Sdílet prostřednictvím

Zabezpečení sítě pro IoT Central s využitím privátních koncových bodů

  • Článek

Ke standardním koncovým bodům IoT Central pro připojení zařízení se přistupuje pomocí veřejných adres URL. Jakékoli zařízení s platnou identitou se může připojit k aplikaci IoT Central z libovolného umístění.

Privátní koncové body použijte k omezení a zabezpečení připojení zařízení k aplikaci IoT Central a povolte přístup pouze prostřednictvím privátní virtuální sítě.

Privátní koncové body používají privátní IP adresy z adresního prostoru virtuální sítě k privátnímu připojení zařízení k aplikaci IoT Central. Síťový provoz mezi zařízeními ve virtuální síti a platformou IoT prochází virtuální sítí a privátním propojením v páteřní síti Microsoftu, čímž se eliminuje vystavení na veřejném internetu.

Další informace o virtuálních sítích Azure najdete tady:

Privátní koncové body ve vaší aplikaci IoT Central umožňují:

  • Zabezpečte cluster konfigurací brány firewall tak, aby blokovala všechna připojení zařízení ve veřejném koncovém bodu.
  • Zvyšte zabezpečení virtuální sítě tím, že umožníte chránit data ve virtuální síti.
  • Bezpečně připojte zařízení ke službě IoT Central z místních sítí, které se připojují k virtuální síti pomocí brány VPN nebo privátního partnerského vztahu ExpressRoute.

Použití privátních koncových bodů v IoT Central je vhodné pro zařízení připojená k místní síti. Privátní koncové body byste neměli používat pro zařízení nasazená v síti široké oblasti, jako je internet.

Co je privátní koncový bod?

Privátní koncový bod je speciální síťové rozhraní pro službu Azure ve vaší virtuální síti, která má přiřazené IP adresy z rozsahu IP adres vaší virtuální sítě. Privátní koncový bod poskytuje zabezpečené připojení mezi vašimi zařízeními ve virtuální síti a platformou IoT, ke které se připojují. Připojení mezi privátním koncovým bodem a platformou Azure IoT používá zabezpečené privátní propojení:

Diagram znázorňující použití privátního koncového bodu

Zařízení připojená k virtuální síti se můžou bezproblémově připojit ke clusteru přes privátní koncový bod. Mechanismy autorizace jsou stejné, jaké byste použili pro připojení k veřejným koncovým bodům. Musíte ale aktualizovat adresu URL připojení DPS, protože globální adresa URL hostitele global.azure-devices-provisioning.net zřizování se nevyřeší, když je pro vaši aplikaci zakázaný přístup k veřejné síti.

Když vytvoříte privátní koncový bod pro cluster ve vaší virtuální síti, odešle se žádost o souhlas ke schválení vlastníkem předplatného. Pokud je uživatel, který žádá o vytvoření privátního koncového bodu, také vlastníkem předplatného, žádost se automaticky schválí. Vlastníci předplatného můžou spravovat žádosti o souhlas a privátní koncové body clusteru na webu Azure Portal v rámci privátních koncových bodů.

Každá aplikace IoT Central může podporovat více privátních koncových bodů, z nichž každá se může nacházet ve virtuální síti v jiné oblasti. Pokud plánujete používat více privátních koncových bodů, pečlivě nakonfigurujte DNS a naplánujte velikost podsítí virtuální sítě.

Plánování velikosti podsítě ve virtuální síti

Velikost podsítě ve vaší virtuální síti se po vytvoření podsítě nedá změnit. Proto je důležité naplánovat velikost podsítě a umožnit budoucí růst.

IoT Central vytvoří v rámci nasazení privátního koncového bodu několik viditelných plně kvalifikovaných názvů zákazníků. Kromě plně kvalifikovaného názvu domény pro IoT Central existují plně kvalifikované názvy domén pro podkladové prostředky služby IoT Hub, Event Hubs a Device Provisioning Service.

Snímek obrazovky z webu Azure Portal zobrazící viditelné plně kvalifikované názvy domén zákazníka

Privátní koncový bod IoT Central používá několik IP adres z vaší virtuální sítě a podsítě. IoT Central také na základě profilu zatížení aplikace automaticky škáluje své základní ioT Huby , aby se mohl zvýšit počet IP adres používaných privátním koncovým bodem. Pokud určíte velikost podsítě, naplánujte toto možné zvýšení.

Následující informace vám pomůžou určit celkový počet IP adres požadovaných ve vaší podsíti:

Používání Počet IP adres na privátní koncový bod
IoT Central URL 0
Podkladová centra IoT 2-50
Event Hubs odpovídající ioT Hubs 2-50
Device Provisioning Service 0
Rezervované adresy Azure 5
Celkem 11-107

Další informace najdete v nejčastějších dotazech ke službě Azure Virtual Network.

Poznámka:

Minimální velikost podsítě je /28 (14 použitelných IP adres). Pro použití s privátním koncovým bodem /24 IoT Central se doporučuje, což pomáhá s extrémními úlohami.

Další kroky

Teď, když jste se seznámili s používáním privátních koncových bodů pro připojení zařízení k aplikaci, tady je navrhovaný další krok:

Vytvořte privátní koncový bod pro aplikaci Azure IoT Central.