إشعار
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تسجيل الدخول أو تغيير الدلائل.
يتطلب الوصول إلى هذه الصفحة تخويلاً. يمكنك محاولة تغيير الدلائل.
تقدم هذه المقالة نمط الاتصال بالشبكة الافتراضية لأجهزة إنترنت الأشياء التي يتم توفيرها باستخدام مراكز إنترنت الأشياء باستخدام DPS. يوفر هذا النمط اتصالا خاصا بين الأجهزة، ونظام DPS، ومركز إنترنت الأشياء داخل شبكة Azure الافتراضية المملوكة للعملاء.
في معظم الحالات التي يتم فيها تكوين DPS بشبكة افتراضية، يتم تكوين مركز إنترنت الأشياء الخاص بك أيضا في نفس الشبكة الافتراضية. لمزيد من المعلومات حول دعم الشبكات الافتراضية وتكوينها لمراكز إنترنت الأشياء، راجع دعم مركز إنترنت الأشياء للشبكات الافتراضية مع Azure Private Link.
مقدمة
افتراضيا، تربط أسماء مضيفي DPS بنقطة نهاية عامة بعنوان IP قابل للتوجيه علنا عبر الإنترنت. هذه النقطة النهائية العامة مرئية لجميع العملاء. أجهزة إنترنت الأشياء عبر الشبكات واسعة النطاق والشبكات المحلية يمكنها محاولة الوصول إلى نقطة النهاية العامة.
لأسباب عدة، قد يرغب العملاء في تقييد الاتصال بموارد Azure، مثل DPS. وتشمل هذه الأسباب ما يلي:
منع التعرض للاتصال عبر الإنترنت العام. يمكن تقليل التعرض من خلال إدخال المزيد من طبقات الأمان عبر عزل مستوى الشبكة لمركز إنترنت الأشياء وموارد DPS
تمكين تجربة اتصال خاصة من أصول الشبكة المحلية الخاصة بك لضمان نقل بياناتك وحركة المرور مباشرة إلى شبكة Azure الأساسية.
منع هجمات الخروج من الشبكات المحلية الحساسة.
اتباع أنماط اتصال شاملة لمنطقة Azure باستخدام نقاط نهاية خاصة.
تشمل الأساليب الشائعة لتقييد الاتصال قواعد تصفية IP في DPS والشبكات الافتراضية مع نقاط نهاية خاصة. هدف هذه المقالة هو وصف نهج الشبكات الافتراضية ل DPS باستخدام نقاط النهاية الخاصة.
يمكن للأجهزة التي تعمل في شبكات محلية استخدام الشبكة الخاصة الافتراضية (VPN) أو الارتباط الخاص ExpressRoute للاتصال بشبكة افتراضية في Azure والوصول إلى موارد DPS عبر نقاط نهاية خاصة.
نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل شبكة افتراضية مملوكة للعميل يمكن من خلالها الوصول إلى مورد Azure. من خلال وجود نقطة نهاية خاصة لمورد DPS الخاص بك، يمكنك السماح للأجهزة التي تعمل داخل شبكتك الافتراضية بطلب التوفير من قبل مورد DPS الخاص بك دون السماح بحركة المرور إلى نقطة النهاية العامة. يمكن لكل مورد DPS دعم عدة نقاط نهاية خاصة، قد تكون كل واحدة منها موجودة في شبكة افتراضية في منطقة مختلفة.
المتطلبات الأساسية
قبل المتابعة، تأكد من استيفاء المتطلبات المسبقة التالية:
مورد DPS الخاص بك تم إنشاؤه بالفعل ومرتبطا بمراكز إنترنت الأشياء الخاصة بك. للحصول على إرشادات حول إعداد مورد DPS جديد، راجع Quickstart: إعداد خدمة توفير الأجهزة في IoT Hub باستخدام بوابة Azure
قمت بتوفير شبكة افتراضية لAzure مع شبكة فرعية يتم إنشاء نقطة النهاية الخاصة فيها. لمزيد من المعلومات، راجع Quickstart: إنشاء شبكة افتراضية في Azure.
بالنسبة للأجهزة التي تعمل داخل الشبكات المحلية، قم بإعداد شبكة خاصة افتراضية (VPN) أو ExpressRoute الخاصة بالمقارنة في شبكة Azure الافتراضية الخاصة بك.
قيود نقطة النهاية الخاصة
لاحظ القيود الحالية التالية لنظام DPS عند استخدام نقاط النهاية الخاصة:
نقاط النهاية الخاصة لا تعمل عندما يكون مورد DPS ومركز إنترنت الأشياء المرتبط في سحابات مختلفة. على سبيل المثال، Azure Government وAzure العالمي.
تستخدم نقاط النهاية الخاصة في DPS Azure Private Link، والتي تدعم فقط في المناطق العامة. لمزيد من المعلومات، راجع توفر Azure Private Link.
