دعم IoT Hub للشبكات الظاهرية باستخدام Azure Private Link

بشكل افتراضي، يتم تعيين أسماء مضيفي مركز إنترنت الأشياء إلى نقطة نهاية عامة بعنوان IP قابل للتوجيه بشكل عام عبر الإنترنت. يشترك عملاء مختلفون في نقطة النهاية العامة لـ IoT Hub، ويمكن لأجهزة IoT في شبكات المنطقة الواسعة والشبكات المحلية الوصول إليها جميعاً.

تتطلب بعض ميزات IoT Hub، بما في ذلك توجيه الرسائلوتحميل الملفاتواستيراد/تصدير الجهاز المجمع، أيضا الاتصال من IoT Hub إلى مورد Azure المملوك للعميل عبر نقطة النهاية العامة الخاصة به. تشكل مسارات الاتصال هذه نسبة استخدام الشبكة الخارجة من IoT Hub إلى موارد العملاء.

قد ترغب في تقييد الاتصال بموارد Azure (بما في ذلك IoT Hub) من خلال شبكة ظاهرية تملكها وتعمل بها لعدة أسباب، بما في ذلك:

• تقديم عزل الشبكة لمركز إنترنت الأشياء الخاص بك عن طريق منع تعرض الاتصال بالإنترنت العام.

• تمكين تجربة اتصال خاصة من أصول الشبكة المحلية، ما يضمن نقل بياناتك وحركة المرور مباشرة إلى شبكة Azure الأساسية.

• منع هجمات التسلل من الشبكات المحلية الحساسة.

• اتباع أنماط الاتصال المحددة على مستوى Azure باستخدام نقاط النهاية الخاصة.

توضح هذه المقالة كيفية تحقيق هذه الأهداف باستخدام Azure Private Link لدخول الاتصال بمركز إنترنت الأشياء واستخدام استثناء خدمات Microsoft الموثوق به لاتصال الخروج من مركز إنترنت الأشياء إلى موارد Azure الأخرى.

اتصال الدخول إلى مركز إنترنت الأشياء باستخدام Azure Private Link

نقطة النهاية الخاصة هي عنوان IP خاص مخصص داخل شبكة ظاهرية مملوكة للعميل يمكن من خلالها الوصول إلى مورد Azure. باستخدام Azure Private Link، يمكنك إعداد نقطة نهاية خاصة لمركز IoT للسماح للخدمات داخل VNet بالوصول إلى IoT Hub دون الحاجة إلى إرسال نسبة استخدام الشبكة إلى نقطة النهاية العامة ل IoT Hub. وبالمثل، يمكن لأجهزتك المحلية استخدام الشبكة الظاهرية الخاصة (VPN) أو نظير ExpressRoute للحصول على اتصال بشبكتك الظاهرية ومركز IoT الخاص بك (عبر نقطة النهاية الخاصة به). ونتيجة لذلك، يمكنك تقييد أو منع الاتصال بنقاط النهاية العامة لمركز إنترنت الأشياء باستخدام عامل تصفية IP لمركز إنترنت الأشياء أو تبديل الوصول إلى الشبكة العامة. يحافظ هذا الأسلوب على الاتصال بمركزك باستخدام نقطة النهاية الخاصة للأجهزة. التركيز الرئيسي لهذا الإعداد هو للأجهزة داخل شبكة محلية. لا ينصح بهذا الإعداد للأجهزة التي تم نشرها في شبكة واسعة النطاق.

قبل المتابعة تأكد من استيفاء الشروط الأساسية التالية:

• لقد أنشأت شبكة VNet Azure مع شبكة فرعية سيتم إنشاء نقطة النهاية الخاصة بها.

• بالنسبة للأجهزة التي تعمل في الشبكات المحلية، قم بإعداد الشبكة الخاصة الظاهرية (VPN) أو ExpressRoute الخاص الذي يطل على Azure VNet.

إعداد نقطة نهاية خاصة لدخول مركز إنترنت الأشياء

تعمل نقطة النهاية الخاصة مع واجهات برمجة تطبيقات جهاز IoT Hub (مثل الرسائل من جهاز إلى سحابة) وواجهات برمجة تطبيقات الخدمة (مثل إنشاء الأجهزة وتحديثها).

1. في مدخل Microsoft Azure توجه إلى مركز IoT.

