Verwalten des Zugriffs über öffentliche Netzwerke für Ihren Azure IoT Device Provisioning Service

  • Artikel

Wenn Sie den Zugriff auf einen privaten Endpunkt für DPS in Ihrem VNet einschränken möchten, deaktivieren Sie den Zugriff über öffentliche Netzwerke. Verwenden Sie hierzu das Azure-Portal oder die publicNetworkAccess-API. Sie können den öffentlichen Zugriff auch über das Portal oder die publicNetworkAccess-API zulassen.

Deaktivieren des Zugriffs über öffentliche Netzwerke im Azure-Portal

So deaktivieren Sie den Zugriff über öffentliche Netzwerke:

  1. Melden Sie sich beim Azure-Portal an.

  2. Wählen Sie im Menü auf der linken Seite oder auf der Portalseite die Option Alle Ressourcen aus.

  3. Wählen Sie Ihre Device Provisioning Service-Instanz aus.

  4. Wählen Sie im Menü Einstellungen auf der linken Seite Netzwerk aus.

  5. Wählen Sie unter Öffentlicher Netzwerkzugriff die Option Deaktiviert aus.

  6. Wählen Sie Speichern aus.

    Image showing Azure portal where to turn off public network access

So aktivieren Sie den Zugriff über öffentliche Netzwerke:

  1. Wählen Sie Alle Netzwerke aus.
  2. Wählen Sie Speichern aus.

Einschränkungen beim Deaktivieren des Zugriffs aus öffentlichen Netzwerken

Beachten Sie die folgenden Einschränkungen, wenn der Zugriff aus öffentlichen Netzwerken deaktiviert ist:

  • Auf die DPS-Instanz kann nur über seinen privaten VNET-Endpunkt über Azure Private Link zugegriffen werden.

  • Sie können nicht mehr das Azure-Portal verwenden, um Registrierungen für die DPS-Instanz zu verwalten. Stattdessen können Sie Registrierungen mithilfe der Azure-Befehlszeilenschnittstelle, mit PowerShell oder über Dienst-APIs von Computern innerhalb der virtuellen Netzwerke verwalten, die auf der DPS-Instanz konfiguriert sind. Weitere Informationen finden Sie unter Einschränkungen privater Endpunkte.

DPS-Endpunkt, IP-Adresse und Ports nach Deaktivierung des Zugriffs über öffentliche Netzwerke

DPS ist eine mehrinstanzenfähige Platform-as-a-Service-Instanz (PaaS), bei der verschiedene Kunden denselben Pool an Compute-, Netzwerk- und Speicherhardwareressourcen gemeinsam nutzen. DPS-Hostnamen werden einem öffentlichen Endpunkt mit einer öffentlich routingfähigen IP-Adresse über das Internet zugeordnet. Dieser öffentliche DPS-Endpunkt wird von verschiedenen Kunden gemeinsam genutzt, und alle IoT-Geräte in WANs und lokalen Netzwerken können darauf zugreifen.

Die Deaktivierung des Zugriffs über öffentliche Netzwerke wird für eine bestimmte DPS-Ressource erzwungen und so die Isolation sichergestellt. Um den Dienst für andere Kundenressourcen über den öffentlichen Pfad aktiv zu halten, bleibt der öffentliche Endpunkt auflösbar, IP-Adressen bleiben erkennbar, und die Ports bleiben offen. Dies ist kein Problem, da Microsoft mehrere Sicherheitsebenen integriert, um eine vollständige Isolation zwischen Mandanten sicherzustellen. Weitere Informationen hierzu finden Sie unter Isolation in der öffentlichen Azure-Cloud.

IP-Filter

Wenn der Zugriff über öffentliche Netzwerke deaktiviert ist, werden alle IP-Filterregeln ignoriert. Der Grund dafür ist, dass alle IP-Adressen aus dem öffentlichen Internet blockiert werden. Wenn Sie IP-Filter nutzen möchten, verwenden Sie die Option Ausgewählte IP-Adressbereiche.

Aktivieren aller Netzwerkbereiche

So aktivieren Sie alle Netzwerkbereiche:

  1. Öffnen Sie das Azure-Portal.
  2. Wählen Sie im Menü auf der linken Seite oder auf der Portalseite die Option Alle Ressourcen aus.
  3. Wählen Sie Ihre Device Provisioning Service-Instanz aus.
  4. Wählen Sie im Menü Einstellungen auf der linken Seite Netzwerk aus.
  5. Wählen Sie unter Öffentlicher Netzwerkzugriff die Option Alle Netzwerke aus.
  6. Wählen Sie Speichern aus.