Obsługa usługi IoT Hub dla sieci wirtualnych za pomocą usługi Azure Private Link

Domyślnie nazwy hostów usługi IoT Hub są przypisywane do publicznego punktu końcowego z publicznym adresem IP, dostępnym przez internet. Różni klienci współdzielą ten publiczny punkt końcowy usługi IoT Hub, a wszystkie urządzenia IoT w sieciach WAN i lokalnych mogą uzyskiwać do niego dostęp.

Niektóre funkcje usługi IoT Hub, w tym routing komunikatów, przekazywanie plików i zbiorcze importowanie/eksportowanie urządzeń, również wymagają łączności z usługi IoT Hub do zasobu platformy Azure należącego do klienta za pośrednictwem publicznego punktu końcowego. Te ścieżki łączności tworzą ruch wychodzący z usługi IoT Hub do zasobów klientów.

Możesz ograniczyć łączność z zasobami platformy Azure (w tym z usługą IoT Hub) za pośrednictwem sieci wirtualnej, której jesteś właścicielem i którą zarządzasz, z kilku powodów, w tym:

• Wprowadzenie izolacji sieci dla centrum urządzeń IoT poprzez uniemożliwienie dostępu do publicznego internetu.

• Włączenie środowiska łączności prywatnej z zasobów sieci lokalnej, co gwarantuje, że transmisja danych i ruchu sieciowego odbywa się bezpośrednio do sieci szkieletowej platformy Azure.

• Zapobieganie atakom eksfiltracji z poufnych sieci lokalnych.

• Korzystanie ze sprawdzonych wzorców łączności platformy Azure przy użyciu prywatnych punktów końcowych.

W tym artykule opisano sposób osiągnięcia tych celów przy użyciu usługi Azure Private Link na potrzeby łączności przychodzącej z usługą IoT Hub i używania wyjątku zaufanych usług firmy Microsoft w przypadku łączności wychodzącej z usługi IoT Hub do innych zasobów platformy Azure.

Łączność dla ruchu przychodzącego do IoT Hub z wykorzystaniem Azure Private Link

Prywatny punkt końcowy to prywatny adres IP przydzielony wewnątrz sieci wirtualnej należącej do klienta, za pośrednictwem której można uzyskać dostęp do zasobu platformy Azure. Za pomocą usługi Azure Private Link możesz skonfigurować prywatny punkt końcowy centrum IoT, aby umożliwić usługom w sieci wirtualnej dotarcie do usługi IoT Hub bez konieczności wysyłania ruchu do publicznego punktu końcowego usługi IoT Hub. Podobnie urządzenia lokalne mogą używać usługi Azure VPN Gateway lub peeringu usługi Azure ExpressRoute w celu uzyskania łączności z wirtualną siecią i hubem IoT (poprzez jego prywatny punkt końcowy). W związku z tym można ograniczyć lub całkowicie zablokować łączność z publicznymi punktami końcowymi centrum IoT Hub przy użyciu filtru adresów IP usługi IoT Hub lub przełącznika dostępu do sieci publicznej. Takie podejście zapewnia łączność z centrum przy użyciu prywatnego punktu końcowego dla urządzeń. Głównym celem tej konfiguracji jest obsługa urządzeń znajdujących się w sieci lokalnej. Ta konfiguracja nie jest zalecana w przypadku urządzeń wdrożonych w sieci rozległej.

Przed kontynuowaniem upewnij się, że spełnione są następujące wymagania wstępne:

• Utworzono sieć wirtualną platformy Azure z podsiecią, w której ma zostać utworzony prywatny punkt końcowy.

• W przypadku urządzeń, które działają w sieciach lokalnych, skonfiguruj usługę Azure VPN Gateway lub prywatną komunikację równorzędną usługi Azure ExpressRoute z siecią wirtualną platformy Azure.

Konfigurowanie prywatnego punktu końcowego dla ruchu przychodzącego usługi IoT Hub

Prywatne punkty końcowe działają dla interfejsów API urządzeń IoT Hub (takich jak komunikaty z urządzenia do chmury) i interfejsów API usługowych (takich jak tworzenie i aktualizowanie urządzeń).

1. W witrynie Azure Portal przejdź do centrum IoT Hub.

2. W okienku po lewej stronie w obszarze Ustawienia zabezpieczeń wybierz pozycję Dostępprywatnydo sieci>, a następnie wybierz pozycję Utwórz prywatny punkt końcowy.

