Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
De forma predeterminada, los nombres de host de IoT Hub se asignan a un punto de conexión público con una dirección IP enrutable públicamente a través de Internet. Diferentes clientes comparten este punto de conexión público de IoT Hub, que es accesible para todos los dispositivos de IoT a través de redes de área extensa y redes locales.
Algunas características de IoT Hub, incluido el enrutamiento de mensajes, la carga de archivos y la importación o exportación masiva de dispositivos, también requieren conectividad de IoT Hub a un recurso de Azure propiedad del cliente a través de su punto de conexión público. Estas rutas de conectividad componen el tráfico de salida de IoT Hub a los recursos del cliente.
Es posible que quiera restringir la conectividad a los recursos de Azure (incluido IoT Hub) a través de una red virtual que posee y opera por varias razones, entre las que se incluyen:
Introducción del aislamiento de red para IoT Hub evitando la exposición de la conectividad a la red pública de Internet.
Habilitación de una experiencia de conectividad privada desde los recursos de red locales, lo que garantiza que los datos y el tráfico se transmitan directamente a la red troncal de Azure.
Evitar ataques de exfiltración en redes confidenciales locales en las instalaciones.
Siguiendo los patrones de conectividad establecidos para toda Azure mediante puntos de conexión privados.
En este artículo se describe cómo lograr estos objetivos mediante Azure Private Link para la conectividad de entrada a IoT Hub y el uso de la excepción de servicios de Microsoft de confianza para la conectividad de salida de IoT Hub a otros recursos de Azure.
Conectividad de entrada a IoT Hub mediante Azure Private Link
Un punto de conexión privado es una dirección IP privada asignada dentro de una red virtual propiedad del cliente a través de la cual se puede acceder a un recurso de Azure. Con Azure Private Link, puede configurar un punto de conexión privado para ioT Hub para permitir que los servicios dentro de la red virtual lleguen a IoT Hub sin necesidad de enviar tráfico al punto de conexión público de IoT Hub. Del mismo modo, los dispositivos locales pueden usar el emparejamiento de Azure VPN Gateway o Azure ExpressRoute para obtener conectividad a la red virtual y el centro de IoT (a través de su punto de conexión privado). Como resultado, puede restringir o bloquear completamente la conectividad a los puntos de conexión públicos de IoT Hub mediante el filtro IP de IoT Hub o el botón de alternancia de acceso a la red pública. Este enfoque mantiene la conectividad con el centro mediante el punto de conexión privado para los dispositivos. El objetivo principal de esta configuración es para los dispositivos dentro de una red local. Esta configuración no se recomienda para los dispositivos implementados en una red de área extensa.
Antes de continuar, asegúrese de que se cumplen los siguientes requisitos previos:
Ha creado una red virtual de Azure con una subred en la que se va a crear el punto de conexión privado.
En el caso de los dispositivos que operan en redes locales, configure el emparejamiento privado de Azure VPN Gateway o Azure ExpressRoute en la red virtual de Azure.
Configuración de un punto de conexión privado para la entrada de IoT Hub
Los puntos de conexión privados funcionan para las API de dispositivo de IoT Hub (como mensajes de dispositivo a nube) y las API de servicio (como la creación y actualización de dispositivos).
En Azure Portal, navegue hasta su centro de IoT.
En el panel izquierdo, en Configuración de seguridad, seleccione Red>Acceso de Red Privado y, a continuación, seleccione Crear un punto de conexión privado.
Proporcione la suscripción, el grupo de recursos, el nombre, el nombre de la interfaz de red y la región para crear el nuevo punto de conexión privado. Idealmente, se debe crear un punto de conexión privado en la misma región que el centro.
Seleccione Siguiente: Recurso y proporcione la suscripción para el recurso de IoT Hub. A continuación, seleccione Microsoft.Devices/IotHubs para el tipo de recurso, el nombre del centro de IoT como recurso e iotHub como subrecurso de destino.
Seleccione Siguiente: Red virtual y proporcione la red virtual y la subred para crear el punto de conexión privado.
Seleccione Siguiente: DNS y seleccione la opción para integrar con la zona DNS privada, si lo desea.
Seleccione Siguiente: Etiquetas y, opcionalmente, proporcione etiquetas para el recurso.
Seleccione Siguiente: Revisar y crear para revisar los detalles del recurso de vínculo privado y, a continuación, seleccione Crear para crear el recurso.
Punto de conexión integrado compatible con Event Hubs
También se puede acceder al punto de conexión compatible con Event Hubs integrado a través del punto de conexión privado. Cuando se configura el vínculo privado, debería ver otra conexión de punto de conexión privado y configuración para el punto de conexión integrado. Es el que tiene servicebus.windows.net en FQDN.
De manera opcional, el filtro IP de IoT Hub puede controlar el acceso público al punto de conexión integrado.
Para bloquear completamente el acceso a la red pública al centro de IoT, desactive el acceso a la red pública o use el filtro IP para bloquear todas las direcciones IP y seleccione la opción para aplicar reglas al punto de conexión integrado.
Precios de Private Link
Para más información sobre los precios, consulte Precios de Azure Private Link.
Conectividad de salida de IoT Hub a otros recursos de Azure
IoT Hub puede conectar con los recursos de Azure Blob Storage, Event Hubs, Service Bus para el enrutamiento de mensajes, la carga de archivos y la importación/exportación en bloque de dispositivos a través del punto de conexión público de los recursos. Enlazar el recurso a una red virtual bloquea la conectividad con el recurso de forma predeterminada. Como resultado, esta configuración impide que los centros de IoT envíen datos a tus recursos. Para corregir este problema, habilite la conectividad desde su recurso de IoT Hub a su cuenta de almacenamiento, centro de eventos o recursos de Service Bus utilizando la opción servicio confiable de Microsoft.
Para permitir que otros servicios encuentren el centro de IoT como un servicio de Microsoft de confianza, el centro debe usar una identidad administrada. Una vez que se aprovisiona una identidad administrada, conceda permiso a la identidad administrada del centro para acceder al punto de conexión personalizado. Siga los procedimientos proporcionados en la compatibilidad de IoT Hub con identidades administradas para aprovisionar una identidad administrada con el permiso de control de acceso basado en rol (RBAC) de Azure y agregue el punto de conexión personalizado al centro de IoT. Para permitir que los centros de IoT accedan al punto de conexión personalizado, asegúrese de activar la excepción de terceros de Microsoft de confianza si tiene las configuraciones de firewall en vigor.
Precios de la opción de servicio de Microsoft de confianza
La función de excepción de servicios de primera parte de confianza de Microsoft es gratuita. Los cargos por las cuentas de almacenamiento aprovisionadas, centros de eventos o recursos de Service Bus se aplican por separado.
Pasos siguientes
Use los vínculos siguientes para obtener más información sobre las características de IoT Hub: