為 IoT 中樞帳戶設定用於裝置更新的私人端點

發行項
06/01/2023

您可以使用私人端點，不經過公用網際網路，安全地透過私人連結，允許從虛擬網路直接至帳戶的流量。私人端點會針對您的帳戶使用 VNet 位址空間中的 IP 位址。如需更多概念性資訊，請參閱網路安全性。

本文說明如何設定帳戶的私人端點。

您可以使用 Azure 入口網站或 Azure CLI 來建立帳戶的私人端點。

必要條件

Azure 入口網站
Azure CLI

Azure 入口網站沒有必要條件。

Azure CLI 環境：

在 Azure Cloud Shell 中使用 Bash 環境。
或是，若要在本地執行 CLI 參考命令，請安裝 Azure CLI
- 使用 az login 命令來登入 Azure CLI。
- 執行 az version 以尋找已安裝的版本和相依程式庫。若要升級至最新版本，請執行 az upgrade。
- 出現提示時，請在第一次使用時安裝 Azure CLI 擴充功能。本文中的命令會使用 azure-iot 延伸模組。執行 az extension update --name azure-iot 以確定您使用的是最新版本的延伸模組。

從裝置更新帳戶設定私人端點

在 Azure 入口網站中，您可以從裝置更新帳戶內建立新的私人端點。這些私人端點連線是自動核准的，不需由本文其餘部分所述的額外步驟來檢閱和核准。

登入 Azure 入口網站，然後瀏覽至您的帳戶或網域。
切換至您帳戶頁面的 [網路] 索引標籤。如果您想要僅限制對私人端點的存取，請停用公用網路存取。
切換至 [私人存取] 索引標籤，然後選取工具列上的 [+ 新增]。
在 [基本] 頁面上，提供私人端點的下列資訊：
- 訂用帳戶：您要在其中建立私人端點的 Azure 訂用帳戶。
- 資源群組：私人端點的現有或新的資源群組。
- 名稱：端點的名稱。此值用來自動產生網路介面名稱。
- 區域：端點的 Azure 區域。私人端點必須與虛擬網路位於相同區域中，但可與裝置更新帳戶位於不同區域中。
[資源] 頁面會自動填入
在 [虛擬網路] 頁面上，選取您要在其中部署私人端點的子網路和虛擬網路。
- 虛擬網路：下拉式清單只會列出目前選取的訂用帳戶與位置中的虛擬網路。
- 子網路：選取您所選虛擬網路中的子網路。
在 [DNS] 頁面上，除非您使用自己的自訂 DNS，否則請使用預先填入的值。
在 [標記] 頁面上，建立想要與私人端點資源建立關聯的任何標記 (名稱和值)。
在 [檢閱 + 建立] 頁面上檢閱所有設定，然後選取 [建立] 以建立私人端點。

從 Private Link 中心設定私人端點

如果您沒有裝置更新帳戶的存取權，您可以從 Private Link 中心建立私人端點。如果建立連線的使用者沒有權限也可以核准連線，則會以擱置狀態建立連線。

您可以使用 Azure 入口網站或 Azure CLI 來建立私人端點。

Azure 入口網站
Azure CLI

在 Azure 入口網站中，瀏覽至 [Private Link 中心]>[私人端點]，然後選取 [+建立]。
在 [基本] 頁面上，提供私人端點的下列資訊：
- 訂用帳戶：您要在其中建立私人端點的 Azure 訂用帳戶。
- 資源群組：私人端點的現有或新的資源群組。
- 名稱：端點的名稱。此值用來自動產生網路介面名稱。
- 區域：端點的 Azure 區域。私人端點必須與虛擬網路位於相同區域中，但可與裝置更新帳戶位於不同區域中。
在 [資源] 索引標籤上填入所有必要的欄位
- 連線方法：選取 [依資源識別碼或別名連線至 Azure 資源]。
- 資源識別碼或別名：輸入裝置更新帳戶的資源識別碼。您可以從 Azure 入口網站擷取裝置更新帳戶的資源識別碼，只要在 [概觀] 頁面上選取 [JSON 檢視] 即可。或者，您可以使用 az iot du account show 命令來加以擷取，並查詢識別碼值：az iot du account show -n <account_name> --query id。
- 目標子資源：值必須是 DeviceUpdate
在 [虛擬網路] 頁面上，選取您要在其中部署私人端點的子網路和虛擬網路。
- 虛擬網路：下拉式清單只會列出目前選取的訂用帳戶與位置中的虛擬網路。
- 子網路：選取您所選虛擬網路中的子網路。
在 [DNS] 頁面上，除非您使用自己的自訂 DNS，否則請使用預先填入的值。
在 [標記] 頁面上，建立想要與私人端點資源建立關聯的任何標記 (名稱和值)。
在 [檢閱 + 建立] 頁面上檢閱所有設定，然後選取 [建立] 以建立私人端點。

使用 az network private-endpoint create 命令建立私人端點。

將下列預留位置取代為您自己的資訊：

RESOURCE_GROUP_NAME：資源群組的名稱。
PRIVATE_ENDPOINT_NAME：私人端點的名稱。
PRIVATE_LINK_CONNECTION_NAME：私人連結服務連線的名稱。
VIRTUAL_NETWORK_NAME：與子網路相關聯的現有虛擬網路名稱。
SUBNET_NAME：現有子網路的名稱或識別碼。如果您使用子網路名稱，則也需包含虛擬網路名稱。如果您使用子網路識別碼，則可以省略 --vnet-name 參數。
DEVICE_UPDATE_RESOURCE_ID：您可以從 Azure 入口網站擷取裝置更新帳戶的資源識別碼，只要在 [概觀] 頁面上選取 [JSON 檢視] 即可。或者，您可以使用 az iot du account show 命令來加以擷取，並查詢識別碼值：az iot du account show -n <account_name> --query id。
LOCATION：Azure 區域的名稱。私人端點必須與虛擬網路位於相同區域中，但可與裝置更新帳戶位於不同區域中。

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

您可以使用 az network private-endpoint delete 命令來刪除私人端點。

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

管理私人連結連線

當您建立等候手動核准的私人端點時，必須先核准連線才能使用。如果正要建立私人端點的資源位於目錄中，則在具有足夠權限的情況下，即可核准連線要求。如果正要連線到位於另一個目錄中的 Azure 資源，則必須等候該資源的擁有者核准連線要求。

佈建狀態有四種：

服務動作	服務取用者私人端點狀態	描述
None	待定	連線會手動建立並等待私人連結資源擁有者進行核准。
核准	核准	已自動或手動核准連線並可供使用。
拒絕	已拒絕	私人連結資源擁有者已拒絕連線。
移除	已中斷連接	私人連結資源擁有者已移除連線，而私人端點變成參考性，且應該刪除以進行清除。

Azure 入口網站
Azure CLI

檢閱來自裝置更新帳戶的擱置連線

在 Azure 入口網站中，瀏覽至您要管理的裝置更新帳戶。
選取 [網路] 索引標籤。
如果有任何暫止的連線，您會在佈建狀態中看到以 [擱置] 列出的連線。
使用核取方塊選取擱置連線，然後選取 [核准] 或 [拒絕]。

檢閱來自 Private Link 中心的擱置連線

在 Azure 入口網站中，瀏覽至 [Private Link 中心]>[擱置連線]。
使用核取方塊選取擱置連線，然後選取 [核准] 或 [拒絕]。

使用 az iot du account private-endpoint-connection set 命令來管理私人端點連線。