   

3. Podaj subskrypcję, grupę zasobów, nazwę, nazwę interfejsu sieciowego i region, aby utworzyć nowy prywatny punkt końcowy. Najlepiej jest utworzyć prywatny punkt końcowy w tym samym regionie co centrum.

4. Wybierz pozycję Dalej: zasób i podaj subskrypcję zasobu usługi IoT Hub. Następnie wybierz Microsoft.Devices/IotHubs jako typ zasobu, nazwę swojego centrum IoT jako zasób i iotHub jako docelowy podzasób.

5. Wybierz pozycję Dalej: Sieć wirtualna i podaj sieć wirtualną i podsieć, aby utworzyć prywatny punkt końcowy.

6. Wybierz pozycję Dalej: DNS i wybierz opcję integracji z prywatną strefą DNS, jeśli jest to konieczne.

7. Wybierz pozycję Dalej: Tagi i opcjonalnie podaj tagi zasobu.

8. Wybierz pozycję Dalej: Przejrzyj i utwórz , aby przejrzeć szczegóły zasobu łącza prywatnego, a następnie wybierz pozycję Utwórz , aby utworzyć zasób.

Wbudowany punkt końcowy zgodny z usługą Event Hubs

Dostęp do wbudowanego punktu końcowego zgodnego z usługą Event Hubs można również uzyskać za pośrednictwem prywatnego punktu końcowego. Po skonfigurowaniu łącza prywatnego powinna zostać wyświetlona nowa konfiguracja połączenia dla prywatnego punktu końcowego oraz wbudowanego punktu końcowego. To ten z servicebus.windows.net w nazwie FQDN.

Filtr adresów IP usługi IoT Hub może opcjonalnie kontrolować dostęp publiczny do wbudowanego punktu końcowego.

Aby całkowicie zablokować dostęp do sieci publicznej do centrum IoT Hub, wyłącz dostęp do sieci publicznej lub użyj filtru IP, aby zablokować cały adres IP i wybrać opcję stosowania reguł do wbudowanego punktu końcowego.

Cennik usługi Private Link

Aby uzyskać szczegółowe informacje o cenach, zobacz Cennik usługi Azure Private Link.

Łączność wychodząca z usługi IoT Hub do innych zasobów platformy Azure

Usługa IoT Hub może nawiązać połączenie z magazynem obiektów blob platformy Azure, centrum zdarzeń i zasobami magistrali usług w celu routingu komunikatów, przekazywania plików i zbiorczego importowania/eksportowania urządzeń za pośrednictwem publicznego punktu końcowego zasobów. Powiązanie zasobu z siecią wirtualną blokuje domyślnie łączność z zasobem. W rezultacie ta konfiguracja uniemożliwia IoT hubom wysyłanie danych do twoich zasobów. Aby rozwiązać ten problem, włącz łączność z zasobu usługi IoT Hub do konta magazynu, centrum zdarzeń lub zasobów usługi Service Bus za pośrednictwem opcji zaufanej usługi firmy Microsoft .

Aby umożliwić innym usługom znajdowanie centrum IoT jako zaufanej usługi firmy Microsoft, centrum musi używać tożsamości zarządzanej. Po skonfigurowaniu tożsamości zarządzanej, przyznaj uprawnienia tożsamości zarządzanej Twojego centrum, aby uzyskać dostęp do niestandardowego punktu końcowego. Postępuj zgodnie z procedurami podanymi w Obsługa tożsamości zarządzanych przez IoT Hub, aby skonfigurować tożsamość zarządzaną przy użyciu uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure i dodać niestandardowy punkt końcowy do IoT Hub. Aby zezwolić Twoim centrom IoT na dostęp do niestandardowego punktu końcowego, upewnij się, że włączysz wyjątek zaufanej usługi pierwszej strony Microsoft, jeśli masz włączone konfiguracje zapory sieciowej.

Cennik opcji zaufanej usługi firmy Microsoft

Funkcja wyjątków zaufanych usług firmy Microsoft jest bezpłatna. Opłaty za aprowizowane konta magazynu, centra zdarzeń lub zasoby usługi Service Bus są naliczane oddzielnie.

Dalsze kroki

Skorzystaj z poniższych linków, aby dowiedzieć się więcej o funkcjach usługi IoT Hub:

• Używanie routingu komunikatów usługi IoT Hub do wysyłania komunikatów z urządzenia do chmury do usług platformy Azure
• Przekazywanie plików za pomocą usługi IoT Hub
• Zbiorcze importowanie i eksportowanie tożsamości urządzeń usługi IoT Hub