Compatibilidad de IoT Hub con redes virtuales mediante Private Link

De forma predeterminada, los nombres de host de IoT Hub se asignan a un punto de conexión público con una dirección IP enrutable públicamente a través de Internet. Diferentes clientes comparten este punto de conexión público de IoT Hub, que es accesible para todos los dispositivos de IoT a través de redes de área extensa y redes locales.

De forma similar, algunas características de IoT Hub, entre las que se incluyen el enrutamiento de mensajes, carga de archivos e importación/exportación en bloque de dispositivos, requieren conectividad de IoT Hub a un recurso de Azure propiedad del cliente a través de su punto de conexión público. Estas rutas de conectividad conforman el tráfico de salida de IoT Hub a los recursos del cliente.

Puede haber varios motivos por los que puede desear restringir la conectividad a los recursos de Azure (incluido IoT Hub) para que solo se realice a través de una red virtual de su propiedad y bajo su control, entre los que se incluyen:

• Introducción del aislamiento de red para IoT Hub evitando la exposición de la conectividad a la red pública de Internet.

• Habilitación de una experiencia de conectividad privada desde sus recursos de la red local, lo que garantiza que sus datos y tráfico se transmiten directamente a la red troncal de Azure.

• Prevención de ataques de exfiltración de redes locales confidenciales.

• Seguimiento de los patrones de conectividad generales de Azure establecidos mediante puntos de conexión privados.

En este artículo se describe cómo lograr estos objetivos mediante el uso de Azure Private Link para la conectividad de entrada a IoT Hub y el uso de la excepción de servicios de Microsoft de confianza para la conectividad de salida de IoT Hub a otros recursos de Azure.

Conectividad de entrada a IoT Hub mediante Azure Private Link

Un punto de conexión privado es una dirección IP privada asignada en una red virtual propiedad del cliente a través de la que se puede acceder a un recurso de Azure. Con Azure Private Link, se puede configurar un punto de conexión privado para un centro de IoT, con el fin de que los servicios que operan en la red virtual puedan acceder a IoT Hub sin necesidad de enviar el tráfico al punto de conexión público de IoT Hub. Del mismo modo, los dispositivos locales pueden usar la red privada virtual (VPN) o el emparejamiento de ExpressRoute para obtener conectividad con la red virtual y la instancia de IoT Hub (a través de su punto de conexión privado). Por tanto, puede restringir o bloquear por completo la conectividad en los puntos de conexión públicos de la instancia de IoT Hub utilizando un filtro de IP de IoT Hub o activando y desactivando el acceso a la red pública. Este enfoque mantiene la conectividad con el centro mediante el punto de conexión privado para dispositivos. El objetivo principal de esta configuración es para los dispositivos de una red local. No se recomienda esta configuración para los dispositivos implementados en una red de área extensa.

Antes de continuar, asegúrese de que se cumplen los requisitos previos siguientes:

• Ha creado una red virtual de Azure con una subred en la que se creará el punto de conexión privado.

• En el caso de los dispositivos que operan en redes locales, configure la red privada virtual (VPN) o el emparejamiento privado de ExpressRoute en su red virtual de Azure.

Configuración de un punto de conexión privado para la entrada de IoT Hub

El punto de conexión privado funciona para las API de los dispositivos de IoT Hub (como los mensajes de dispositivo a nube), así como para las API de los servicios (como la creación y la actualización de dispositivos).

1. En Azure Portal, navegue hasta su centro de IoT.

2. Seleccione Redes>Acceso privado y, después, Crear un punto de conexión privado.

   

3. Indique la suscripción, el grupo de recursos, el nombre y la región donde desea crear el punto de conexión privado. Lo más adecuado es que el punto de conexión privado se cree en la misma región que el centro de conectividad.

4. Seleccione Siguiente: Recurso, especifique la suscripción del recurso de IoT Hub y seleccione "Microsoft.Devices/IotHubs" como tipo de recurso, su nombre de IoT Hub como recurso e iotHub como subrecurso de destino.

5. Seleccione Siguiente: Configuración y especifique la red virtual y la subred en que se creará el punto de conexión privado. Si lo desea, seleccione la opción para la integración con la zona DNS privada de Azure.

6. Seleccione Siguiente: Etiquetas y, de manera opcional, especifique las etiquetas del recurso.

7. Seleccione Revisar y crear para crear un recurso de Private Link.

Punto de conexión integrado compatible con Event Hubs

Al punto de conexión integrado compatible con Event Hubs también se puede acceder a través de un punto de conexión privado. Cuando configure Private Link, debería ver otra conexión de punto de conexión privado para el punto de conexión integrado. Es el que tiene servicebus.windows.net en FQDN.

De manera opcional, el filtro IP de IoT Hub puede controlar el acceso público al punto de conexión integrado.

Para bloquear completamente el acceso de la red pública a su centro de IoT, desactive el acceso a la red pública o use el filtro de IP para bloquear todas las direcciones IP y seleccione la opción para aplicar reglas al punto de conexión integrado.

Precios de Private Link

Para más información sobre los precios, consulte Precios de Azure Private Link.

Conectividad de salida de IoT Hub a otros recursos de Azure

IoT Hub puede conectar con los recursos de Azure Blob Storage, Event Hubs, Service Bus para el enrutamiento de mensajes, la carga de archivos y la importación/exportación en bloque de dispositivos a través del punto de conexión público de los recursos. Al enlazar el recurso a una red virtual, se bloquea la conectividad al recurso de forma predeterminada. Como resultado, esta configuración impide que los centros de IoT envíen datos a los recursos. Para corregir este problema, habilite la conectividad desde el recurso de IoT Hub a su recurso de cuenta de almacenamiento, Event Hubs o Service Bus a través de la opción de servicio de confianza de Microsoft.

Para que otros servicios puedan encontrar considerar su centro de IoT un servicio de confianza de Microsoft, el centro debe usar una identidad administrada. Una vez aprovisionada una identidad administrada, conceda a la identidad administrada del centro permiso para acceder a su punto de conexión personalizado. Siga las instrucciones del artículo Compatibilidad con identidades administradas en IoT Hub para aprovisionar una identidad administrada con el permiso de control de acceso basado en rol (RBAC) de Azure y agregue el punto de conexión personalizado a IoT Hub. Asegúrese de activar la excepción principal de Microsoft de confianza para que el centro de IoT pueda acceder al punto de conexión personalizado si tiene activadas las configuraciones del firewall.

Precios de la opción de servicio de Microsoft de confianza

La característica de excepción de servicios de confianza de Microsoft es gratuita. Los cargos por las cuentas de almacenamiento aprovisionadas, las instancias de Event Hubs o los recursos de Service Bus se aplican por separado.

Pasos siguientes

Use los vínculos siguientes para más información sobre las características de IoT Hub:

• Enrutamiento de mensajes
• Carga de archivos
• Importación/exportación masiva de dispositivos