Sdílet prostřednictvím


IoT Hub podpora virtuálních sítí s Azure Private Link

Ve výchozím nastavení se názvy hostitelů IoT Hub mapují na veřejný koncový bod s veřejně směrovatelnou IP adresou přes internet. Tento veřejný koncový bod služby IoT Hub sdílejí různí zákazníci a mohou k němu přistupovat zařízení IoT v sítích WAN i místních sítích.

Diagram IoT Hub veřejného koncového bodu

Některé IoT Hub funkce, včetně směrování zpráv, nahrávání souborů a hromadného importu/exportu zařízení, také vyžadují připojení z IoT Hub k prostředku Azure vlastněného zákazníkem přes jeho veřejný koncový bod. Tyto cesty připojení tvoří výchozí přenos dat z IoT Hub do prostředků zákazníků.

Připojení k prostředkům Azure (včetně IoT Hub) prostřednictvím virtuální sítě, kterou vlastníte a provozujete, můžete chtít omezit z několika důvodů, mezi které patří:

  • Představujeme izolaci sítě pro centrum IoT tím, že zabráníte vystavení připojení k veřejnému internetu.

  • Povolení privátního připojení z místních síťových prostředků, které zajišťuje, že se vaše data a provoz budou přenášet přímo do páteřní sítě Azure.

  • Prevence útoků exfiltrace z citlivých místních sítí

  • Podle zavedených vzorů připojení pro celou Azure s využitím privátních koncových bodů.

Tento článek popisuje, jak těchto cílů dosáhnout pomocí Azure Private Link pro připojení příchozího přenosu dat k IoT Hub a použití výjimky důvěryhodných služeb Microsoftu pro výchozí přenos dat z IoT Hub k jiným prostředkům Azure.

Privátní koncový bod je privátní IP adresa přidělená v rámci virtuální sítě vlastněné zákazníkem, přes kterou je dostupný prostředek Azure. S Azure Private Link můžete pro centrum IoT nastavit privátní koncový bod, který službám ve vaší virtuální síti umožní přístup k IoT Hub, aniž by bylo nutné odesílat provoz do veřejného koncového bodu IoT Hub. Podobně můžou vaše místní zařízení využívat virtuální privátní síť (VPN) nebo partnerský vztah ExpressRoute k získání připojení k virtuální síti a centru IoT (prostřednictvím privátního koncového bodu). V důsledku toho můžete omezit nebo úplně zablokovat připojení k veřejným koncovým bodům služby IoT Hub pomocí filtru IoT Hub IP adres nebo přepínače přístupu k veřejné síti. Tento přístup zachová připojení k centru pomocí privátního koncového bodu pro zařízení. Hlavní zaměření tohoto nastavení je pro zařízení v místní síti. Toto nastavení se nedoporučuje pro zařízení nasazená v síti s širokým rozsahem.

Diagram příchozího přenosu dat IoT Hub virtuální sítě

Než budete pokračovat, ujistěte se, že jsou splněny následující požadavky:

Nastavení privátního koncového bodu pro příchozí přenos dat služby IoT Hub

Privátní koncový bod funguje pro IoT Hub rozhraní API zařízení (jako jsou zprávy typu zařízení-cloud) a rozhraní API služeb (jako je vytváření a aktualizace zařízení).

  1. V Azure Portal přejděte do centra IoT.

  2. VybertePrivátní přístup ksíti> a pak vyberte Vytvořit privátní koncový bod.

    Snímek obrazovky znázorňující, kam přidat privátní koncový bod pro IoT Hub

  3. Zadejte předplatné, skupinu prostředků, název a oblast pro vytvoření nového privátního koncového bodu. V ideálním případě by se měl vytvořit privátní koncový bod ve stejné oblasti jako vaše centrum.

  4. Vyberte Další: Prostředek, zadejte předplatné pro prostředek IoT Hub a jako typ prostředku vyberte Microsoft.Devices/IotHubs, název vašeho centra IoT jako prostředek a iotHub jako cílový dílčí zdroj.

  5. Vyberte Další: Konfigurace a zadejte virtuální síť a podsíť pro vytvoření privátního koncového bodu. V případě potřeby vyberte možnost integrace s privátní zónou DNS v Azure.

  6. Vyberte Další: Značky a volitelně zadejte všechny značky pro váš prostředek.

  7. Vyberte Zkontrolovat a vytvořit a vytvořte prostředek privátního propojení.

Integrovaný koncový bod kompatibilní se službou Event Hubs

K integrovanému koncovému bodu kompatibilnímu se službou Event Hubs je možné přistupovat také přes privátní koncový bod. Při konfiguraci privátního propojení byste měli vidět další připojení privátního koncového bodu pro předdefinovaný koncový bod. Jedná se o ten, který je v plně kvalifikovaném servicebus.windows.net názvu domény.

Snímek obrazovky se dvěma privátními koncovými body zadanými z každého IoT Hub privátního propojení

Filtr IP adres IoT Hubu může volitelně řídit veřejný přístup k integrovanému koncovému bodu.

Pokud chcete přístup k centru IoT zcela zablokovat, vypněte veřejný síťový přístup nebo pomocí filtru IP adres zablokujte všechny IP adresy a vyberte možnost použít pravidla pro integrovaný koncový bod.

Podrobnosti o cenách najdete v tématu ceny Azure Private Link.

Výchozí připojení z IoT Hub k jiným prostředkům Azure

IoT Hub se může připojit k prostředkům služby Service Bus, Azure Blob Storage a centra událostí pro směrování zpráv, odesílání souborů a hromadný import/export zařízení přes veřejný koncový bod těchto prostředků. Vazba prostředku na virtuální síť ve výchozím nastavení blokuje možnosti připojení k prostředku. V důsledku toho tato konfigurace brání iot hubům v odesílání dat do vašich prostředků. Pokud chcete tento problém vyřešit, povolte připojení z prostředku IoT Hub k vašemu účtu úložiště, centru událostí nebo prostředkům služby Service Bus prostřednictvím možnosti důvěryhodné služby Microsoftu.

Aby ostatní služby mohly najít centrum IoT jako důvěryhodnou službu Microsoftu, musí vaše centrum používat spravovanou identitu. Po zřízení spravované identity udělte spravované identitě vašeho centra oprávnění pro přístup k vašemu vlastnímu koncovému bodu. Podle článku Podpora spravovaných identit v IoT Hub zřiďte spravovanou identitu s oprávněním řízení přístupu na základě role (RBAC) v Azure a přidejte vlastní koncový bod do služby IoT Hub. Ujistěte se, že jste zapnuli důvěryhodnou výjimku microsoftu první strany, aby služba IoT Hubs povolila přístup k vlastnímu koncovému bodu, pokud máte nakonfigurovanou bránu firewall.

Ceny pro možnost důvěryhodné služby Microsoftu

Funkce výjimky důvěryhodných služeb microsoftu je bezplatná. Poplatky za zřízené účty úložiště, centra událostí nebo prostředky služby Service Bus se účtují samostatně.

Další kroky

Další informace o funkcích IoT Hub najdete na následujících odkazech: