Konfigurace privátních koncových bodů pro účty služby Device Update pro účty ioT Hubu

Privátní koncové body můžete použít k tomu, abyste umožnili provoz přímo z vaší virtuální sítě do vašeho účtu bezpečně přes privátní propojení bez průchodu přes veřejný internet. Privátní koncový bod používá IP adresu z adresního prostoru virtuální sítě pro váš účet. Další koncepční informace najdete v tématu Zabezpečení sítě.

Tento článek popisuje, jak nakonfigurovat privátní koncové body pro účty.

K vytvoření privátního koncového bodu pro účet můžete použít Azure Portal nebo Azure CLI.

Požadavky

Azure Portal

Na webu Azure Portal nejsou splněné žádné požadavky.

Azure CLI

Prostředí Azure CLI:

• Použijte prostředí Bash v Azure Cloud Shellu.

  

• Nebo pokud dáváte přednost místnímu spouštění referenčních příkazů rozhraní příkazového řádku, nainstalujte Azure CLI.

  • Přihlaste se k Azure CLI pomocí příkazu az login .

  • Spuštěním příkazu az version zjistěte verzi a závislé knihovny, které jsou nainstalované. Pokud chcete upgradovat na nejnovější verzi, spusťte az upgrade.

  • Po zobrazení výzvy nainstalujte rozšíření Azure CLI při prvním použití. Příkazy v tomto článku používají rozšíření azure-iot . Spusťte, az extension update --name azure-iot abyste měli jistotu, že používáte nejnovější verzi rozšíření.

Konfigurace privátních koncových bodů z účtu Device Update

Na webu Azure Portal můžete vytvořit nový privátní koncový bod z účtu Device Update. Tato připojení privátního koncového bodu jsou automaticky schválená a nepotřebují další kroky kontroly a schválení popsané ve zbývající části tohoto článku.

1. Přihlaste se k webu Azure Portal a přejděte ke svému účtu nebo doméně.

2. Přejděte na kartu Sítě na stránce svého účtu. Pokud chcete omezit přístup jenom na privátní koncový bod, zakažte přístup k veřejné síti.

3. Přepněte na kartu Soukromý přístup a pak na panelu nástrojů vyberte + Přidat .

   

4. Na stránce Základy zadejte následující informace pro váš privátní koncový bod:

   • Předplatné: Předplatné Azure, ve kterém chcete vytvořit privátní koncový bod.

   • Skupina prostředků: Existující nebo nová skupina prostředků pro privátní koncový bod.

   • Název: Název koncového bodu. Tato hodnota se používá k automatickému vygenerování názvu síťového rozhraní.

   • Oblast: Oblast Azure pro koncový bod. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než účet služby Device Update.

     

5. Stránka Prostředek se vyplní automaticky.

   

6. Na stránce Virtuální síť vyberte podsíť a virtuální síť, do které chcete privátní koncový bod nasadit.

   • Virtuální síť: V rozevíracím seznamu jsou uvedeny pouze virtuální sítě v aktuálně vybraném předplatném a umístění.

   • Podsíť: Vyberte podsíť ve virtuální síti, kterou jste vybrali.

     

7. Na stránce DNS použijte předem vyplněné hodnoty, pokud nepoužíváte vlastní DNS.

   

8. Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu.

9. Na stránce Zkontrolovat a vytvořit zkontrolujte všechna nastavení a vyberte Vytvořit a vytvořte privátní koncový bod.

Konfigurace privátních koncových bodů z centra Private Link

Pokud nemáte přístup k účtu Device Update, můžete vytvořit privátní koncové body z Centra služby Private Link. V případě, že uživatel, který vytváří připojení, nemá oprávnění ho také schválit, připojení se vytvoří ve stavu čekání.

K vytvoření privátních koncových bodů můžete použít Azure Portal nebo Azure CLI.

Azure Portal

1. Na webu Azure Portal přejděte do privátních koncových bodů centra Private Link a>vyberte +Vytvořit.

   

2. Na stránce Základy zadejte následující informace pro váš privátní koncový bod:

   • Předplatné: Předplatné Azure, ve kterém chcete vytvořit privátní koncový bod.
   • Skupina prostředků: Existující nebo nová skupina prostředků pro privátní koncový bod.
   • Název: Název koncového bodu. Tato hodnota se používá k automatickému vygenerování názvu síťového rozhraní.
   • Oblast: Oblast Azure pro koncový bod. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než účet služby Device Update.

3. Vyplňte všechna požadovaná pole na kartě Zdroj .

   • metoda Připojení ion: Vyberte Připojení prostředku Azure podle ID prostředku nebo aliasu.
   • ID prostředku nebo alias: Zadejte ID prostředku účtu aktualizace zařízení. ID prostředku účtu služby Device Update můžete na webu Azure Portal načíst tak, že na stránce Přehled vyberete zobrazení JSON. Nebo ho můžete načíst pomocí příkazu az iot du account show a dotazováním na hodnotu ID: az iot du account show -n <account_name> --query id.
   • Cílový dílčí prostředek: Hodnota musí být DeviceUpdate

   

4. Na stránce Virtuální síť vyberte podsíť a virtuální síť, do které chcete privátní koncový bod nasadit.

   • Virtuální síť: V rozevíracím seznamu jsou uvedeny pouze virtuální sítě v aktuálně vybraném předplatném a umístění.
   • Podsíť: Vyberte podsíť ve virtuální síti, kterou jste vybrali.

5. Na stránce DNS použijte předem vyplněné hodnoty, pokud nepoužíváte vlastní DNS.

6. Na stránce Značky vytvořte všechny značky (názvy a hodnoty), které chcete přidružit k prostředku privátního koncového bodu.

7. Na stránce Zkontrolovat a vytvořit zkontrolujte všechna nastavení a vyberte Vytvořit a vytvořte privátní koncový bod.

Azure CLI

Pomocí příkazu az network private-endpoint create vytvořte privátní koncový bod.

Nahraďte následující zástupné symboly vlastními informacemi:

• RESOURCE_GROUP_NAME: Název skupiny prostředků.
• PRIVATE_ENDPOINT_NAME: Název privátního koncového bodu.
• PRIVATE_LINK_CONNECTION_NAME: Název připojení služby Private Link.
• VIRTUAL_NETWORK_NAME: Název existující virtuální sítě přidružené k podsíti.
• SUBNET_NAME: Název nebo ID existující podsítě. Pokud používáte název podsítě, musíte také zahrnout název virtuální sítě. Pokud použijete ID podsítě, můžete parametr vynechat --vnet-name .
• DEVICE_UPDATE_RESOURCE_ID: ID prostředku účtu aktualizace zařízení můžete na webu Azure Portal načíst tak, že na stránce Přehled vyberete zobrazení JSON. Nebo ho můžete načíst pomocí příkazu az iot du account show a dotazováním na hodnotu ID: az iot du account show -n <account_name> --query id.
• UMÍSTĚNÍ: Název oblasti Azure. Váš privátní koncový bod musí být ve stejné oblasti jako vaše virtuální síť, ale může být v jiné oblasti než účet služby Device Update.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

Privátní koncový bod můžete odstranit pomocí příkazu az network private-endpoint delete .

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Správa připojení private link

Když vytvoříte privátní koncový bod, který čeká na ruční schválení, musí být připojení schváleno, aby bylo možné ho použít. Pokud prostředek, pro který vytváříte privátní koncový bod, je ve vašem adresáři, můžete schválit žádost o připojení za předpokladu, že máte dostatečná oprávnění. Pokud se připojujete k prostředku Azure v jiném adresáři, musíte počkat, až vlastník tohoto prostředku schválí vaši žádost o připojení.

Existují čtyři stavy zřizování:

Akce služby	Stav privátního koncového bodu příjemce služby	Popis
Nic	Nevyřízeno	Připojení ion se vytvoří ručně a čeká na schválení od vlastníka prostředku private Link.
Schválit	Schválený	Připojení ion byl automaticky nebo ručně schválen a je připravený k použití.
Odmítnout	Zamítnuto	Připojení byl vlastníkem prostředku privátního propojení odmítnut.
Odebrat	Odpojeno	Připojení odebrání vlastníkem prostředku privátního propojení se privátní koncový bod stane informativním a měl by být odstraněn pro vyčištění.

Azure Portal

Kontrola čekajícího připojení z účtu Device Update

1. Na webu Azure Portal přejděte na účet služby Device Update, který chcete spravovat.

2. Vyberte kartu Sítě.

3. Pokud čekají nějaká připojení, zobrazí se ve stavu zřizování připojení čekající na vyřízení.

   

4. Pomocí zaškrtávacího políčka vyberte nevyřízené připojení a pak vyberte Schválit nebo Odmítnout.

Kontrola čekajícího připojení z centra Private Link

1. Na webu Azure Portal přejděte na připojení Čekající na službu Private Link Center>.

2. Pomocí zaškrtávacího políčka vyberte nevyřízené připojení a pak vyberte Schválit nebo Odmítnout.

   

Azure CLI

Ke správě připojení privátního koncového bodu použijte příkaz az iot du account private-endpoint-connection set.

Nahraďte následující zástupné symboly vlastními informacemi:

• ACCOUNT_NAME: Název účtu aktualizace zařízení.
• PRIVATE_LINK_CONNECTION_NAME: Název připojení služby Private Link.
• STAV: Buď Approved nebo Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Další kroky

Seznamte se s koncepty zabezpečení sítě.