أمان الشبكة لتحديث الجهاز لموارد IoT Hub
توضح هذه المقالة كيفية استخدام ميزات أمان الشبكة التالية عند إدارة تحديثات الجهاز:
- علامات الخدمة في مجموعات أمان الشبكة وجدران حماية Azure
- نقاط النهاية الخاصة في شبكات Azure الظاهرية
هام
تعطيل الوصول إلى الشبكة العامة في مركز IoT المرتبط غير مدعوم بواسطة تحديث الجهاز.
علامات الخدمة
تمثل علامة الخدمة مجموعة من بادئات عنوان IP من خدمة Azure معينة. تقوم Microsoft بإدارة بادئات العناوين التي تشملها علامة الخدمة، كما تقوم بتحديث علامة الخدمة تلقائيًا مع تغيير العناوين، ما يقلل من تعقيد التحديثات المتكررة لقواعد أمان الشبكة. لمزيد من المعلومات حول علامات الخدمة، راجع نظرة عامة على علامات الخدمة.
يمكنك استخدام علامات الخدمة لتعريف عناصر التحكم في الوصول إلى الشبكة على مجموعات أمان الشبكة أو Azure Firewall. استخدم علامات الخدمة بدلاً من عناوين IP معينة عند إنشاء قواعد الأمان. من خلال تحديد اسم علامة الخدمة (على سبيل المثال، AzureDeviceUpdate) في حقل المصدر أو الوجهة المناسب لقاعدة ما، يمكنك السماح بحركة المرور للخدمة المقابلة أو رفضها.
| علامة الخدمة | الغرض | هل يمكن استخدام الوارد أو الصادر؟ | هل يمكن أن تكون إقليمية؟ | هل يمكن استخدامها مع جدار Azure Firewall؟ |
|---|---|---|---|---|
| AzureDeviceUpdate | قم بتحديث الأجهزة لـ IoT Hub. | كلاهما | لا | نعم |
نطاقات IP الإقليمية
نظرا لأن قواعد IoT Hub IP لا تدعم علامات الخدمة، يجب عليك استخدام بادئات IP لعلامة الخدمة AzureDeviceUpdate بدلا من ذلك. نظرا لأن هذه العلامة عمومية حاليا، فإننا نقدم الجدول التالي للراحة. يرجى ملاحظة أن الموقع هو موقع موارد تحديث الجهاز.
| الموقع | نطاقات IP |
|---|---|
| شرق أستراليا | 20.211.71.192/26,20.53.47.16/28,20.70.223.192/26,104.46.179.224/28,20.92.5.128/25,20.92.5.128/26 |
| شرق الولايات المتحدة | 20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28,20.59.77.64/26,20.59.81.64/26,20.66.3.208/28 |
| شرق الولايات المتحدة 2 | 20.119.155.192/26,20.62.59.16/28,20.98.195.192/26,20.40.229.32/28,20.98.148.192/26,20.98.148.64/26 |
| شرق الولايات المتحدة 2 EUAP | 20.47.236.192/26,20.47.237.128/26,20.51.20.64/28,20.228.1.0/26,20.45.241.192/26,20.46.11.192/28 |
| شمال أوروبا | 20.223.64.64/26,52.146.136.16/28,52.146.141.64/26,20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26 |
| جنوب وسط الولايات المتحدة | 20.65.133.64/28,20.97.35.64/26,20.97.39.192/26,20.125.162.0/26,20.49.119.192/28,20.51.7.64/26 |
| جنوب شرق آسيا | 20.195.65.112/28,20.195.87.128/26,20.212.79.64/26,20.195.72.112/28,20.205.49.128/26,20.205.67.192/26 |
| منطقة السويد الوسطى | 20.91.144.0/26,51.12.46.112/28,51.12.74.192/26,20.91.11.64/26,20.91.9.192/26,51.12.198.96/28 |
| جنوب المملكة المتحدة | 20.117.192.0/26,20.117.193.64/26,51.143.212.48/28,20.58.67.0/28,20.90.38.128/26,20.90.38.64/26 |
| غرب أوروبا | 20.105.211.0/26,20.105.211.192/26,20.61.102.96/28,20.86.93.128/26,20.223.64.64/26,52.146.136.16/28,52.146.141.64/26 |
| منطقة غرب الولايات المتحدة الأمريكية 2 | 20.125.0.128/26,20.125.4.0/25,20.51.12.64/26,20.83.222.128/26,20.69.0.112/28,20.69.4.128/26,20.69.4.64/26,20.69.8.192/26 |
| West US 3 | 20.118.138.192/26,20.118.141.64/26,20.150.244.16/28,20.119.27.192/26,20.119.28.128/26,20.62.132.240/28,20.62.135.128/27,20.62.135.160/28 |
ملاحظة
من غير المحتمل أن تتغير بادئات IP أعلاه ولكن يجب عليك مراجعة القائمة مرة واحدة في الشهر.
نقاط النهاية الخاصة
يمكنك استخدام نقاط النهاية الخاصة للسماح بحركة المرور من شبكتك الافتراضية إلى تحديث جهازك بأمان عبر رابط خاص دون المرور عبر الإنترنت العام. نقطة النهاية الخاصة هي واجهة شبكة خاصة لخدمة Azure في VNet الخاص بك. عند إنشاء نقطة نهاية خاصة لتحديث جهازك، فإنه يوفر اتصالًا آمنًا بين العملاء على VNet خاصتك وحساب تحديث جهازك. يتم تعيين عنوان IP لنقطة النهاية الخاصة من نطاق عنوان IP لشبكة VNet خاصتك. يستخدم الاتصال بين نقطة النهاية الخاصة وخدمات تحديث جهازك رابطًا خاصًا آمنًا.