حاليا، لا تعمل سياسات التخصيص المخصصة مع Azure Functions for DPS عندما تكون دالة Azure مقفلة على شبكة افتراضية ونقاط نهاية خاصة.
دعم الشبكة الافتراضية الحالي ل DPS مخصص فقط لدخول البيانات إلى DPS. خروج البيانات، وهو حركة المرور من DPS إلى مركز إنترنت الأشياء، يستخدم آلية داخلية من خدمة إلى خدمة بدلا من شبكة افتراضية مخصصة. دعم إغلاق الخروج الكامل عبر الشبكة الافتراضية بين DPS وIoT Hub غير متوفر حاليا.
سياسة تخصيص أقل زمن استجابة تستخدم لتعيين جهاز إلى مركز إنترنت الأشياء ذو أقل زمن تأخير. سياسة التخصيص هذه ليست موثوقة في بيئة الشبكة الافتراضية.
تفعيل نقطة نهاية خاصة أو أكثر عادة يتطلب تعطيل الوصول العام إلى نسخة DPS الخاصة بك. بمجرد تعطيل الوصول العام، لا يمكنك استخدام بوابة Azure لإدارة التسجيلات. بدلا من ذلك، يمكنك إدارة التسجيلات باستخدام Azure CLI أو PowerShell أو واجهات برمجة التطبيقات الخدمية من الأجهزة داخل شبكة أو أكثر من الشبكات الافتراضية/نقاط النهاية الخاصة المهيأة على نسخة DPS.
عند استخدام نقاط النهاية الخاصة، نوصي بنشر DPS في إحدى المناطق التي تدعم مناطق التوفر. وإلا، فقد تشهد حالات DPS مع تفعيل نقاط النهاية الخاصة توافرا أقل أثناء الانقطاعات.
إشعار
النظر في إقامة البيانات:
يوفر DPS نقطة نهاية جهاز عالمية (global.azure-devices-provisioning.net). ومع ذلك، عند استخدام نقطة النهاية العالمية، قد يتم إعادة توجيه بياناتك خارج المنطقة التي تم إنشاء مثيل DPS فيها في البداية. لضمان وجود بيانات ضمن منطقة DPS الأولية، استخدم نقاط النهاية الخاصة.
إعداد نقطة نهاية خاصة
لإنشاء نقطة نهاية خاصة، اتبع الخطوات التالية:
في بوابة Azure، انتقل إلى مورد DPS الخاص بك.
في قائمة الخدمة، تحت الإعدادات، اختر تبويب الشبكات.
في قسم العمل، اختر تبويب الوصول الخاص ، ثم اختر + إنشاء نقطة نهاية خاصة.
في تبويب الأساسيات في صفحة إنشاء نقطة نهاية خاصة ، أدخل المعلومات المذكورة في الجدول التالي.
ميدان Value اشتراك اختر اشتراك Azure المرغوب ليحتوي على نقطة النهاية الخاصة. مجموعة الموارد اختر أو أنشئ مجموعة موارد لتحتوي على نقطة النهاية الخاصة. الاسم أدخل أي اسم لنقطة النهاية الخاصة. اسم واجهة الشبكة إذا رغبت، أدخل اسما لواجهة الشبكة لنقطة النهاية الخاصة بك. المنطقة اختر المنطقة لنقطة النهاية الخاصة. يجب أن تكون المنطقة المختارة هي نفسها المنطقة التي تحتوي على الشبكة الافتراضية، لكنها لا يجب أن تكون نفسها مثل مورد DPS. اختر التالي : المورد لتكوين المورد الذي تشير إليه نقطة النهاية الخاصة.
في تبويب الموارد في صفحة إنشاء نقطة نهاية خاصة ، أدخل المعلومات المذكورة في الجدول التالي.
ميدان Value اشتراك إذا لم يكن قد تم اختياره بالفعل، اختر اشتراك Azure الذي يحتوي على مورد DPS الذي تشير إليه نقطة النهاية الخاصة بك. نوع المورد إذا لم يكن قد تم اختياره بالفعل، اختر Microsoft.Devices/ProvisioningServices. Resource إذا لم يكن قد تم اختياره بالفعل، اختر مورد DPS الذي تربط به نقطة النهاية الخاصة. المورد الفرعي المستهدف اختر iotDps. تلميح
يتم توفير معلومات حول إعداد الاتصال بمورد Azure عبر معرف المورد أو الاسم المستعار في قسم طلب نقطة نهاية خاصة في هذا المقال.
اختر التالي: الشبكة الافتراضية لتكوين الشبكة الافتراضية لنقطة النهاية الخاصة.
في تبويب الشبكة الافتراضية في صفحة إنشاء نقطة نهاية خاصة ، اختر شبكتك الافتراضية وشبكتك الفرعية لإنشاء نقطة النهاية الخاصة.
اختر التالي : DNS لاختيار أي خيارات تكامل DNS خاصة تحتاجها لنقطة النهاية الخاصة بك.
في تبويب DNS في صفحة إنشاء نقطة نهاية خاصة ، اختر أي خيارات تكامل DNS خاصة تحتاجها لنقطة النهاية الخاصة بك.