2. حدد Networking>Private access، ثم حدد Create a private endpoint.

   

3. قم بتوفير الاشتراك ومجموعة الموارد والاسم والمنطقة لإنشاء نقطة النهاية الخاصة الجديدة. من الناحية المثالية، يجب إنشاء نقطة نهاية خاصة في نفس المنطقة مثل المركز الخاص بك.

4. حدد Next: Resource، وقم بتوفير الاشتراك لمورد IoT Hub، وحدد "Microsoft.Devices/IotHubs" كنوع مورد واسم مركز IoT كموردوiotHub كمورد فرعي مستهدف.

5. حدد Next: Configuration وقم بتوفير شبكتك الظاهرية والشبكة الفرعية لإنشاء نقطة النهاية الخاصة فيها. حدد خيار التكامل مع منطقة DNS الخاصة بـ Azure، إذا رغبت في ذلك.

6. حدد Next: Tags، وقم بتوفير أي علامات لموردك اختياريا.

7. حدد Review + create لإنشاء مورد الارتباط الخاص بك.

نقطة النهاية المتوافقة مع مراكز الأحداث المضمنة

يمكن أيضا الوصول إلى نقطة النهاية المتوافقة مع مراكز الأحداث المضمنة عبر نقطة النهاية الخاصة. عند تكوين ارتباط خاص، يجب أن تشاهد اتصال نقطة نهاية خاصة آخر لنقطة النهاية المضمنة. إنها تلك الموجودة servicebus.windows.netفي FQDN.

يمكن لعامل تصفية IP الخاص بمركز إنترنت الأشياء التحكم اختياريًا في وصول الجمهور إلى نقطة النهاية المضمنة.

لمنع الوصول إلى شبكة الاتصال العامة إلى لوحة وصول إنترنت الأشياء بشكل كامل، قم بإيقاف تشغيل الوصول إلى الشبكة العامة أو استخدم عامل تصفية IP لحظر كل IP وحدد خيار تطبيق القواعد على نقطة النهاية المضمنة.

تسعير الارتباط الخاص

للحصول على تفاصيل التسعير، راجع تسعير Azure Private Link.

اتصال الخروج من مركز إنترنت الأشياء إلى موارد Azure الأخرى

يمكن لمركز إنترنت الأشياء الاتصال بتخزين كائن ثنائي كبير الحجم من Azure ومركز الأحداث وموارد ناقل الخدمة لتوجيه الرسائلوتحميل الملفاتواستيراد/تصدير الجهاز المجمع عبر نقطة النهاية العامة للموارد. يؤدي ربط موردك بشبكة ظاهرية إلى حظر الاتصال بالمورد افتراضيًا. ونتيجة لذلك، يمنع هذا التكوين مراكز IoT من إرسال البيانات إلى مواردك. لإصلاح هذه المشكلة، قم بتمكين الاتصال من مورد مركز إنترنت الأشياء إلى حساب التخزين أو مركز الأحداث أو موارد ناقل الخدمة عبر خيار خدمة Microsoft الموثوق بها.

للسماح للخدمات الأخرى بالعثور على مركز IoT كخدمة Microsoft موثوق بها، يجب أن يستخدم المركز هوية مدارة. بمجرد توفير هوية مدارة، امنح الإذن للهوية المدارة لمركزك للوصول إلى نقطة النهاية المخصصة. اتبع المقالة دعم الهويات المدارة في IoT Hub لتوفير هوية مدارة باستخدام إذن التحكم في الوصول المستند إلى دور Azure (RBAC)، وإضافة نقطة النهاية المخصصة إلى مركز IoT الخاص بك. تأكد من تشغيل استثناء الطرف الأول الموثوق به من Microsoft للسماح لمراكز IoT بالوصول إلى نقطة النهاية المخصصة إذا كان لديك تكوينات جدار الحماية في مكانها.

تسعير خيار خدمة Microsoft الموثوق بها

ميزة استثناء خدمات الطرف الأول الموثوق بها من Microsoft مجانية. يتم تطبيق رسوم حسابات التخزين المتوفرة أو مراكز الأحداث أو موارد ناقل الخدمة بشكل منفصل.

الخطوات التالية

استخدم الارتباطات التالية لمعرفة المزيد حول ميزات IoT Hub:

• توجيه الرسائل
• تحميل الملفات
• استيراد/تصدير الأجهزة المجمعة