Vytvoření a konfigurace privátního koncového bodu pro IoT Central

  • Článek

Svá zařízení můžete k aplikaci IoT Central připojit pomocí privátního koncového bodu v Virtual Network Azure.

Privátní koncové body používají privátní IP adresy z adresního prostoru virtuální sítě k privátnímu připojení vašich zařízení k aplikaci IoT Central. Síťový provoz mezi zařízeními ve virtuální síti a platformou IoT prochází virtuální sítí a privátním propojením v páteřní síti Microsoftu, čímž eliminuje riziko ohrožení veřejného internetu. V tomto článku se dozvíte, jak vytvořit privátní koncový bod pro aplikaci IoT Central.

Požadavky

  • Musíte mít aktivní předplatné Azure. Pokud ještě nemáte předplatné Azure, vytvořte si napřed bezplatný účet.
  • Aplikace IoT Central. Další informace najdete v tématu Vytvoření aplikace IoT Central.
  • Virtuální síť ve vašem předplatném Azure. Další informace najdete v tématu Vytvoření virtuální sítě. K dokončení kroků v této příručce nepotřebujete hostitele Bastion ani virtuální počítače.

Vytvoření privátního koncového bodu

Existuje několik způsobů, jak vytvořit privátní koncový bod pro aplikaci IoT Central:

Vytvoření privátního koncového bodu pro existující aplikaci IoT Central:

  1. V Azure Portal přejděte k aplikaci a pak vyberte Sítě.

  2. Vyberte kartu Připojení privátního koncového bodu a pak vyberte + Privátní koncový bod.

  3. Na kartě Základy zadejte název a vyberte oblast pro privátní koncový bod. Pak vyberte Další: Prostředek.

  4. Karta Prostředek se automaticky otevře automaticky. Vyberte Další: Virtual Network.

  5. Na kartě Virtual Network vyberte virtuální síť a podsíť, do které chcete nasadit privátní koncový bod.

  6. Na stejné kartě v části Konfigurace privátní IP adresy vyberte Dynamicky přidělovat IP adresu.

  7. Vyberte Další: DNS.

  8. Na kartě DNS u možnosti Integrace s privátní zónou DNS vyberte Ano. Privátní DNS překládá všechny požadované koncové body na privátní IP adresy ve vaší virtuální síti:

    Snímek obrazovky z Azure Portal znázorňující integraci privátního DNS

    Poznámka

    Vzhledem k možnostem automatického škálování ve službě IoT Central byste měli použít možnost Privátní DNS integrace, pokud je to vůbec možné. Pokud z nějakého důvodu tuto možnost nemůžete použít, přečtěte si téma Použití vlastního serveru DNS.

  9. Vyberte Další: Značky.

  10. Na kartě Značky nakonfigurujte požadované značky a pak vyberte Další: Zkontrolovat a vytvořit.

  11. Zkontrolujte podrobnosti o konfiguraci a pak výběrem možnosti Vytvořit vytvořte prostředek privátního koncového bodu.

Snímek obrazovky z Azure Portal se souhrnem vytvoření privátního koncového bodu

Ověření vytvoření privátního koncového bodu

Po vytvoření privátního koncového bodu k němu budete mít přístup v Azure Portal.

Zobrazení všech privátních koncových bodů vytvořených pro vaši aplikaci:

  1. V Azure Portal přejděte k aplikaci IoT Central a pak vyberte Sítě.

  2. Vyberte kartu Připojení privátního koncového bodu . Tabulka obsahuje všechny privátní koncové body vytvořené pro vaši aplikaci.

Použití vlastního serveru DNS

V některých situacích nemusí být možné provést integraci se zónou privátního DNS virtuální sítě. Můžete například použít vlastní server DNS nebo vytvořit záznamy DNS pomocí souborů hostitele na virtuálních počítačích. Tato část popisuje, jak se dostat k zónám DNS.

  1. Nainstalujte chocolatey.

  2. Instalace ARMClient:

    choco install armclient

  3. Přihlaste se pomocí ARMClient:

    armclient login

  4. Pomocí následujícího příkazu získejte zóny privátního DNS pro vaši aplikaci IoT Central. Zástupné symboly nahraďte podrobnostmi o vaší aplikaci IoT Central:

    armclient GET /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources?api-version=2021-11-01-preview

  5. Zkontrolujte odpověď. Požadované zóny DNS jsou v requiredZoneNames poli v datové části odpovědi:

    {  
  "value": [  
    {  
      "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources/iotApp",  
      "name": "ioTApp",  
      "type": "Microsoft.IoTCentral/IoTApps/privateLinkResources",  
      "location": "<the region of your application>",  
      "properties": {  
      "groupId": "iotApp",  
      "requiredMembers":[  
        "<IoTCentral Name>",  
        "<DPS Name>",  
        "<IoTHub1 Name>",  
        "<IoTHub2 Name>",  
        "<EH1 Name>",  
        "<EH2 Name>"],  
      "requiredZoneNames": [  
        "privatelink.azureiotcentral.com",  
        "privatelink.azure-devices.net",  
        "privatelink.servicebus.windows.net",  
        "privatelink.azure-devices-provisioning.net"],  
      "provisioningState": "Succeeded"}  
    }  
  ]  
}

  6. V Azure Portal přejděte k privátnímu koncovému bodu a vyberte Konfigurace DNS. Na této stránce najdete požadované informace pro mapování IP adresy na název DNS.

Snímek obrazovky z Azure Portal znázorňující konfiguraci privátního DNS

Upozornění

Tyto informace vám umožní naplnit vlastní server DNS potřebnými záznamy. Pokud je to možné, měli byste se integrovat s privátními zónami DNS virtuální sítě a nekonfigurovat vlastní server DNS. Privátní koncové body pro aplikace IoT Central se liší od ostatních služeb Azure PaaS. V některých situacích, jako je automatické škálování IoT Central, služba IoT Central škáluje na více instancí počet ioT Hubů, které jsou přístupné prostřednictvím privátního koncového bodu. Pokud se rozhodnete naplnit vlastní server DNS, je vaší zodpovědností aktualizovat záznamy DNS při každém automatickém škálování služby IoT Central a později odebrat záznamy, když se počet ioT Hubů škáluje.

Omezení veřejného přístupu

Pokud chcete omezit veřejný přístup vašich zařízení k IoT Central, vypněte přístup z veřejných koncových bodů. Po vypnutí veřejného přístupu se zařízení nemůžou připojit k IoT Central z veřejných sítí a musí používat privátní koncový bod:

  1. V Azure Portal přejděte k aplikaci IoT Central a pak vyberte Sítě.

  2. Na kartě Veřejný přístup vyberte Zakázáno pro přístup z veřejné sítě.

  3. Volitelně můžete definovat seznam IP adres nebo rozsahů, které se můžou připojit k veřejnému koncovému bodu aplikace IoT Central.

  4. Vyberte Uložit.

Připojení k privátnímu koncovému bodu

Když pro aplikaci IoT Central zakážete veřejný síťový přístup, vaše zařízení se nebudou moct připojit ke globálnímu koncovému bodu služby Device Provisioning Service (DPS). K tomu dochází, protože jediný plně kvalifikovaný název domény pro DPS má ve vaší virtuální síti přímou IP adresu. Globální koncový bod je teď nedostupný.

Když pro aplikaci IoT Central nakonfigurujete privátní koncový bod, koncový bod služby IoT Central se aktualizuje tak, aby odrážel přímý koncový bod DPS.

Aktualizujte kód zařízení tak, aby používal přímý koncový bod DPS.

Snímek obrazovky z aplikace IoT Central zobrazící přímý koncový bod DPS

Osvědčené postupy

  • Nepoužívejte adresy URL subdomény privátního propojení k připojení zařízení k IoT Central. Po vytvoření privátního koncového bodu vždy používejte adresu URL DPS, která se zobrazuje v aplikaci IoT Central.

  • Použití privátních zón DNS poskytovaných Azure pro správu DNS Nepoužívejte vlastní server DNS, protože byste museli neustále aktualizovat konfiguraci DNS, abyste udrželi krok s automatickým škálováním svých prostředků ioT Central.

  • Pokud vytvoříte více privátních koncových bodů pro stejný prostředek IoT Central, zóna DNS může přepsat plně kvalifikované názvy domén, takže byste je měli znovu přidat.

Omezení

  • V současné době je privátní připojení povolené pouze pro připojení zařízení k podkladovým centrům IoT a DPS v aplikaci IoT Central. Webové uživatelské rozhraní a rozhraní API ioT Central nadále fungují prostřednictvím svých veřejných koncových bodů.

  • Privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť.

  • Když zakážete veřejný síťový přístup:

    • Simulovaná zařízení IoT Central nefungují, protože nemají připojení k vaší virtuální síti.

    • Globální koncový bod DPS (global.device-provisioning.net) není přístupný. Aktualizujte firmware zařízení pro připojení k přímé instanci DPS. Přímou adresu URL služby DPS najdete na stránce Skupiny připojení zařízení v aplikaci IoT Central.

  • Po konfiguraci privátního koncového bodu nemůžete aplikaci IoT Central přejmenovat.

  • Privátní koncový bod nebo aplikaci IoT Central nemůžete přesunout do jiné skupiny prostředků nebo předplatného.

  • Podpora je omezená na protokol IPv4. Protokol IPv6 se nepodporuje.

Řešení potíží

Pokud máte potíže s připojením k privátnímu koncovému bodu, použijte následující doprovodné materiály k řešení potíží:

Kontrola stavu připojení

Ujistěte se, že je stav připojení vašeho privátního koncového bodu nastavený na schválené.

  1. V Azure Portal přejděte k aplikaci a pak vyberte Sítě.
  2. Vyberte kartu Připojení privátních koncových bodů . Ověřte, že je připojení vašeho privátního koncového bodu ve stavu Schváleno .

Spuštění kontrol ve virtuální síti

K prozkoumání problémů s připojením ze stejné virtuální sítě použijte následující kontroly. Nasaďte virtuální počítač ve stejné virtuální síti, ve které jste vytvořili privátní koncový bod. Přihlaste se k virtuálnímu počítači a spusťte následující testy.

Pokud se chcete ujistit, že překlad ip adres funguje správně, iterujte všechny plně kvalifikované názvy domén v konfiguraci DNS privátního koncového bodu a spusťte testy pomocí nslookup, Test-NetConnectionnebo jiných podobných nástrojů, abyste ověřili, že každý DNS odpovídá své odpovídající IP adrese.

Kromě toho spuštěním následujícího příkazu ověřte, že název DNS každého plně kvalifikovaného názvu domény odpovídá odpovídající IP adrese.

#replace the <...> placeholders with the correct values 
nslookup iotc-….azure-devices.net

Výsledek vypadá jako následující výstup:

#Results in the following output: 
Server:127.0.0.53 
Address:127.0.0.53#53 

Non-authoritative answer: xyz.azure-devices.net
canonical name = xyz.privatelink.azure-devices.net
Name:xyz.privatelink.azure-devices.net
Address: 10.1.1.12

Pokud najdete plně kvalifikovaný název domény, který neodpovídá své odpovídající IP adrese, opravte vlastní server DNS. Pokud nepoužíváte vlastní server DNS, vytvořte lístek podpory.

Kontrola, jestli máte více privátních koncových bodů

Konfiguraci DNS je možné přepsat, pokud pro jednu aplikaci IoT Central vytvoříte nebo odstraníte více privátních koncových bodů:

  • V Azure Portal přejděte k prostředku privátního koncového bodu.
  • V části DNS se ujistěte, že existují položky pro všechny požadované prostředky: IoT Hubs, Event Hubs, DPS a Plně kvalifikované názvy domén ioT Central.
  • Ověřte, že se IP adresy (a IP adresy jiných privátních koncových bodů používajících tuto zónu DNS) projeví v záznamu A dns.
  • Odeberte všechny záznamy A pro IP adresy ze starších privátních koncových bodů, které už byly odstraněny.

Další tipy pro řešení potíží

Pokud i po vyzkoušení všech těchto kontrol stále dochází k problému, vyzkoušejte průvodce odstraňováním potíží s privátními koncovými body.

Pokud jsou všechny kontroly úspěšné a vaše zařízení stále nemůžou navázat připojení k IoT Central, obraťte se na tým zabezpečení společnosti zodpovědný za brány firewall a sítě obecně. Mezi možné důvody selhání patří:

  • Chybná konfigurace virtuální sítě Azure
  • Chybná konfigurace zařízení brány firewall
  • Chybná konfigurace tras definovaných uživatelem ve virtuální síti Azure
  • Chybně nakonfigurovaný proxy server mezi zařízením a prostředky IoT Central

Další kroky

Teď, když jste se naučili, jak vytvořit privátní koncový bod pro vaši aplikaci, je zde navrhovaný další krok:

Správa vaší aplikace