IoT Hub-Unterstützung für virtuelle Netzwerke mit Private Link und verwalteter Identität

Standardmäßig werden IoT Hub-Hostnamen einem öffentlichen Endpunkt mit einer öffentlich routingfähigen IP-Adresse über das Internet zugeordnet. Dieser öffentliche IoT Hub-Endpunkt wird von mehreren Kunden gemeinsam genutzt, und sämtliche IoT-Geräte in WANs und lokalen Netzwerken können darauf zugreifen.

Öffentlicher IoT Hub-Endpunkt

IoT Hub-Features wie das Nachrichtenrouting, der Dateiupload und das Importieren und Exportieren von Geräten per Massenvorgang erfordern ebenfalls Konnektivität zwischen IoT Hub und einer kundeneigenen Azure-Ressource über den öffentlichen Endpunkt. Diese Konnektivitätspfade bilden gemeinsam den ausgehenden Datenverkehr von IoT Hub zu Kundenressourcen.

Möglicherweise möchten Sie die Konnektivität mit Ihren Azure-Ressourcen (einschließlich IoT Hub) über ein VNET einschränken, das Sie besitzen und betreiben. Zu den Gründen gehören die folgenden:

  • Netzwerkisolation für Ihren IoT-Hub durch Unterbinden der Konnektivität mit dem öffentlichen Internet.

  • Aktivieren einer privaten Konnektivitätsumgebung von Ihren lokalen Netzwerkressourcen, um sicherzustellen, dass Ihre Daten und der Datenverkehr direkt an das Azure-Backbone-Netzwerk übertragen wird

  • Verhindern der Exfiltration von Angriffen von vertraulichen, lokalen Netzwerken

  • Befolgen bewährter Azure-Konnektivitätsmuster mithilfe privater Endpunkte

In diesem Artikel wird beschrieben, wie Sie diese Ziele erreichen, indem Sie Azure Private Link für eingehende Verbindungen mit IoT Hub verwenden und für ausgehende Verbindungen von IoT Hub mit anderen Azure-Ressourcen Ausnahmen für vertrauenswürdige Microsoft-Dienste definieren.

Ein privater Endpunkt ist eine private IP-Adresse, die in einem kundeneigenen VNET zugeordnet ist, über das eine Azure-Ressource erreichbar ist. Mit Azure Private Link können Sie einen privaten Endpunkt für Ihren IoT-Hub einrichten und damit den Diensten in Ihrem VNET erlauben, IoT Hub zu erreichen, ohne dass Datenverkehr an den öffentlichen IoT Hub-Endpunkt gesendet werden muss. Ebenso können Ihre lokalen Geräte ein virtuelles privates Netzwerk (VPN) oder ExpressRoute-Peering verwenden, um eine Verbindung mit Ihrem VNET und Ihrer IoT Hub-Instanz (über den privaten Endpunkt) herzustellen. So können Sie die Konnektivität mit den öffentlichen Endpunkten Ihres IoT-Hubs einschränken oder vollständig blockieren, indem Sie IoT Hub-IP-Filter oder die Funktion zum Umschalten des Zugriffs über öffentliche Netzwerke verwenden. Auf diese Weise erfolgen Verbindungen mit Ihrem Hub ausschließlich über den privaten Endpunkt für Geräte. Der Schwerpunkt dieses Setups liegt auf Geräten, die sich in einem lokalen Netzwerk befinden. Dieses Setup wird nicht für Geräte empfohlen, die in einem WAN bereitgestellt werden.

IoT Hub des virtuellen Netzwerks – Eingang

Vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie fortfahren:

  • Sie haben ein Azure-VNET mit einem Subnetz erstellt, in dem der private Endpunkt erstellt wird.

  • Richten Sie für Geräte, die in lokalen Netzwerken betrieben werden, Verbindungen mit Ihrem Azure-VNET über ein virtuelles privates Netzwerk (VPN) oder per privatem ExpressRoute-Peering ein.

Einrichten eines privaten Endpunkts für eingehenden IoT Hub-Datenverkehr

Ein privater Endpunkt kann für IoT Hub-Geräte-APIs (z. B. D2C-Nachrichten) sowie Dienst-APIs (z. B. Erstellen und Aktualisieren von Geräten) verwendet werden.

  1. Klicken Sie im Azure-Portal auf Netzwerk, dann auf Privater Zugriff und anschließend auf die Option + Privaten Endpunkt erstellen.

    Screenshot, der zeigt, wo ein privater Endpunkt für IoT Hub hinzugefügt wird

  2. Geben Sie das Abonnement, die Ressourcengruppe, den Namen und die Region an, in der der neue private Endpunkt erstellt werden soll. Idealerweise sollte ein privater Endpunkt in der gleichen Region wie Ihr Hub erstellt werden.

  3. Klicken Sie auf Weiter: Ressource, und geben Sie das Abonnement für die IoT Hub-Ressource an. Wählen Sie dann "Microsoft.Devices/IotHubs" als Ressourcentyp, den IoT Hub-Namen als Ressource und iotHub als Zielunterressource aus.

  4. Klicken Sie auf Weiter: Konfiguration, und stellen Sie Ihr virtuelles Netzwerk und Subnetz bereit, in dem der private Endpunkt erstellt werden soll. Klicken Sie bei Bedarf auf die Option für die Integration in eine private Azure-DNS-Zone.

  5. Klicken Sie auf Weiter: Tags, und stellen Sie optional Tags für Ihre Ressource bereit.

  6. Klicken Sie auf Überprüfen und erstellen, um die Private Link-Ressource zu erstellen.

Integrierter, mit Event Hub kompatibler Endpunkt

Auf den integrierten, mit Event Hub kompatiblen Endpunkt kann auch über den privaten Endpunkt zugegriffen werden. Bei konfigurierter privater Verbindung sollte für den integrierten Endpunkt eine zusätzliche Verbindung für private Endpunkte angezeigt werden. Dabei handelt es sich um das Element mit servicebus.windows.net im vollqualifizierten Domänennamen.

Abbildung: Zwei private Endpunkte mit jeweils angegebener privater IoT Hub-Verbindung

Der IP-Filter von IoT Hub kann optional den öffentlichen Zugriff auf den integrierten Endpunkt steuern.

Wenn Sie den Zugriff des öffentlichen Netzwerks auf Ihren IoT-Hub vollständig blockieren möchten, deaktivieren Sie den öffentlichen Netzwerkzugriff, oder verwenden Sie IP-Filter, um alle IP-Adressen zu blockieren, und wählen Sie die Option zum Anwenden von Regeln auf den integrierten Endpunkt aus.

Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.

Ausgehende Konnektivität von IoT Hub zu anderen Azure-Ressourcen

IoT Hub kann für das Nachrichtenrouting, den Dateiupload und das Importieren und Exportieren von Geräten per Massenvorgang über den öffentlichen Endpunkt der Ressourcen eine Verbindung mit Azure Blob Storage-, Event Hub- und Service Bus-Ressourcen herstellen. Durch Binden einer Ressource an ein VNET wird standardmäßig die Konnektivität mit dieser Ressource blockiert. Dies führt dazu, dass diese Konfiguration IoT Hub daran hindert, Daten an Ihre Ressourcen zu senden. Um dieses Problem zu beheben, müssen Sie die Konnektivität von Ihrer IoT Hub-Ressource mit Ihren Speicherkonto-, Event Hub- oder Service Bus-Ressourcen über die Option Vertrauenswürdige Microsoft-Dienste aktivieren.

Damit andere Dienste Ihren IoT-Hub als vertrauenswürdigen Microsoft-Dienst finden können, muss Ihr Hub die verwaltete Identität verwenden. Sobald eine verwaltete Identität bereitgestellt ist, müssen Sie der verwalteten Identität Ihres Hubs die Azure RBAC-Berechtigung für den Zugriff auf Ihren benutzerdefinierten Endpunkt erteilen. Befolgen Sie den Artikel Unterstützung verwalteter Identitäten in IoT-Hub, um eine verwaltete Identität mit der Azure RBAC-Berechtigung bereitzustellen und den benutzerdefinierten Endpunkt zu Ihrem IoT-Hub hinzuzufügen. Stellen Sie sicher, dass Sie die Ausnahme für vertrauenswürdige Microsoft-Erstanbieter aktivieren, um den Zugriff Ihres IoT-Hubs auf den benutzerdefinierten Endpunkt zu ermöglichen, wenn Sie die Firewallkonfigurationen eingerichtet haben.

Preise für vertrauenswürdige Microsoft-Dienstoption

Das Feature für die Ausnahme für vertrauenswürdige Microsoft-Erstanbieterdienste ist kostenlos. Die Gebühren für die bereitgestellten Speicherkonten, Event Hubs oder Service Bus-Ressourcen werden separat berechnet.

Nächste Schritte

Verwenden Sie die unten angegebenen Links, um weitere Informationen zu IoT Hub-Features zu erhalten: