IoT Hub-Unterstützung für virtuelle Netzwerke mit Azure Private Link

  • Artikel

Standardmäßig werden IoT Hub-Hostnamen einem öffentlichen Endpunkt mit einer öffentlich routingfähigen IP-Adresse über das Internet zugeordnet. Dieser öffentliche IoT Hub-Endpunkt wird von verschiedenen Kunden gemeinsam genutzt, und alle IoT-Geräte in WANs und lokalen Netzwerken können darauf zugreifen.

Diagramm: Öffentlicher IoT Hub-Endpunkt

Einige IoT Hub-Features wie das Nachrichtenrouting, der Dateiupload und das Importieren und Exportieren von Geräten per Massenvorgang erfordern ebenfalls Konnektivität zwischen IoT Hub und einer kundeneigenen Azure-Ressource über den öffentlichen Endpunkt. Diese Konnektivitätspfade bilden den ausgehenden Datenverkehr von IoT Hub zu Kundenressourcen.

Möglicherweise möchten Sie aus verschiedenen Gründen die Konnektivität mit Ihren Azure-Ressourcen (einschließlich IoT Hub) über ein VNet einschränken, das Sie besitzen und betreiben:

  • Netzwerkisolation für Ihren IoT-Hub durch Unterbinden der Konnektivität mit dem öffentlichen Internet.

  • Aktivieren einer privaten Konnektivitätsumgebung von Ihren lokalen Netzwerkressourcen, um sicherzustellen, dass Ihre Daten und der Datenverkehr direkt an das Azure-Backbone-Netzwerk übertragen wird

  • Verhindern der Exfiltration von Angriffen von vertraulichen, lokalen Netzwerken

  • Befolgen bewährter Azure-Konnektivitätsmuster mithilfe privater Endpunkte

In diesem Artikel wird beschrieben, wie Sie diese Ziele erreichen, indem Sie Azure Private Link für eingehende Verbindungen mit IoT Hub verwenden und für ausgehende Verbindungen von IoT Hub mit anderen Azure-Ressourcen Ausnahmen für vertrauenswürdige Microsoft-Dienste definieren.

Ein privater Endpunkt ist eine private IP-Adresse, die in einem kundeneigenen VNet zugeordnet ist, über das eine Azure-Ressource erreichbar ist. Mit Azure Private Link können Sie einen privaten Endpunkt für Ihren IoT-Hub einrichten und damit den Diensten in Ihrem VNet erlauben, IoT Hub zu erreichen, ohne dass Datenverkehr an den öffentlichen IoT Hub-Endpunkt gesendet werden muss. Ebenso können Ihre lokalen Geräte ein virtuelles privates Netzwerk (VPN) oder ExpressRoute-Peering verwenden, um eine Verbindung mit Ihrem VNet und IoT-Hub (über den privaten Endpunkt) herzustellen. So können Sie die Konnektivität mit den öffentlichen Endpunkten Ihres IoT-Hubs einschränken oder vollständig blockieren, indem Sie IoT Hub-IP-Filter oder die Funktion zum Umschalten des Zugriffs über öffentliche Netzwerke verwenden. Auf diese Weise erfolgen Verbindungen mit Ihrem Hub ausschließlich über den privaten Endpunkt für Geräte. Der Schwerpunkt dieses Setups liegt auf Geräten, die sich in einem lokalen Netzwerk befinden. Dieses Setup wird nicht für Geräte empfohlen, die in einem WAN bereitgestellt werden.

Diagramm: Eingang beim IoT Hub über das virtuelle Netzwerk

Vergewissern Sie sich, dass die folgenden Voraussetzungen erfüllt sind, bevor Sie fortfahren:

  • Sie haben ein Azure-VNET mit einem Subnetz erstellt, in dem der private Endpunkt erstellt wird.

  • Richten Sie für Geräte, die in lokalen Netzwerken betrieben werden, Verbindungen mit Ihrem Azure-VNET über ein virtuelles privates Netzwerk (VPN) oder per privatem ExpressRoute-Peering ein.

Einrichten eines privaten Endpunkts für eingehenden IoT Hub-Datenverkehr

Ein privater Endpunkt kann für IoT Hub-Geräte-APIs (z. B. Gerät-zu-Cloud-Nachrichten) und Dienst-APIs (z. B. Erstellen und Aktualisieren von Geräten) verwendet werden.

  1. Navigieren Sie im Azure-Portal zu Ihrem IoT Hub.

  2. Wählen Sie Netzwerk>Privater Zugriff und dann Privaten Endpunkt erstellen aus.

    Screenshot, der zeigt, wo ein privater Endpunkt für IoT Hub hinzugefügt wird

  3. Geben Sie das Abonnement, die Ressourcengruppe, den Namen und die Region an, um den neuen privaten Endpunkt zu erstellen. Idealerweise sollte ein privater Endpunkt in der gleichen Region wie Ihr Hub erstellt werden.

  4. Wählen Sie Weiter: Ressource aus, und geben Sie das Abonnement für die IoT Hub-Ressource an. Wählen Sie dann "Microsoft.Devices/IotHubs" als Ressourcentyp, den Namen des IoT-Hubs als Ressource und iotHub als Zielunterressource aus.

  5. Wählen Sie Weiter: Konfiguration aus, und stellen Sie Ihr virtuelles Netzwerk und Subnetz bereit, in dem der private Endpunkt erstellt werden soll. Klicken Sie bei Bedarf auf die Option für die Integration in eine private Azure-DNS-Zone.

  6. Wählen Sie Weiter: Tags aus, und stellen Sie optional Tags für Ihre Ressource bereit.

  7. Wählen Sie Überprüfen und erstellen aus, um die Private Link-Ressource zu erstellen.

Integrierter, mit Event Hubs kompatibler Endpunkt

Auf den integrierten, mit Event Hubs kompatiblen Endpunkt kann auch über den privaten Endpunkt zugegriffen werden. Bei konfigurierter privater Verbindung sollte für den integrierten Endpunkt eine weitere Verbindung für private Endpunkte angezeigt werden. Dabei handelt es sich um das Element mit servicebus.windows.net im vollqualifizierten Domänennamen.

Screenshot: Zwei private Endpunkte mit jeweils angegebener privater IoT Hub-Verbindung

Der IP-Filter von IoT Hub kann optional den öffentlichen Zugriff auf den integrierten Endpunkt steuern.

Wenn Sie den Zugriff des öffentlichen Netzwerks auf Ihren IoT-Hub vollständig blockieren möchten, deaktivieren Sie den öffentlichen Netzwerkzugriff, oder verwenden Sie IP-Filter, um alle IP-Adressen zu blockieren, und wählen Sie die Option zum Anwenden von Regeln auf den integrierten Endpunkt aus.

Ausführliche Preisinformationen finden Sie unter Azure Private Link – Preise.

Ausgehende Konnektivität von IoT Hub zu anderen Azure-Ressourcen

IoT Hub kann für das Nachrichtenrouting, den Dateiupload und das Importieren und Exportieren von Geräten per Massenvorgang über den öffentlichen Endpunkt der Ressourcen eine Verbindung mit Azure Blob Storage-, Event Hub- und Service Bus-Ressourcen herstellen. Durch Binden einer Ressource an ein VNET wird standardmäßig die Konnektivität mit dieser Ressource blockiert. Dies führt dazu, dass diese Konfiguration IoT-Hubs daran hindert, Daten an Ihre Ressourcen zu senden. Um dieses Problem zu beheben, müssen Sie die Konnektivität von Ihrer IoT Hub-Ressource mit Ihren Speicherkonto-, Event Hub- oder Service Bus-Ressourcen über die Option Vertrauenswürdige Microsoft-Dienste aktivieren.

Damit andere Dienste Ihren IoT-Hub als vertrauenswürdigen Microsoft-Dienst finden können, muss Ihr Hub eine verwaltete Identität verwenden. Sobald eine verwaltete Identität bereitgestellt ist, erteilen Sie der verwalteten Identität Ihres Hubs Berechtigung für den Zugriff auf Ihren benutzerdefinierten Endpunkt. Befolgen Sie die Schritte im Artikel IoT Hub-Unterstützung für verwaltete Identitäten, um eine verwaltete Identität mit Azure RBAC-Berechtigung (Role-Based Access Control, rollenbasierte Zugriffssteuerung) bereitzustellen und den benutzerdefinierten Endpunkt zu Ihrem IoT-Hub hinzuzufügen. Stellen Sie sicher, dass Sie die Ausnahme für vertrauenswürdige Microsoft-Erstanbieter aktivieren, um den Zugriff Ihrer IoT-Hubs auf den benutzerdefinierten Endpunkt zu ermöglichen, wenn Sie die Firewallkonfigurationen eingerichtet haben.

Preise für vertrauenswürdige Microsoft-Dienstoption

Das Feature für die Ausnahme für vertrauenswürdige Microsoft-Erstanbieterdienste ist kostenlos. Die Gebühren für die bereitgestellten Speicherkonten, Event Hubs oder Service Bus-Ressourcen werden separat berechnet.

Nächste Schritte

Unter den folgenden Links erfahren Sie mehr über IoT Hub-Features: