أمان الشبكة ل IoT Central باستخدام نقاط النهاية الخاصة
يتم الوصول إلى نقاط نهاية IoT Central القياسية لاتصال الجهاز باستخدام عناوين URL العامة. يمكن لأي جهاز له هوية صالحة الاتصال بتطبيق IoT Central الخاص بك من أي موقع.
استخدم نقاط النهاية الخاصة للحد من اتصال الجهاز بتطبيق IoT Central وتأمينه والسماح بالوصول فقط من خلال شبكتك الظاهرية الخاصة.
تستخدم نقاط النهاية الخاصة عناوين IP خاصة من مساحة عنوان شبكة ظاهرية لتوصيل أجهزتك بشكل خاص بتطبيق IoT Central. تعبر نسبة استخدام الشبكة بين الأجهزة على الشبكة الظاهرية والنظام الأساسي ل IoT الشبكة الظاهرية ورابطا خاصا على شبكة Microsoft الأساسية، مما يلغي التعرض على الإنترنت العام.
لمعرفة المزيد حول شبكات Azure الظاهرية، راجع:
تمكنك نقاط النهاية الخاصة في تطبيق IoT Central من:
- قم بتأمين نظام المجموعة الخاص بك عن طريق تكوين جدار الحماية لحظر جميع اتصالات الجهاز على نقطة النهاية العامة.
- زيادة الأمان للشبكة الظاهرية عن طريق تمكينك من حماية البيانات على الشبكة الظاهرية.
- قم بتوصيل الأجهزة ب IoT Central بأمان من الشبكات المحلية التي تتصل بالشبكة الظاهرية باستخدام بوابة VPN أو نظير ExpressRoute الخاص.
يعد استخدام نقاط النهاية الخاصة في IoT Central مناسبا للأجهزة المتصلة بشبكة محلية. يجب عدم استخدام نقاط النهاية الخاصة للأجهزة المنشورة في شبكة واسعة النطاق مثل الإنترنت.
ما هي نقطة النهاية الخاصة؟
نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في شبكتك الظاهرية التي تم تعيين عنوان (عناوين) IP لها من نطاق عناوين IP لشبكتك الظاهرية. توفر نقطة النهاية الخاصة اتصالا آمنا بين أجهزتك على الشبكة الظاهرية والنظام الأساسي ل IoT التي تتصل بها. يستخدم الاتصال بين نقطة النهاية الخاصة والنظام الأساسي ل Azure IoT ارتباطا خاصا آمنا:
يمكن للأجهزة المتصلة بالشبكة الظاهرية الاتصال بنظام المجموعة بسلاسة عبر نقطة النهاية الخاصة. آليات التخويل هي نفسها التي تستخدمها للاتصال بنقاط النهاية العامة. ومع ذلك، تحتاج إلى تحديث عنوان URL لاتصال DPS لأن عنوان URL لمضيف global.azure-devices-provisioning.net التوفير العمومي لا يحل عند تعطيل الوصول إلى الشبكة العامة للتطبيق الخاص بك.
عند إنشاء نقطة نهاية خاصة لمجموعة في شبكتك الظاهرية، يتم إرسال طلب موافقة للموافقة عليه من قبل مالك الاشتراك. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضا مالك الاشتراك، تتم الموافقة على الطلب تلقائيا. يمكن لمالكي الاشتراك إدارة طلبات الموافقة ونقاط النهاية الخاصة للمجموعة في مدخل Microsoft Azure، ضمن نقاط النهاية الخاصة.
يمكن لكل تطبيق IoT Central دعم نقاط نهاية خاصة متعددة، يمكن أن يكون كل منها موجودا في شبكة ظاهرية في منطقة مختلفة. إذا كنت تخطط لاستخدام نقاط نهاية خاصة متعددة، فاحرص بشكل إضافي على تكوين DNS وتخطيط حجم الشبكات الفرعية للشبكة الظاهرية.
تخطيط حجم الشبكة الفرعية في شبكتك الظاهرية
لا يمكن تغيير حجم الشبكة الفرعية في الشبكة الظاهرية بعد إنشاء الشبكة الفرعية. لذلك، من المهم التخطيط لحجم الشبكة الفرعية والسماح للنمو في المستقبل.
ينشئ IoT Central عدة أسماء FQDN مرئية للعملاء كجزء من نشر نقطة نهاية خاصة. بالإضافة إلى FQDN ل IoT Central، هناك FQDNs لمركز IoT الأساسي ومراكز الأحداث وموارد خدمة توفير الأجهزة.
تستخدم نقطة النهاية الخاصة ل IoT Central عناوين IP متعددة من شبكتك الظاهرية والشبكة الفرعية. أيضا، استنادا إلى ملف تعريف تحميل التطبيق، يقوم IoT Central بالتحجيم التلقائي لمراكز IoT الأساسية الخاصة به بحيث قد يزيد عدد عناوين IP المستخدمة من قبل نقطة نهاية خاصة. خطط لهذه الزيادة المحتملة عند تحديد حجم الشبكة الفرعية.
استخدم المعلومات التالية للمساعدة في تحديد العدد الإجمالي لعناوين IP المطلوبة في شبكتك الفرعية:
| استخدام | عدد عناوين IP لكل نقطة نهاية خاصة |
|---|---|
| IoT Central URL | 1 |
| مراكز IoT الأساسية | 2-50 |
| مراكز الأحداث المقابلة لمراكز IoT | 2-50 |
| خدمة توفير الأجهزة | 1 |
| عناوين Azure المحجوزة | 5 |
| الإجمالي | 11-107 |
لمعرفة المزيد، راجع الأسئلة المتداولة حول Azure Virtual Network.
إشعار
الحد الأدنى لحجم الشبكة الفرعية هو /28 (14 عنوان IP قابل للاستخدام). للاستخدام مع نقطة /24 نهاية خاصة ل IoT Central، مما يساعد في أحمال العمل القصوى.
الخطوات التالية
الآن بعد أن تعرفت على استخدام نقاط النهاية الخاصة لتوصيل الجهاز بتطبيقك، إليك الخطوة التالية المقترحة:
إنشاء نقطة نهاية خاصة لتطبيق Azure IoT Central.