IoT Hub kaynakları için Cihaz Güncelleştirmesi için ağ güvenliği
Bu makalede, cihaz güncelleştirmelerini yönetirken aşağıdaki ağ güvenlik özelliklerinin nasıl kullanılacağı açıklanmaktadır:
- Ağ Güvenlik Grupları ve Azure Güvenlik Duvarları'ndaki hizmet etiketleri
- Azure Sanal Ağlarında özel uç noktalar
Önemli
Bağlı IoT Hub Genel Ağ Erişiminin devre dışı bırakılması Cihaz Güncelleştirmesi tarafından desteklenmez.
Hizmet etiketleri
Hizmet etiketi, belirli bir Azure hizmetinden bir grup IP adresi ön ekini temsil eder. Microsoft, hizmet etiketinin kapsadığı adres ön eklerini yönetir ve adresler değiştikçe hizmet etiketini otomatik olarak güncelleştirerek ağ güvenliği kurallarına yönelik sık güncelleştirme karmaşıklığını en aza indirir. Hizmet etiketleri hakkında daha fazla bilgi için bkz . Hizmet etiketlerine genel bakış.
Hizmet etiketlerini kullanarak ağ güvenlik gruplarında veya Azure Güvenlik Duvarı ağ erişim denetimlerini tanımlayabilirsiniz. Güvenlik kuralları oluştururken belirli IP adreslerinin yerine hizmet etiketlerini kullanın. Bir kuralın uygun kaynak veya hedef alanında hizmet etiketi adını (örneğin, AzureDeviceUpdate) belirterek, ilgili hizmet için trafiğe izin verebilir veya trafiği reddedebilirsiniz.
| Hizmet etiketi | Amaç | Gelen veya giden kullanılabilir mi? | Bölgesel olabilir mi? | Azure Güvenlik Duvarı ile kullanabilir misiniz? |
|---|---|---|---|---|
| AzureDeviceUpdate | IoT Hub için Cihaz Güncelleştirmesi. | Her İkisi | Hayır | Yes |
Bölgesel IP aralıkları
IoT Hub IP kuralları Hizmet Etiketlerini desteklemediğinden, bunun yerine AzureDeviceUpdate Hizmet Etiketi IP ön eklerini kullanmanız gerekir. Bu etiket şu anda genel olduğundan kolaylık sağlamak için aşağıdaki tabloyu sağlıyoruz. Konumun Cihaz Güncelleştirme kaynaklarına ait olduğunu lütfen unutmayın.
| Konum | IP aralıkları |
|---|---|
| Doğu Avustralya | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| Doğu ABD | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| Doğu ABD 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| Doğu ABD 2 EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| Kuzey Avrupa | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| Orta Güney ABD | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| Güneydoğu Asya | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| Orta İsveç | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| Güney Birleşik Krallık | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| West Europe | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| Batı ABD 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| Batı ABD 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
Not
Yukarıdaki IP ön eklerinin değişme olasılığı düşüktür, ancak listeyi ayda bir kez gözden geçirmeniz gerekir.
Özel uç noktalar
Özel uç noktaları kullanarak sanal ağınızdan Cihaz Güncelleştirmesi hesaplarınıza giden trafiğe genel İnternet üzerinden gitmeden özel bir bağlantı üzerinden güvenli bir şekilde izin vekleyebilirsiniz. Özel uç nokta, sanal ağınızdaki bir Azure hizmeti için özel bir ağ arabirimidir. Cihaz Güncelleştirmesi hesabınız için özel bir uç nokta oluşturduğunuzda, sanal ağınızdaki istemciler ile Cihaz Güncelleştirmesi hesabınız arasında güvenli bağlantı sağlar. Özel uç noktaya sanal ağınızın IP adresi aralığından bir IP adresi atanır. Özel uç nokta ile Cihaz Güncelleştirme hizmetleri arasındaki bağlantı güvenli bir özel bağlantı kullanır.
Cihaz Güncelleştirmesi kaynağınız için özel uç noktaları kullanmak şunları sağlar:
- Genel İnternet yerine Microsoft omurga ağı üzerinden bir sanal ağ üzerinden Cihaz Güncelleştirmesi hesabınıza güvenli erişim.
- Özel eşleme ile VPN veya Express Routes kullanarak sanal ağa bağlanan şirket içi ağlardan güvenli bir şekilde bağlanın.
Sanal ağınızdaki bir Cihaz Güncelleştirmesi hesabı için özel uç nokta oluşturduğunuzda, kaynak sahibine onay için bir onay isteği gönderilir. Özel uç noktanın oluşturulmasını isteyen kullanıcı da hesabın sahibiyse, bu onay isteği otomatik olarak onaylanır. Aksi takdirde, bağlantı onaylanana kadar bekleme durumundadır. VNet'teki uygulamalar, özel uç nokta üzerinden Cihaz Güncelleştirme hizmetine sorunsuz bir şekilde bağlanabilir ve aksi takdirde kullanabilecekleri ana bilgisayar adı ve yetkilendirme mekanizmalarını kullanabilir. Hesap sahipleri, Azure portal kaynağın Özel uç noktalar sekmesi aracılığıyla onay isteklerini ve özel uç noktaları yönetebilir.
Özel uç noktalara bağlanma
Özel uç noktayı kullanan bir sanal ağ üzerindeki istemciler, ortak uç noktaya bağlanan istemcilerle aynı hesap ana bilgisayar adını ve yetkilendirme mekanizmalarını kullanmalıdır. DNS çözümlemesi, bağlantıları sanal ağdan hesaba özel bir bağlantı üzerinden otomatik olarak yönlendirir. Cihaz Güncelleştirmesi, varsayılan olarak özel uç noktalar için gerekli güncelleştirmeyle birlikte sanal ağa bağlı bir özel DNS bölgesi oluşturur. Ancak, kendi DNS sunucunuzu kullanıyorsanız DNS yapılandırmanızda ek değişiklikler yapmanız gerekebilir.
Özel uç noktalar için DNS değişiklikleri
Özel uç nokta oluşturduğunuzda, kaynağın DNS CNAME kaydı ön ekine privatelinksahip bir alt etki alanında bir diğer adla güncelleştirilir. Varsayılan olarak, özel bağlantının alt etki alanına karşılık gelen bir özel DNS bölgesi oluşturulur.
Özel uç nokta ile sanal ağın dışından hesap uç noktası URL'sini çözümlediğinizde, hizmet genel uç noktasına çözümür. 'Contoso' hesabının DNS kaynak kayıtları, özel uç noktayı barındıran sanal ağın dışından çözümlendiğinde şu şekilde olur:
| Ad | Tür | Değer |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <Azure traffic manager profili> |
Özel uç noktayı barındıran sanal ağdan çözümlendiğinde, hesap uç noktası URL'si özel uç noktanın IP adresine çözümlenir. Özel uç noktayı barındıran sanal ağın içinden çözümlendiğinde 'Contoso' hesabının DNS kaynak kayıtları:
| Ad | Tür | Değer |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
Bu yaklaşım, özel uç noktaları barındıran sanal ağ üzerindeki istemciler ve sanal ağ dışındaki istemciler için hesaba erişim sağlar.
Ağınızda özel bir DNS sunucusu kullanıyorsanız, istemciler cihaz güncelleştirme hesabı uç noktası için FQDN'yi özel uç nokta IP adresine çözümleyebilir. DNS sunucunuzu, özel bağlantı alt etki alanınızı sanal ağ için özel DNS bölgesine temsilci olarak atayacak şekilde yapılandırın veya A kayıtlarını accountName.api.privatelink.adu.microsoft.com özel uç nokta IP adresiyle yapılandırın.
Önerilen DNS bölgesi adıdır privatelink.adu.microsoft.com.
Özel uç noktalar ve cihaz güncelleştirme yönetimi
Not
Bu bölüm yalnızca genel ağ erişimi devre dışı bırakılmış ve özel uç nokta bağlantılarının el ile onayladığı Cihaz Güncelleştirmesi hesapları için geçerlidir.
Aşağıdaki tabloda özel uç nokta bağlantısının çeşitli durumları ve cihaz güncelleştirme yönetimi üzerindeki etkileri (içeri aktarma, gruplandırma ve dağıtma) açıklanmaktadır:
| Bağlantı Durumu | Cihaz güncelleştirmelerini başarıyla yönetme (Evet/Hayır) |
|---|---|
| Onaylandı | Yes |
| Reddedildi | Hayır |
| Beklemede | Hayır |
| Bağlantı kesildi | Hayır |
Güncelleştirme yönetiminin başarılı olması için özel uç nokta bağlantı durumunun onaylanması gerekir. Bağlantı reddedilirse, Azure portal kullanılarak onaylanamaz. Tek olasılık bağlantıyı silmek ve bunun yerine yeni bir bağlantı oluşturmaktır.