Konfigurieren von privaten Endpunkten für Device Update for IoT Hub-Konten

Sie können private Endpunkte verwenden, um den Datenverkehr direkt aus Ihrem virtuellen Netzwerk zu Ihrem Konto sicher über eine private Verbindung zu ermöglichen, ohne das öffentliche Internet durchlaufen zu müssen. Der private Endpunkt verwendet eine IP-Adresse aus dem VNet-Adressraum für Ihr Konto. Weitere konzeptionelle Informationen finden Sie unter Netzwerksicherheit.

In diesem Artikel wird beschrieben, wie private Endpunkte für Konten konfiguriert werden.

Sie können zum Erstellen eines privaten Endpunkts für ein Konto entweder das Azure-Portal oder die Azure-Befehlszeilenschnittstelle (Azure CLI) verwenden.

Voraussetzungen

Azure portal

Keine Voraussetzungen für das Azure-Portal.

Azure-Befehlszeilenschnittstelle

Eine Azure CLI-Umgebung:

• Verwenden Sie die Bash-Umgebung in Azure Cloud Shell.

  

• Wenn Sie CLI-Referenzbefehle lieber lokal ausführen, installieren Sie die Azure CLI

  • Melden Sie sich mit dem Befehl az login bei der Azure CLI an.

  • Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um das Upgrade auf die aktuelle Version durchzuführen.

  • Installieren Sie die Azure CLI-Erweiterungen bei der ersten Verwendung, wenn Sie dazu aufgefordert werden. Die Befehle in diesem Artikel verwenden die azure-iot-Erweiterung . Führen Sie az extension update --name azure-iot aus, um sicherzustellen, dass Sie die neueste Version der Erweiterung verwenden.

Konfigurieren von privaten Endpunkten aus dem Device Update-Konto

Im Azure-Portal können Sie einen neuen privaten Endpunkt aus dem Device Update-Konto erstellen. Diese privaten Endpunktverbindungen werden automatisch genehmigt und erfordern nicht die im Rest dieses Artikels beschriebenen zusätzlichen Schritte, mit denen sie überprüft und genehmigt werden.

1. Melden Sie sich am Azure-Portal an, und navigieren Sie zu Ihrem Konto oder Ihrer Domäne.

2. Wechseln Sie zur Registerkarte Netzwerk Ihrer Kontoseite. Wenn Sie den Zugriff nur auf den privaten Endpunkt einschränken möchten, deaktivieren Sie die Option Öffentlicher Netzwerkzugriff.

3. Wechseln Sie zur Registerkarte Privater Zugriff, und wählen Sie auf der Symbolleiste die Option + Hinzufügen aus.

   

4. Geben Sie auf der Seite Grundlagen die folgenden Informationen für Ihren privaten Endpunkt an:

   • Abonnement: Das Azure-Abonnement, in dem Sie den privaten Endpunkt erstellen möchten.

   • Ressourcengruppe: Eine bestehende oder neue Ressourcengruppe für den privaten Endpunkt.

   • Name: Ein Name für den Endpunkt. Mit diesem Wert wird der Netzwerkschnittstellenname automatisch generiert.

   • Region: Eine Azure-Region für den Endpunkt. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.

     

5. Die Seite Ressource wird automatisch ausgefüllt.

   

6. Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz und virtuelle Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.

   • Virtuelles Netzwerk: In der Dropdownliste werden nur virtuelle Netzwerke im zurzeit ausgewählten Abonnement und am zurzeit ausgewählten Standort aufgeführt.

   • Subnetz: Wählen Sie im ausgewählten virtuellen Netzwerk ein Subnetz aus.

     

7. Verwenden Sie auf der Seite DNS die bereits ausgefüllten Werte, sofern Sie nicht Ihr eigenes benutzerdefiniertes DNS verwenden.

   

8. Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten.

9. Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.

Konfigurieren von privaten Endpunkten aus dem Private Link Center

Wenn Sie keinen Zugriff auf das Device Update-Konto haben, können Sie private Endpunkte aus dem Private Link Center erstellen. Wenn der Benutzer, der die Verbindung erstellt, nicht die Befugnis hat, sie auch zu genehmigen, wird die Verbindung im Status „Ausstehend“ erstellt.

Sie können private Endpunkt entweder über das Azure-Portal oder die Azure CLI erstellen.

Azure portal

1. Navigieren Sie im Azure-Portal zu Private Link Center>Private Endpunkte, und wählen Sie + Erstellen aus.

   

2. Geben Sie auf der Seite Grundlagen die folgenden Informationen für Ihren privaten Endpunkt an:

   • Abonnement: Das Azure-Abonnement, in dem Sie den privaten Endpunkt erstellen möchten.
   • Ressourcengruppe: Eine bestehende oder neue Ressourcengruppe für den privaten Endpunkt.
   • Name: Ein Name für den Endpunkt. Mit diesem Wert wird der Netzwerkschnittstellenname automatisch generiert.
   • Region: Eine Azure-Region für den Endpunkt. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.

3. Füllen Sie auf der Registerkarte Ressource alle erforderlichen Felder aus.

   • Verbindungsmethode: Wählen Sie Verbindung mit einer Azure-Ressource mithilfe einer Ressourcen-ID oder eines Alias herstellen aus.
   • Ressourcen-ID oder Alias: Geben Sie die Ressourcen-ID des Device Update-Kontos ein. Sie können die Ressourcen-ID eines Device Update-Kontos über das Azure-Portal abrufen, indem Sie auf der Seite Übersicht die Option JSON-Ansicht auswählen. Sie können sie auch mithilfe des Befehls az iot du account show abrufen und den ID-Wert abfragen: az iot du account show -n <account_name> --query id.
   • Untergeordnete Zielressource: Der Wert muss DeviceUpdate lauten.

   

4. Wählen Sie auf der Seite Virtuelles Netzwerk das Subnetz und virtuelle Netzwerk aus, in dem Sie den privaten Endpunkt bereitstellen möchten.

   • Virtuelles Netzwerk: In der Dropdownliste werden nur virtuelle Netzwerke im zurzeit ausgewählten Abonnement und am zurzeit ausgewählten Standort aufgeführt.
   • Subnetz: Wählen Sie im ausgewählten virtuellen Netzwerk ein Subnetz aus.

5. Verwenden Sie auf der Seite DNS die bereits ausgefüllten Werte, sofern Sie nicht Ihr eigenes benutzerdefiniertes DNS verwenden.

6. Erstellen Sie auf der Seite Tags beliebige Tags (Namen und Werte), die Sie der privaten Endpunktressource zuordnen möchten.

7. Überprüfen Sie auf der Seite Überprüfen und erstellen alle Einstellungen, und wählen Sie Erstellen aus, um den privaten Endpunkt zu erstellen.

Azure-Befehlszeilenschnittstelle

Erstellen Sie mit dem Befehl az network private-endpoint create einen privaten Endpunkt.

Ersetzen Sie die folgenden Platzhalter durch Ihre eigenen Informationen:

• RESOURCE_GROUP_NAME: Name der Ressourcengruppe.
• PRIVATE_ENDPOINT_NAME: Name des privaten Endpunkts.
• PRIVATE_LINK_CONNECTION_NAME: Name der Private Link-Dienstverbindung.
• VIRTUAL_NETWORK_NAME: Name eines bestehenden virtuellen Netzwerks, das dem Subnetz zugeordnet ist.
• SUBNET_NAME: Name oder ID eines bestehenden Subnetzes. Wenn Sie einen Subnetznamen verwenden, müssen Sie auch den Namen des virtuellen Netzwerks einbeziehen. Wenn Sie eine Subnetz-ID verwenden, können Sie den Parameter --vnet-name weglassen.
• DEVICE_UPDATE_RESOURCE_ID: Sie können die Ressourcen-ID eines Device Update-Kontos über das Azure-Portal abrufen, indem Sie auf der Seite Übersicht die OptionJSON-Ansicht auswählen. Sie können sie auch mithilfe des Befehls az iot du account show abrufen und den ID-Wert abfragen: az iot du account show -n <account_name> --query id.
• LOCATION: Name der Azure-Region. Ihr privater Endpunkt muss sich in derselben Region wie Ihr virtuelles Netzwerk befinden, kann aber in einer anderen Region als das Device Update-Konto enthalten sein.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

Sie können einen privaten Endpunkt mit dem Befehl az network private-endpoint delete löschen.

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Verwalten von Private Link-Verbindungen

Wenn Sie einen privaten Endpunkt erstellen, der auf die manuelle Genehmigung wartet, muss die Verbindung genehmigt werden, bevor sie verwendet werden kann. Wenn sich die Ressource, für die Sie einen privaten Endpunkt erstellen, in Ihrem Verzeichnis befindet, können Sie die Verbindungsanforderung genehmigen, sofern Sie über ausreichende Berechtigungen verfügen. Wenn Sie eine Verbindung mit einer Azure-Ressource in einem anderen Verzeichnis herstellen, müssen Sie warten, bis der Besitzer dieser Ressource Ihre Verbindungsanforderung genehmigt hat.

Es gibt vier Möglichkeiten für den Bereitstellungsstatus:

Dienstaktion	Zustand des privaten Endpunkts des Dienstconsumers	BESCHREIBUNG
Keine	Ausstehend	Die Verbindung wurde manuell erstellt, und die Genehmigung des Besitzers der Private Link-Ressource steht aus.
Genehmigen	Genehmigt	Die Verbindung wurde automatisch oder manuell genehmigt und ist zur Verwendung bereit.
Reject	Rejected (Abgelehnt)	Die Verbindung wurde vom Besitzer der Private Link-Ressource abgelehnt.
Remove (Entfernen)	Getrennt	Die Verbindung wurde vom Besitzer der Private Link-Ressource entfernt, der private Endpunkt wird informativ und sollte zur Bereinigung gelöscht werden.

Azure portal

Überprüfen einer ausstehenden Verbindung aus dem Device Update-Konto

1. Navigieren Sie über das Azure-Portal zu dem Device Update-Konto, das Sie verwalten möchten.

2. Wählen Sie die Registerkarte Netzwerk aus.

3. Sollten ausstehende Verbindungen vorhanden sein, wird in der Liste eine Verbindung mit dem Bereitstellungsstatus Ausstehend angezeigt.

   

4. Aktivieren Sie das Kontrollkästchen, um die ausstehende Verbindung auszuwählen, und wählen Sie dann entweder Genehmigen oder Ablehnen aus.

Überprüfen einer ausstehenden Verbindung aus dem Private Link Center

1. Navigieren Sie im Azure-Portal zu Private Link Center>Ausstehende Verbindungen.

2. Aktivieren Sie das Kontrollkästchen, um die ausstehende Verbindung auszuwählen, und wählen Sie dann entweder Genehmigen oder Ablehnen aus.

   

Azure-Befehlszeilenschnittstelle

Mit dem Befehl az iot du account private-endpoint-connection set können Sie die private Endpunktverbindung verwalten.

Ersetzen Sie die folgenden Platzhalter durch Ihre eigenen Informationen:

• ACCOUNT_NAME: Name des Device Update-Kontos.
• PRIVATE_LINK_CONNECTION_NAME: Name der Private Link-Dienstverbindung.
• STATUS: Entweder Approved oder Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Nächste Schritte

Informieren Sie sich über Netzwerksicherheitskonzepte.