اختر التالي : العلامات، ويمكنك اختيارك توفير أي علامات لمصدرك.
اختر التالي: مراجعة + إنشائ، ثم اختر إنشاء لإنشاء مورد نقطة النهاية الخاص بك.
استخدم نقاط النهاية الخاصة مع الأجهزة
لاستخدام نقاط النهاية الخاصة مع كود توفير الأجهزة، يجب أن يستخدم كود التوفير نقطة نهاية الخدمة الخاصة بمثيل DPS الخاص بك كما هو موضح في صفحة النظرة العامة لنسخة DPS الخاصة بك في بوابة Azure. نقطة نهاية الخدمة لها الشكل التالي.
<Your DPS Tenant Name>.azure-devices-provisioning.net
معظم الكود النموذجي المعروض في وثائقنا ومجموعات تطوير البرمجيات لدينا يستخدم نقطة نهاية الجهاز العالمية (global.azure-devices-provisioning.net) ونطاق التعريف لحل حالة DPS معينة. استخدم نقطة نهاية الخدمة بدلا من نقطة نهاية الجهاز العالمية عند الاتصال بمثيل DPS باستخدام نقاط نهاية خاصة لتوفير أجهزتك.
على سبيل المثال، عينة عميل الأجهزة (pro_dev_client_sample) في Azure IoT C SDK مصممة لاستخدام نقطة نهاية الجهاز العالمية كواجهة معلومات شاملة (global_prov_uri) في prov_dev_client_sample.c
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_RESULT, PROV_DEVICE_RESULT_VALUE);
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_REG_STATUS, PROV_DEVICE_REG_STATUS_VALUES);
static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";
}
PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(global_prov_uri, id_scope, prov_transport)) == NULL)
{
(void)printf("failed calling Prov_Device_Create\r\n");
لاستخدام العينة مع نقطة نهاية خاصة، سيتم تغيير الكود المميز في المثال السابق ليستخدم نقطة نهاية الخدمة لمورد DPS الخاص بك. على سبيل المثال، إذا كانت mydps.azure-devices-provisioning.netنقطة نهاية الخدمة لديك هي ، فإن الكود سيبدو كما يلي.
static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* service_uri = "mydps.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";
PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(service_uri, id_scope, prov_transport)) == NULL)
{
(void)printf("failed calling Prov_Device_Create\r\n");
}
طلب نقطة نهاية خاصة
يمكنك طلب نقطة نهاية خاصة إلى مثيل DPS بواسطة معرف المصدر. لتقديم هذا الطلب، تحتاج إلى مالك المورد من تزويدك بمعرف المورد.
يتم توفير معرف المورد في صفحة الخصائص لمورد DPS في بوابة Azure، كما هو موضح في لقطة الشاشة التالية.
أنذر
معرف المورد يحتوي على معرف الاشتراك.
بمجرد حصولك على معرف المورد، اتبع الخطوات في إعداد نقطة نهاية خاصة إلى الخطوة 3 في تبويب الموارد في صفحة إنشاء نقطة نهاية خاصة . اختر الاتصال بمورد Azure حسب معرف المورد أو الاسم المستعار وأدخل المعلومات في الجدول التالي.
ميدان Value معرف المورد أو الاسم المستعار أدخل معرف المورد الخاص بمورد DPS. المورد الفرعي المستهدف هنا يأتي دور iotDps رسالة طلب أدخل رسالة طلب لمالك مورد DPS.
على سبيل المثالPlease approve this new private endpointfor IoT devices in site 23 to access this DPS instanceاختر التالي: الشبكة الافتراضية لتكوين الشبكة الافتراضية لنقطة النهاية الخاصة.
في تبويب الشبكة الافتراضية في صفحة إنشاء نقطة نهاية خاصة ، اختر شبكتك الافتراضية وشبكتك الفرعية لإنشاء نقطة النهاية الخاصة.
اختر التالي : DNS لاختيار أي خيارات تكامل DNS خاصة مطلوبة لطلب نقطة النهاية الخاصة بك.
في تبويب DNS في صفحة إنشاء نقطة نهاية خاصة ، اختر أي خيارات تكامل DNS خاصة مطلوبة لطلب نقطة النهاية الخاصة بك.
اختر التالي : العلامات، ويمكنك اختيارك توفير أي علامات لمصدرك.
اختر التالي: راجع + إنشائ، ثم اختر إنشاء لإنشاء طلب نقطة النهاية الخاص بك.
يرى مالك DPS طلب نقطة النهاية الخاص في قائمة اتصالات نقاط النهاية الخاصة في صفحة الشبكات في مثيل DPS في بوابة Azure. في تلك الصفحة، يمكن للمالك الموافقة أو رفض طلب نقطة النهاية الخاصة.
تسعير نقاط النهاية الخاصة
للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.
الخطوات التالية
تعرف على المزيد حول ميزات أمان DPS: