Sdílet prostřednictvím

Podpora služby IoT Hub pro virtuální sítě se službou Azure Private Link

Ve výchozím nastavení se názvy hostitelů služby IoT Hub mapují na veřejný koncový bod s veřejně směrovatelnou IP adresou přes internet. Tento veřejný koncový bod služby IoT Hub sdílejí různí zákazníci a mohou k němu přistupovat zařízení IoT v sítích WAN i místních sítích.

Diagram znázorňující veřejný koncový bod ioT Hubu a různé interakce

Některé funkce IoT Hubu, včetně směrování zpráv, nahrávání souborů a hromadného importu a exportu zařízení, také vyžadují připojení ze služby IoT Hub k prostředku Azure vlastněného zákazníkem přes jeho veřejný koncový bod. Tyto cesty připojení tvoří odchozí tok ze služby IoT Hub do zákaznických prostředků.

Možná budete chtít omezit připojení k prostředkům Azure (včetně IoT Hubu) prostřednictvím virtuální sítě, kterou vlastníte a provozujete z několika důvodů, mezi které patří:

  • Zavádíme izolaci sítě pro váš IoT hub tím, že zabráníme vystavení připojení veřejnému Internetu.

  • Povolení privátního připojení z místních síťových prostředků, což zajišťuje, že se vaše data a provoz přenášejí přímo do páteřní sítě Azure.

  • Prevence útoků exfiltrace z citlivých místních sítí

  • Podle zavedených vzorců připojení v celé Azure s využitím privátních koncových bodů.

Tento článek popisuje, jak dosáhnout těchto cílů pomocí služby Azure Private Link pro příchozí připojení ke službě IoT Hub a použití výjimky důvěryhodných služeb Microsoftu pro odchozí připojení ze služby IoT Hub do jiných prostředků Azure.

Privátní koncový bod je privátní IP adresa přidělená uvnitř virtuální sítě vlastněné zákazníkem, přes kterou je prostředek Azure dostupný. Pomocí služby Azure Private Link můžete pro centrum IoT nastavit privátní koncový bod, který umožňuje službám ve vaší virtuální síti přístup ke službě IoT Hub, aniž byste museli odesílat provoz do veřejného koncového bodu služby IoT Hub. Podobně mohou vaše místní zařízení používat Azure VPN Gateway nebo propojení Azure ExpressRoute pro připojení k vaší virtuální síti a vašemu IoT hubu (prostřednictvím jeho privátního koncového bodu). V důsledku toho můžete omezit nebo úplně zablokovat připojení k veřejným koncovým bodům služby IoT Hub pomocí filtru IP služby IoT Hub nebo přepínače přístupu k veřejné síti. Tento přístup udržuje připojení k vašemu centru pomocí privátního koncového bodu pro zařízení. Hlavním zaměřením tohoto nastavení jsou zařízení uvnitř místní sítě. Toto nastavení se nedoporučuje pro zařízení nasazená v síti s širokým rozsahem.

Diagram znázorňující příchozí přenos do virtuální sítě IoT Hubu

Než budete pokračovat, ujistěte se, že jsou splněny následující požadavky:

Nastavení privátního koncového bodu pro ingress IoT Hubu

Privátní koncové body fungují pro rozhraní API zařízení IoT Hub (jako jsou zprávy z zařízení do cloudu) a rozhraní API pro služby (například vytváření a aktualizace zařízení).

  1. Na webu Azure Portal přejděte do svého centra IoT.

  2. V levém podokně v části Nastavení zabezpečení vyberte Privátnípřístup ksíti> a pak vyberte Vytvořit privátní koncový bod.

    Snímek obrazovky znázorňující, kde přidat privátní koncový bod pro centrum IoT

  3. Zadejte předplatné, skupinu prostředků, název, název síťového rozhraní a oblast pro vytvoření nového privátního koncového bodu. V ideálním případě by se měl privátní koncový bod vytvořit ve stejné oblasti jako vaše centrum.

  4. Vyberte Další: Prostředek a zadejte předplatné vašeho prostředku IoT Hubu. Pak jako typ prostředku vyberte Microsoft.Devices/IotHubs , název centra IoT jako prostředek a iotHub jako cílový podsourc.

  5. Vyberte Další: Virtuální síť a zadejte virtuální síť a podsíť pro vytvoření privátního koncového bodu.

  6. Vyberte Další: DNS a v případě potřeby vyberte možnost integrace s privátní zónou DNS.

  7. Vyberte Další: Značky a volitelně zadejte všechny značky pro váš prostředek.

  8. Vyberte Další: Zkontrolujte a vytvořte, abyste si zkontrolovali podrobnosti o prostředku privátního propojení, a pak ho vytvořte výběrem Vytvořit.

Integrovaný koncový bod kompatibilní se službou Event Hubs

K integrovanému koncovému bodu kompatibilnímu se službou Event Hubs je také možné přistupovat přes privátní koncový bod. Když je privátní propojení nakonfigurované, měli byste vidět další připojení a konfiguraci privátního koncového bodu pro vestavěný koncový bod. Je to ten s servicebus.windows.net ve plně kvalifikovaném doménovém názvu.

Snímek obrazovky se dvěma privátními koncovými body pro privátní propojení služby IoT Hub a zvýrazněním plně kvalifikovaného názvu domény a konfigurace integrovaného koncového bodu

Filtr IP adres IoT Hubu může volitelně řídit veřejný přístup k integrovanému koncovému bodu.

Pokud chcete přístup k centru IoT úplně blokovat, vypněte přístup k veřejné síti nebo pomocí filtru IP adres zablokujte všechny IP adresy a vyberte možnost použít pravidla pro integrovaný koncový bod.

Podrobnosti o cenách najdete v tématu s cenami služby Azure Private Link.

Výchozí připojení ze služby IoT Hub k jiným prostředkům Azure

IoT Hub se může připojit k prostředkům služby Service Bus, Azure Blob Storage a centra událostí pro směrování zpráv, odesílání souborů a hromadný import/export zařízení přes veřejný koncový bod těchto prostředků. Vazba prostředku na virtuální síť ve výchozím nastavení blokuje připojení k prostředku. V důsledku toho tato konfigurace brání IoT hubům v odesílání dat do vašich prostředků. Pokud chcete tento problém vyřešit, povolte připojení z vašeho prostředku IoT Hub k vašemu účtu úložiště, Centru událostí nebo prostředkům služby Service Bus prostřednictvím volby pro důvěryhodné služby Microsoft.

Aby ostatní služby mohly najít centrum IoT jako důvěryhodnou službu Microsoftu, musí vaše centrum používat spravovanou identitu. Po zřízení spravované identity udělte spravované identitě vašeho centra oprávnění pro přístup k vašemu vlastnímu koncovému bodu. Pokud chcete zřídit spravovanou identitu s oprávněním řízení přístupu na základě role (RBAC) Azure, postupujte podle pokynů v podpoře spravovaných identit ve službě IoT Hub a přidejte do centra IoT vlastní koncový bod. Pokud chcete vašim IoT hubům povolit přístup k vlastnímu koncovému bodu, zapněte výjimku důvěryhodných služeb Microsoftu první strany.

Ceny pro důvěryhodnou možnost služby Microsoftu

Funkce výjimky důvěryhodných Microsoft prvostranových služeb je bezplatná. Poplatky za zřízené účty úložiště, centra událostí nebo prostředky služby Service Bus se účtují samostatně.

Další kroky

Další informace o funkcích služby IoT Hub najdete na následujících odkazech:

  • Last updated on