يمكّنك استخدام نقاط النهاية الخاصة لمورد Device Update من:
- الوصول الآمن إلى حساب Device Update خاصتك من VNet عبر شبكة Microsoft الأساسية بدلاً من الإنترنت العام.
- الاتصال الآمن من الشبكات المحلية التي تتصل بشبكة VNet باستخدام VPN أو المسارات السريعة مع التناظر الخاص.
عند إنشاء Device Update لموضوع أو مجال في VNet الخاص بك، يتم إرسال طلب موافقة للموافقة عليها إلى مالك المورد. إذا كان المستخدم الذي يطلب إنشاء نقطة النهاية الخاصة هو أيضًا مالكًا للحساب، يتم قبول طلب الموافقة هذا تلقائيًا. وبخلاف ذلك، يكون الاتصال في حالة معلقة حتى تتم الموافقة عليه. يمكن للتطبيقات في VNet الاتصال بخدمة Device Update عبر نقطة النهاية الخاصة بسلاسة، باستخدام نفس اسم المضيف وآليات التفويض التي قد يستخدمونها بطريقة أخرى. يمكن لمالكي الحساب إدارة طلبات الموافقة ونقاط النهاية الخاصة، من خلال علامة التبويب نقاط النهاية الخاصة للمورد في مدخل Azure.
الاتصال بنقاط النهاية الخاصة
يجب على العملاء على VNet المستخدمين لنقطة نهاية خاصة استخدام نفس اسم مضيف الحساب وآليات التفويض مثل العملاء الذين يتصلون بنقطة النهاية العامة. يقوم تحليل DNS تلقائياً بتوجيه الاتصالات من VNet إلى الحساب عبر ارتباط خاص. ينشئ Device Update منطقة DNS خاصة مرتبطة بـ VNet مع التحديث الضروري لنقاط النهاية الخاصة، افتراضياً. ومع ذلك، إذا كنت تستخدم خادم DNS الخاص بك، فقد تحتاج إلى إجراء تغييرات إضافية على تكوين DNS لديك.
تغييرات DNS لنقاط النهاية الخاصة
عند إنشاء نقطة نهاية خاصة، يتم تحديث سجل DNS CNAME للمورد إلى اسم مستعار في مجال فرعي بالبادئة privatelink. بشكل افتراضي، يتم إنشاء منطقة DNS خاصة تتوافق مع المجال الفرعي للارتباط الخاص.
عندما تقوم بحل عنوان URL لنقطة نهاية الحساب من خارج VNet بنقطة النهاية الخاصة، فإنه يتحول إلى نقطة النهاية العامة للخدمة. ستكون سجلات موارد DNS لـ "Contoso" الخاص بالحساب ، عند حلها من خارج VNet التي تستضيف نقطة النهاية الخاصة، كما يلي:
| الاسم | النوع | القيمة |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | <ملف تعريف مدير نسبة استخدام الشبكة لـ Azure> |
عند حلها من استضافة VNet لنقطة النهاية الخاصة، يحل الـ URL الخاص بنقطة نهاية الحساب إلى عنوان IP الخاص بنقطة النهاية الخاصة. ستكون سجلات موارد DNS لـ "Contoso" الخاص بالحساب، عند حلها من داخل VNet التي تستضيف نقطة النهاية الخاصة، كما يلي:
| الاسم | النوع | القيمة |
|---|---|---|
contoso.api.adu.microsoft.com |
CNAME | contoso.api.privatelink.adu.microsoft.com |
contoso.api.privatelink.adu.microsoft.com |
CNAME | 10.0.0.5 |
يتيح هذا الأسلوب الوصول إلى للحساب للعملاء على شبكة VNet التي تستضيف نقاط النهاية الخاصة والعملاء خارج شبكة VNet.
إذا كنت تستخدم خادم DNS مخصصًا على شبكتك، فيمكن للعملاء حل FQDN لحساب التحديث الخاص بالجهاز إلى عنوان IP الخاص بنقطة النهاية. يجب تكوين خادم DNS الخاص بك لتفويض المجال الفرعي للارتباط الخاص إلى منطقة DNS الخاصة لشبكة VNet أو تكوين سجلات A لـ accountName.api.privatelink.adu.microsoft.com باستخدام عنوان IP الخاص بنقطة النهاية.
اسم منطقة DNS الموصى به هو privatelink.adu.microsoft.com.
نقاط النهاية الخاصة وإدارة تحديث الجهاز
ملاحظة
ينطبق هذا القسم فقط على حسابات تحديث الجهاز التي تم تعطيل الوصول إلى الشبكة العامة واتصالات نقطة النهاية الخاصة التي تمت الموافقة عليها يدويًا.
يصف الجدول التالي الحالات المختلفة لاتصال نقطة النهاية الخاصة والتأثيرات على إدارة تحديث الجهاز (الاستيراد والتجميع والنشر):
| حالة الاتصال | إدارة تحديثات الجهاز بنجاح (نعم/لا) |
|---|---|
| معتمد | نعم |
| مرفوض | لا |
| معلق | لا |
| قطع اتصال | لا |
لكي تكون إدارة التحديث ناجحة، يجب الموافقة على حالة اتصال نقطة النهاية الخاصة. إذا تم رفض الاتصال، فلا يمكن الموافقة عليه باستخدام مدخل Azure. الاحتمال الوحيد هو حذف الاتصال وإنشاء اتصال جديد بدلاً من ذلك.