你当前正在访问 Microsoft Azure Global Edition 技术文档网站。如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为 Device Update for IoT Hub 帐户配置专用终结点

项目
06/01/2023

可以使用专用终结点，让流量直接从虚拟网络通过专用链接安全流向帐户，而无需通过公共 Internet。专用终结点针对帐户使用 VNet 地址空间中的 IP 地址。有关详细概念信息，请参阅网络安全。

本文介绍如何为帐户配置专用终结点。

可以使用 Azure 门户或 Azure CLI 为帐户创建专用终结点。

Azure 门户没有先决条件。

Azure CLI 环境：

在 Azure Cloud Shell 中使用 Bash 环境。
或者，如需在本地运行 CLI 参考命令，请安装 Azure CLI
- 通过使用 az login 命令登录到 Azure CLI。
- 运行 az version 以查找安装的版本和依赖库。若要升级到最新版本，请运行 az upgrade。
- 出现提示时，请在首次使用时安装 Azure CLI 扩展。本文中的命令使用 azure-iot 扩展。运行 az extension update --name azure-iot 以确保使用最新版本的扩展。

从设备更新帐户中配置专用终结点

在 Azure 门户中，可以从设备更新帐户内创建新的专用终结点。这些专用终结点连接是自动批准的，无需额外执行本文其余部分所述的查看和批准的步骤。

登录 Azure 门户并导航到帐户或域。
切换到帐户页的“网络”选项卡。若要限制访问权限，使其只能访问专用终结点，请禁用“公用网络访问”。
切换到“专用访问”选项卡，然后选择工具栏上的“+ 添加”。
在“基本信息”页上，为专用终结点提供以下信息：
- 订阅：要在其中创建专用终结点的 Azure 订阅。
- 资源组：专用终结点的现有或新资源组。
- 名称：终结点的名称。此值用于自动生成网络接口名称。
- 区域：终结点的 Azure 区域。专用终结点必须与虚拟网络位于同一区域，但可以与设备更新帐户位于不同的区域。
“资源”页已自动填充
在“虚拟网络”页上，选择要在其中部署专用终结点的虚拟网络和子网。
- 虚拟网络：下拉列表中仅列出了当前所选订阅和位置中的虚拟网络。
- 子网：在所选的虚拟网络中选择一个子网。
除非使用的是自定义 DNS，否则请在 DNS 页上使用预填充的值。
在“标记”页上，创建要与专用终结点资源关联的任何标记（名称和值）。
在“查看 + 创建”页上查看所有设置，然后选择“创建”以创建专用终结点。

从专用链接中心配置专用终结点

如果无权访问设备更新帐户，可以从专用链接中心创建专用终结点。如果创建连接的用户无权批准连接，则连接将在挂起状态下创建。

可以使用 Azure 门户或 Azure CLI 来创建专用终结点。

Azure 门户
Azure CLI

在 Azure 门户中，导航到“专用链接中心”>“专用终结点”并选择“+创建”。
在“基本信息”页上，为专用终结点提供以下信息：
- 订阅：要在其中创建专用终结点的 Azure 订阅。
- 资源组：专用终结点的现有或新资源组。
- 名称：终结点的名称。此值用于自动生成网络接口名称。
- 区域：终结点的 Azure 区域。专用终结点必须与虚拟网络位于同一区域，但可以与设备更新帐户位于不同的区域。
填写“资源”选项卡上的所有必填字段
- 连接方法：选择“按资源 ID 或别名连接到 Azure 资源”。
- 资源 ID 或别名：输入 Device Update 帐户的资源 ID。可以通过在“概述”页上选择“JSON 视图”，从 Azure 门户检索设备更新帐户的资源 ID。或者，可以使用 az iot du account show 命令并查询以下 ID 值来进行检索：az iot du account show -n <account_name> --query id。
- 目标子资源：值必须是 DeviceUpdate
在“虚拟网络”页上，选择要在其中部署专用终结点的虚拟网络和子网。
- 虚拟网络：下拉列表中仅列出了当前所选订阅和位置中的虚拟网络。
- 子网：在所选的虚拟网络中选择一个子网。
除非使用的是自定义 DNS，否则请在 DNS 页上使用预填充的值。
在“标记”页上，创建要与专用终结点资源关联的任何标记（名称和值）。
在“查看 + 创建”页上查看所有设置，然后选择“创建”以创建专用终结点。

使用 az network private-endpoint create 命令创建专用终结点。

将以下占位符替换为自己的信息：

RESOURCE_GROUP_NAME：资源组的名称。
PRIVATE_ENDPOINT_NAME：专用终结点的名称。
PRIVATE_LINK_CONNECTION_NAME：专用链接服务连接的名称。
VIRTUAL_NETWORK_NAME：与子网关联的现有虚拟网络的名称。
SUBNET_NAME：现有子网的名称或 ID。如果使用子网名称，则还需要包含虚拟网络名称。如果使用子网 ID，可以省略 --vnet-name 参数。
DEVICE_UPDATE_RESOURCE_ID：可以通过在“概述”页上选择“JSON 视图”，从 Azure 门户检索设备更新帐户的资源 ID。或者，可以使用 az iot du account show 命令并查询以下 ID 值来进行检索：az iot du account show -n <account_name> --query id。
LOCATION：Azure 区域的名称。专用终结点必须与虚拟网络位于同一区域，但可以与设备更新帐户位于不同的区域。

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

可以使用 az network private-endpoint delete 命令删除专用终结点。

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

管理专用链接连接

创建等待手动批准的专用终结点时，必须先批准连接，然后才能使用它。如果要为其创建专用终结点的资源位于你的目录中，在拥有足够权限的前提下，你可以批准连接请求。如果要连接到另一个目录中的 Azure 资源，必须等待该资源的所有者批准你的连接请求。

有四种预配状态：

服务操作	服务使用者专用终结点状态	说明
无	挂起的	连接是手动创建的，正等待专用链接资源所有者批准。
审批	已批准	连接已自动或手动批准，随时可供使用。
拒绝	已拒绝	连接已被专用链接资源所有者拒绝。
删除	已断开连接	连接已被专用链接资源所有者删除，专用终结点仅供参考，应将其删除以清理资源。

Azure 门户
Azure CLI

查看设备更新帐户内的挂起连接

从 Azure 门户导航到要管理的设备更新帐户。
选择“网络”选项卡。
如果有任何挂起的连接，则会列出预配状态为“挂起”的连接。
使用复选框选择挂起的连接，然后选择“批准”或“拒绝”。

查看专用链接中心内的挂起连接

从 Azure 门户导航到“专用链接中心”>“挂起的连接”。
使用复选框选择挂起的连接，然后选择“批准”或“拒绝”。

使用 az iot du account private-endpoint-connection set 命令管理专用终结点连接。

将以下占位符替换为自己的信息：

ACCOUNT_NAME：设备更新帐户的名称。
PRIVATE_LINK_CONNECTION_NAME：专用链接服务连接的名称。
STATUS：Approved 或 Rejected。

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

后续步骤

了解网络安全概念。

Share via