IoT Hub-támogatás az Azure Private Linkkel rendelkező virtuális hálózatokhoz

Alapértelmezés szerint az IoT Hub gazdagépnevei egy nyilvános, az interneten nyilvánosan elérhető IP-címmel rendelkező végpontra mutatnak. A különböző ügyfelek ugyanezt a nyilvános IoT Hub-végpontot használják, a nagy kiterjedésű hálózatokon és a helyszíni hálózatokon található IoT-eszközök pedig egyaránt hozzáférhetnek.

Note

IoT Hub további végpontokat vezet be a TLS 1.3 (előzetes verzió) támogatásához. Ezek a végpontok additívak, és nem helyettesítik a Private Link által használt meglévő végpontot (<hub>.azure-devices.net). A meglévő privát végpont konfigurációi továbbra is módosítások nélkül működnek.

További információ ezekről a végpontokról: TLS 1.3-kompatibilis végpontok.

Egyes IoT Hub-funkciók, például az üzenet-útválasztás, a fájlfeltöltés és a tömeges eszközimportálás/-exportálás szintén megkövetelik az IoT Hubról az ügyfél tulajdonában lévő Azure-erőforráshoz való csatlakozást a nyilvános végponton keresztül. Ezek a csatlakozási útvonalak alkotják az IoT Hubról az ügyfélerőforrások felé érkező kimenő forgalmat.

Érdemes lehet korlátozni az Azure-erőforrásokhoz (beleértve az IoT Hubot is) való kapcsolódást egy olyan virtuális hálózaton keresztül, amely ön tulajdonában van, és több okból is működik, például:

• Az IoT Hub hálózati elkülönítésének bevezetése a nyilvános internethez való kapcsolódás megelőzésével.

• A helyszíni hálózati eszközök privát kapcsolati élményének engedélyezése, amely biztosítja, hogy az adatok és a forgalom közvetlenül az Azure gerinchálózatára legyen továbbítva.

• A bizalmas helyszíni hálózatok kiszivárgási támadásainak megakadályozása.

• Az Azure-ra kiterjedő, privát végpontokat használó kapcsolati minták követése.

Ez a cikk bemutatja, hogyan érhetők el ezek a célok az Azure Private Link használatával az IoT Hubhoz irányuló bejövő kapcsolathoz, valamint a megbízható Microsoft-szolgáltatásokra vonatkozó kivétel használatával az IoT Hubból más Azure-erőforrások felé irányuló kimenő kapcsolathoz.

Bejövő kapcsolat az IoT Hubhoz az Azure Private Link használatával

A privát végpont egy olyan privát IP-cím, amely egy ügyfél tulajdonában lévő virtuális hálózaton belül van lefoglalva, amelyen keresztül egy Azure-erőforrás elérhető. A Azure Private Link használatával beállíthat egy privát végpontot a IoT hub számára, hogy a virtuális hálózaton belüli szolgáltatások elérjék IoT Hub anélkül, hogy forgalmat küldenek IoT Hub nyilvános végpontjára. A helyszíni eszközök hasonlóképpen használhatják az Azure VPN Gateway vagy az Azure ExpressRoute kapcsolatot, hogy hozzáférjenek a virtuális hálózathoz és az IoT Hubhoz (annak privát végpontján keresztül). Ennek eredményeképpen IoT Hub IP-szűrő vagy a nyilvános hálózati hozzáférés kapcsolóját. Ez a megközelítés az eszközök privát végpontja használatával tartja a kapcsolatot a központtal. Ennek a beállításnak a fő fókusza a helyszíni hálózaton belüli eszközökre vonatkozik. Ez a beállítás nem ajánlott a széles körű hálózaton üzembe helyezett eszközök esetében.

A folytatás előtt győződjön meg arról, hogy a következő előfeltételek teljesülnek:

• Létrehozott egy Azure-beli virtuális hálózatot egy alhálózattal, amelyben létre szeretné hozni a privát végpontot.

• A helyszíni hálózatokban működő eszközök esetében állítsa be az Azure VPN Gateway vagy az Azure ExpressRoute privát peeringet az Azure-beli virtuális hálózatba.

Privát végpont beállítása az IoT Hub bejövő forgalmához

A privát végpontok az IoT Hub eszköz API-jaihoz (például az eszközről a felhőbe irányuló üzenetekhez) és a szolgáltatás API-khoz (például eszközök létrehozásához és frissítéséhez) működnek.

1. Az Azure Portalon nyissa meg az IoT Hubot.

2. A bal oldali panel Biztonsági beállítások csoportjában válassza a Hálózatkezelés>privát hozzáférés lehetőséget, majd válassza a Privát végpont létrehozása lehetőséget.

   

3. Adja meg az előfizetést, az erőforráscsoportot, a nevet, a hálózati adapter nevét és a régiót az új privát végpont létrehozásához. Hozza létre a privát végpontot ugyanabban a régióban, mint a központ.

4. Válassza a Next: Erőforrás lehetőséget, és adja meg a IoT Hub erőforrás előfizetését. Ezután válassza a Microsoft.Devices/IotHubs lehetőséget az erőforrástípushoz, az IoT Hub nevét erőforrásként, az iotHubot pedig cél-alforrásként.

5. Válassza a Next: Virtual Network lehetőséget, majd adja meg a virtual network és alhálózatot a privát végpont létrehozásához.

6. Válassza a Tovább: DNS lehetőséget, és szükség esetén válassza ki a privát DNS-zónával való integrálás lehetőségét.

7. Válassza a Tovább: Címkék lehetőséget, és igény szerint adja meg az erőforrás címkéinek nevét.

8. Válassza a Tovább: Áttekintés + létrehozás lehetőséget a privát kapcsolati erőforrás részleteinek áttekintéséhez, majd válassza a Létrehozás lehetőséget az erőforrás létrehozásához.

Beépített Event Hubs-kompatibilis végpont

A beépített Event Hubs-kompatibilis végpontot privát végponton keresztül is elérheti. A privát kapcsolat konfigurálásakor egy másik privát végpontkapcsolat és konfiguráció jelenik meg a beépített végponthoz. Ez az, amelyik a servicebus.windows.net teljes tartománynévben szerepel.

Igény szerint használhatja IoT Hub IP-szűrőjét a beépített végponthoz való nyilvános hozzáférés szabályozásához.

Az IoT Hub nyilvános hálózati hozzáférésének teljes letiltásához kapcsolja ki a nyilvános hálózati hozzáférést , vagy ip-szűrő használatával tiltsa le az összes IP-címet, és válassza ki a szabályokat a beépített végpontra vonatkozó szabályok alkalmazásához.

A Private Link díjszabása

A díjszabás részleteiért tekintse meg az Azure Private Link díjszabását.

Kimenő kapcsolódás az IoT Hubból más Azure-erőforrásokhoz

Az IoT Hub csatlakozhat az Azure Blob Storage-, Event Hubs- és Service Bus-erőforrásaihoz üzenetirányításhoz, fájlfeltöltéshez és eszközök tömeges importálásához/exportálásához az erőforrások nyilvános végpontján keresztül. Az erőforrás virtuális hálózathoz való kötése alapértelmezés szerint blokkolja az erőforráshoz való kapcsolódást. Ennek eredményeképpen ez a konfiguráció megakadályozza, hogy az IoT Hubok adatokat küldjenek az erőforrásoknak. A probléma megoldásához engedélyezze a IoT Hub erőforrás és a tárfiók, eseményközpont vagy Service Bus erőforrás közötti kapcsolatot a megbízható Microsoft szolgáltatás beállításon keresztül.

Ahhoz, hogy más szolgáltatások megbízható Microsoft-szolgáltatásként találják meg az IoT Hubot, a központnak felügyelt identitást kell használnia. Miután kiépült egy felügyelt identitás, adjon engedélyt a központ felügyelt identitásának az egyéni végpont eléréséhez. Kövesse a felügyelt identitások IoT Hub-támogatásában megadott eljárásokat egy felügyelt identitás Azure szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel történő kiépítéséhez, és adja hozzá az egyéni végpontot az IoT Hubhoz. Ha engedélyezni szeretné, hogy az IoT Hubok hozzáférjenek az egyéni végponthoz, kapcsolja be a megbízható Microsoft első féltől származó kivételt, ha rendelkezik a tűzfalkonfigurációkkal.

Megbízható Microsoft-szolgáltatás díjszabása

A Megbízható Microsoft első féltől származó szolgáltatások kivételi funkciója ingyenes. A kiépített tárfiókok, eseményközpontok vagy service bus-erőforrások díjai külön vonatkoznak.

Következő lépések

A IoT Hub funkciókkal kapcsolatos további információkért tekintse meg a következő erőforrásokat:

• Az IoT Hub üzenet-útválasztásának használata az eszközről a felhőbe irányuló üzenetek Azure-szolgáltatásokba való küldéséhez
• Fájlok feltöltése az IoT Hubbal
• IoT Hub-eszközidentitások tömeges importálása vagy exportálása