IoT Hub dukungan untuk jaringan virtual dengan Azure Private Link

  • Artikel

Secara default, nama host IoT Hub memetakan titik akhir publik dengan alamat IP yang dapat dirutekan secara publik melalui internet. Pelanggan yang berbeda berbagi titik akhir publik IoT Hub ini, dan perangkat IoT di jaringan area luas serta semua jaringan lokal dapat mengaksesnya.

Diagram titik akhir publik IoT Hub.

Beberapa fitur IoT Hub, termasuk perutean pesan, pengunggahan file, dan impor/ekspor perangkat massal, juga memerlukan konektivitas dari IoT Hub ke sumber daya Azure milik pelanggan melalui titik akhir publiknya. Jalur konektivitas ini membentuk lalu lintas keluar dari IoT Hub ke sumber daya pelanggan.

Anda mungkin ingin membatasi konektivitas ke sumber daya Azure Anda (termasuk IoT Hub) melalui VNet yang Anda miliki dan operasikan karena beberapa alasan, termasuk:

  • Memperkenalkan isolasi jaringan untuk hub IoT Anda dengan mencegah paparan konektivitas ke internet publik.

  • Mengaktifkan pengalaman konektivitas privat dari aset jaringan lokal Anda, yang memastikan bahwa data dan lalu lintas Anda dikirimkan langsung ke jaringan backbone Azure.

  • Mencegah serangan eksfiltrasi dari jaringan lokal yang sensitif.

  • Mengikuti pola konektivitas seluruh Azure yang mapan menggunakan titik akhir privat.

Artikel ini menjelaskan cara mencapai tujuan ini menggunakan Azure Private Link untuk konektivitas masuk ke IoT Hub dan menggunakan pengecualian layanan Microsoft tepercaya untuk konektivitas keluar dari IoT Hub ke sumber daya Azure lainnya.

Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam VNet milik pelanggan di mana sumber daya Azure dapat dijangkau. Dengan Azure Private Link, Anda dapat menyiapkan titik akhir privat untuk hub IoT Anda untuk memungkinkan layanan di dalam VNet Anda mencapai IoT Hub tanpa mengharuskan lalu lintas dikirim ke titik akhir publik IoT Hub. Demikian pula, perangkat lokal Anda dapat menggunakan Virtual Private Network (VPN) atau peering ExpressRoute untuk mendapatkan konektivitas ke VNet dan hub IoT Anda (melalui titik akhir privatnya). Akibatnya, Anda dapat membatasi atau memblokir konektivitas sepenuhnya ke titik akhir publik hub IoT Anda menggunakan filter IP IoT Hub atau toggle akses jaringan publik. Pendekatan ini menjaga konektivitas ke hub Anda menggunakan titik akhir privat untuk perangkat. Fokus utama dari pengaturan ini adalah untuk perangkat di dalam jaringan lokal. Penyiapan ini tidak disarankan untuk perangkat yang disebarkan dalam jaringan area luas.

Diagram ingress jaringan virtual IoT Hub.

Sebelum melanjutkan, pastikan prasyarat berikut terpenuhi:

Menyiapkan titik akhir privat untuk lalu lintas masuk IoT Hub

Titik akhir privat berfungsi untuk API perangkat IoT Hub (seperti pesan perangkat ke cloud) dan API layanan (seperti membuat dan memperbarui perangkat).

  1. Di portal Azure, navigasi ke hub IoT Anda.

  2. Pilih AksesprivatJaringan>, lalu pilih Buat titik akhir privat.

    Cuplikan layar memperlihatkan tempat menambahkan titik akhir privat untuk IoT Hub.

  3. Berikan langganan, grup sumber daya, nama, dan wilayah untuk membuat titik akhir privat baru. Idealnya, titik akhir privat harus dibuat di wilayah yang sama dengan hub Anda.

  4. Pilih Berikutnya: Sumber Daya, dan berikan langganan untuk sumber daya IoT Hub Anda, dan pilih "Microsoft.Devices/IotHubs" sebagai jenis sumber daya, nama hub IoT Anda sebagai sumber daya, dan iotHub sebagai subsumber daya target.

  5. Pilih Berikutnya: Konfigurasi dan sediakan jaringan virtual dan subnet Anda untuk membuat titik akhir privat. Pilih opsi untuk berintegrasi dengan zona DNS privat Azure, jika diinginkan.

  6. Pilih Berikutnya: Tag, dan secara opsional berikan tag apa pun untuk sumber daya Anda.

  7. Pilih Tinjau + buat untuk membuat sumber daya tautan privat Anda.

Titik akhir yang kompatibel dengan Azure Event Hubs bawaan

Titik akhir yang kompatibel dengan Azure Event Hubs bawaan juga dapat diakses melalui titik akhir privat. Saat tautan privat dikonfigurasi, Anda akan melihat koneksi titik akhir privat lain untuk titik akhir bawaan. Ini adalah koneksi titik akhir privat dengan servicebus.windows.net di FQDN.

Cuplikan layar memperlihatkan dua titik akhir privat yang diberikan setiap tautan privat IoT Hub

Filter IP IoT Hub dapat secara opsional mengontrol akses publik ke titik akhir bawaan.

Untuk memblokir akses jaringan publik sepenuhnya ke IoT hub Anda, nonaktifkan akses jaringan publik atau gunakan filter IP untuk memblokir semua IP dan pilih opsi untuk menerapkan aturan ke titik akhir bawaan.

Untuk detail harga, lihat Harga Azure Private Link.

Konektivitas keluar dari IoT Hub ke sumber daya Azure lainnya

IoT Hub dapat terhubung ke penyimpanan blob Azure Anda, event hub, sumber daya bus layanan untuk perutean pesan, pengunggahan file, dan impor/ekspor perangkat massal melalui titik akhir publik sumber daya. Mengikat sumber daya Anda ke VNet memblokir konektivitas ke sumber daya secara default. Akibatnya, konfigurasi ini mencegah hub IoT mengirim data ke sumber daya Anda. Untuk memperbaiki masalah ini, aktifkan konektivitas dari sumber daya IoT Hub Anda ke akun penyimpanan, event hub, atau sumber daya bus layanan anda melalui opsi layanan Microsoft tepercaya.

Untuk mengizinkan layanan lain menemukan hub IoT Anda sebagai layanan Microsoft tepercaya, hub Anda harus menggunakan identitas terkelola. Setelah identitas terkelola disediakan, berikan izin ke identitas terkelola hub Anda untuk mengakses titik akhir kustom Anda. Ikuti artikel Dukungan identitas terkelola di IoT Hub untuk menyediakan identitas terkelola dengan izin kontrol akses berbasis peran (RBAC) Azure, dan tambahkan titik akhir kustom ke hub IoT Anda. Pastikan Anda mengaktifkan pengecualian pihak pertama Microsoft tepercaya untuk mengizinkan akses hub IoT Anda ke titik akhir kustom jika Anda memiliki konfigurasi firewall.

Harga untuk opsi layanan Microsoft tepercaya

Fitur pengecualian layanan pihak pertama Microsoft tepercaya tidak dikenakan biaya. Biaya untuk akun penyimpanan yang disediakan, event hubs, atau sumber daya bus layanan berlaku secara terpisah.

Langkah berikutnya

Gunakan tautan berikut untuk mempelajari selengkapnya tentang fitur IoT Hub: