Privata slutpunktsanslutningar och klickar på + Privat slutpunkt.

    Skärmbild som visar var du lägger till privat slutpunkt för IoT Hub

  2. Ange prenumerationen, resursgruppen, namnet och regionen som den nya privata slutpunkten ska skapas i. Helst ska den privata slutpunkten skapas i samma region som hubben.

  3. Klicka på Nästa: Resurs och ange prenumerationen för din IoT Hub-resurs och välj "Microsoft.Devices/IotHubs" som resurstyp, ditt IoT Hub-namn som resurs och iotHub som målunderresurs.

  4. Klicka på Nästa: Konfiguration och ange ditt virtuella nätverk och undernät för att skapa den privata slutpunkten i. Välj alternativet att integrera med den privata DNS-zonen i Azure om du vill.

  5. Klicka på Nästa: Taggar och ange eventuella taggar för resursen om du vill.

  6. Klicka på Granska + skapa för att skapa din privata länkresurs.

Inbyggd Event Hub-kompatibel slutpunkt

Den inbyggda Event Hub-kompatibla slutpunkten kan också nås via den privata slutpunkten. När private link har konfigurerats bör du se ytterligare en privat slutpunktsanslutning för den inbyggda slutpunkten. Det är det som finns servicebus.windows.net i FQDN.

Bild som visar två privata slutpunkter för varje IoT Hub privat länk

IoT Hub IP-filter kan eventuellt styra offentlig åtkomst till den inbyggda slutpunkten.

Om du vill helt blockera offentlig nätverksåtkomst till din IoT-hubb stänger du av offentlig nätverksåtkomst eller använder IP-filter för att blockera alla IP-adresser och väljer alternativet för att tillämpa regler på den inbyggda slutpunkten.

Prisinformation finns i Azure Private Link priser.

Utgående anslutning från IoT Hub till andra Azure-resurser

IoT Hub kan ansluta till din Azure Blob Storage, händelsehubb, Service Bus-resurser för meddelanderoutning, filuppladdning och massimport/massexport av enheter via resursernas offentliga slutpunkt. Om du binder resursen till ett VNet blockeras anslutningen till resursen som standard. Därför förhindrar den här konfigurationen IoT Hub inte att skicka data till dina resurser. Åtgärda problemet genom att aktivera anslutning från din IoT Hub till ditt lagringskonto, händelsehubb eller Service Bus-resurser via alternativet för betrodd Microsoft-tjänst.

För att andra tjänster ska kunna hitta din IoT Hub som en betrodd Microsoft-tjänst måste hubben använda den hanterade identiteten. När en hanterad identitet har etablerats måste du ge Azure RBAC-behörighet till hubbens hanterade identitet för att få åtkomst till din anpassade slutpunkt. Följ artikeln Stöd för hanterade identiteter i IoT Hub att etablera en hanterad identitet med Azure RBAC-behörighet och lägga till den anpassade slutpunkten i IoT Hub. Se till att aktivera det betrodda Microsoft-undantaget från första part så att IoT Hub åtkomst till den anpassade slutpunkten om du har brandväggskonfigurationerna på plats.

Prissättning för alternativet för betrodda Microsoft-tjänster

Undantagsfunktionen för betrodda Microsoft-tjänster från första part är kostnadsfri. Avgifter för etablerade lagringskonton, händelsehubbbar eller Service Bus-resurser tillämpas separat.

Nästa steg

Använd länkarna nedan om du vill veta mer om IoT Hub funktioner: