IoT Hub podpora virtuálních sítí s Azure Private Link
Ve výchozím nastavení se názvy hostitelů IoT Hub mapují na veřejný koncový bod s veřejně směrovatelnou IP adresou přes internet. Tento veřejný koncový bod služby IoT Hub sdílejí různí zákazníci a mohou k němu přistupovat zařízení IoT v sítích WAN i místních sítích.
Některé IoT Hub funkce, včetně směrování zpráv, nahrávání souborů a hromadného importu/exportu zařízení, také vyžadují připojení z IoT Hub k prostředku Azure vlastněného zákazníkem přes jeho veřejný koncový bod. Tyto cesty připojení tvoří výchozí přenos dat z IoT Hub do prostředků zákazníků.
Připojení k prostředkům Azure (včetně IoT Hub) prostřednictvím virtuální sítě, kterou vlastníte a provozujete, můžete chtít omezit z několika důvodů, mezi které patří:
Představujeme izolaci sítě pro centrum IoT tím, že zabráníte vystavení připojení k veřejnému internetu.
Povolení privátního připojení z místních síťových prostředků, které zajišťuje, že se vaše data a provoz budou přenášet přímo do páteřní sítě Azure.
Prevence útoků exfiltrace z citlivých místních sítí
Podle zavedených vzorů připojení pro celou Azure s využitím privátních koncových bodů.
Tento článek popisuje, jak těchto cílů dosáhnout pomocí Azure Private Link pro připojení příchozího přenosu dat k IoT Hub a použití výjimky důvěryhodných služeb Microsoftu pro výchozí přenos dat z IoT Hub k jiným prostředkům Azure.
Připojení příchozího přenosu dat k IoT Hub pomocí Azure Private Link
Privátní koncový bod je privátní IP adresa přidělená v rámci virtuální sítě vlastněné zákazníkem, přes kterou je dostupný prostředek Azure. S Azure Private Link můžete pro centrum IoT nastavit privátní koncový bod, který službám ve vaší virtuální síti umožní přístup k IoT Hub, aniž by bylo nutné odesílat provoz do veřejného koncového bodu IoT Hub. Podobně můžou vaše místní zařízení využívat virtuální privátní síť (VPN) nebo partnerský vztah ExpressRoute k získání připojení k virtuální síti a centru IoT (prostřednictvím privátního koncového bodu). V důsledku toho můžete omezit nebo úplně zablokovat připojení k veřejným koncovým bodům služby IoT Hub pomocí filtru IoT Hub IP adres nebo přepínače přístupu k veřejné síti. Tento přístup zachová připojení k centru pomocí privátního koncového bodu pro zařízení. Hlavní zaměření tohoto nastavení je pro zařízení v místní síti. Toto nastavení se nedoporučuje pro zařízení nasazená v síti s širokým rozsahem.
Než budete pokračovat, ujistěte se, že jsou splněny následující požadavky:
Vytvořili jste virtuální síť Azure s podsítí, ve které se vytvoří privátní koncový bod.
Pro zařízení, která pracují v místních sítích, nastavte virtuální privátní síť (VPN) nebo privátní partnerský vztah ExpressRoute do virtuální sítě Azure.
Nastavení privátního koncového bodu pro příchozí přenos dat služby IoT Hub
Privátní koncový bod funguje pro IoT Hub rozhraní API zařízení (jako jsou zprávy typu zařízení-cloud) a rozhraní API služeb (jako je vytváření a aktualizace zařízení).
V Azure Portal přejděte do centra IoT.
VybertePrivátní přístup ksíti> a pak vyberte Vytvořit privátní koncový bod.
Zadejte předplatné, skupinu prostředků, název a oblast pro vytvoření nového privátního koncového bodu. V ideálním případě by se měl vytvořit privátní koncový bod ve stejné oblasti jako vaše centrum.
Vyberte Další: Prostředek, zadejte předplatné pro prostředek IoT Hub a jako typ prostředku vyberte Microsoft.Devices/IotHubs, název vašeho centra IoT jako prostředek a iotHub jako cílový dílčí zdroj.
Vyberte Další: Konfigurace a zadejte virtuální síť a podsíť pro vytvoření privátního koncového bodu. V případě potřeby vyberte možnost integrace s privátní zónou DNS v Azure.
Vyberte Další: Značky a volitelně zadejte všechny značky pro váš prostředek.
Vyberte Zkontrolovat a vytvořit a vytvořte prostředek privátního propojení.
Integrovaný koncový bod kompatibilní se službou Event Hubs
K integrovanému koncovému bodu kompatibilnímu se službou Event Hubs je možné přistupovat také přes privátní koncový bod. Při konfiguraci privátního propojení byste měli vidět další připojení privátního koncového bodu pro předdefinovaný koncový bod. Jedná se o ten, který je v plně kvalifikovaném servicebus.windows.net názvu domény.
Filtr IP adres IoT Hubu může volitelně řídit veřejný přístup k integrovanému koncovému bodu.
Pokud chcete přístup k centru IoT zcela zablokovat, vypněte veřejný síťový přístup nebo pomocí filtru IP adres zablokujte všechny IP adresy a vyberte možnost použít pravidla pro integrovaný koncový bod.
Ceny Private Link
Podrobnosti o cenách najdete v tématu ceny Azure Private Link.
Výchozí připojení z IoT Hub k jiným prostředkům Azure
IoT Hub se může připojit k prostředkům služby Service Bus, Azure Blob Storage a centra událostí pro směrování zpráv, odesílání souborů a hromadný import/export zařízení přes veřejný koncový bod těchto prostředků. Vazba prostředku na virtuální síť ve výchozím nastavení blokuje možnosti připojení k prostředku. V důsledku toho tato konfigurace brání iot hubům v odesílání dat do vašich prostředků. Pokud chcete tento problém vyřešit, povolte připojení z prostředku IoT Hub k vašemu účtu úložiště, centru událostí nebo prostředkům služby Service Bus prostřednictvím možnosti důvěryhodné služby Microsoftu.
Aby ostatní služby mohly najít centrum IoT jako důvěryhodnou službu Microsoftu, musí vaše centrum používat spravovanou identitu. Po zřízení spravované identity udělte spravované identitě vašeho centra oprávnění pro přístup k vašemu vlastnímu koncovému bodu. Podle článku Podpora spravovaných identit v IoT Hub zřiďte spravovanou identitu s oprávněním řízení přístupu na základě role (RBAC) v Azure a přidejte vlastní koncový bod do služby IoT Hub. Ujistěte se, že jste zapnuli důvěryhodnou výjimku microsoftu první strany, aby služba IoT Hubs povolila přístup k vlastnímu koncovému bodu, pokud máte nakonfigurovanou bránu firewall.
Ceny pro možnost důvěryhodné služby Microsoftu
Funkce výjimky důvěryhodných služeb microsoftu je bezplatná. Poplatky za zřízené účty úložiště, centra událostí nebo prostředky služby Service Bus se účtují samostatně.
Další kroky
Další informace o funkcích IoT Hub najdete na následujících odkazech: