IoT Hub dukungan untuk jaringan virtual dengan Azure Private Link
Secara default, nama host IoT Hub memetakan titik akhir publik dengan alamat IP yang dapat dirutekan secara publik melalui internet. Pelanggan yang berbeda berbagi titik akhir publik IoT Hub ini, dan perangkat IoT di jaringan area luas serta semua jaringan lokal dapat mengaksesnya.
Beberapa fitur IoT Hub, termasuk perutean pesan, pengunggahan file, dan impor/ekspor perangkat massal, juga memerlukan konektivitas dari IoT Hub ke sumber daya Azure milik pelanggan melalui titik akhir publiknya. Jalur konektivitas ini membentuk lalu lintas keluar dari IoT Hub ke sumber daya pelanggan.
Anda mungkin ingin membatasi konektivitas ke sumber daya Azure Anda (termasuk IoT Hub) melalui VNet yang Anda miliki dan operasikan karena beberapa alasan, termasuk:
Memperkenalkan isolasi jaringan untuk hub IoT Anda dengan mencegah paparan konektivitas ke internet publik.
Mengaktifkan pengalaman konektivitas privat dari aset jaringan lokal Anda, yang memastikan bahwa data dan lalu lintas Anda dikirimkan langsung ke jaringan backbone Azure.
Mencegah serangan eksfiltrasi dari jaringan lokal yang sensitif.
Mengikuti pola konektivitas seluruh Azure yang mapan menggunakan titik akhir privat.
Artikel ini menjelaskan cara mencapai tujuan ini menggunakan Azure Private Link untuk konektivitas masuk ke IoT Hub dan menggunakan pengecualian layanan Microsoft tepercaya untuk konektivitas keluar dari IoT Hub ke sumber daya Azure lainnya.
Konektivitas masuk ke IoT Hub menggunakan Azure Private Link
Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam VNet milik pelanggan di mana sumber daya Azure dapat dijangkau. Dengan Azure Private Link, Anda dapat menyiapkan titik akhir privat untuk hub IoT Anda untuk memungkinkan layanan di dalam VNet Anda mencapai IoT Hub tanpa mengharuskan lalu lintas dikirim ke titik akhir publik IoT Hub. Demikian pula, perangkat lokal Anda dapat menggunakan Virtual Private Network (VPN) atau peering ExpressRoute untuk mendapatkan konektivitas ke VNet dan hub IoT Anda (melalui titik akhir privatnya). Akibatnya, Anda dapat membatasi atau memblokir konektivitas sepenuhnya ke titik akhir publik hub IoT Anda menggunakan filter IP IoT Hub atau toggle akses jaringan publik. Pendekatan ini menjaga konektivitas ke hub Anda menggunakan titik akhir privat untuk perangkat. Fokus utama dari pengaturan ini adalah untuk perangkat di dalam jaringan lokal. Penyiapan ini tidak disarankan untuk perangkat yang disebarkan dalam jaringan area luas.
Sebelum melanjutkan, pastikan prasyarat berikut terpenuhi:
Anda telah membuat Azure VNet dengan subnet tempat titik akhir privat akan dibuat.
Untuk perangkat yang beroperasi di dalam jaringan lokal, siapkan Jaringan Privat Maya (VPN) atau peering privat ExpressRoute ke Azure VNET Anda.
Menyiapkan titik akhir privat untuk lalu lintas masuk IoT Hub
Titik akhir privat berfungsi untuk API perangkat IoT Hub (seperti pesan perangkat ke cloud) dan API layanan (seperti membuat dan memperbarui perangkat).
Di portal Azure, navigasi ke hub IoT Anda.
Pilih AksesprivatJaringan>, lalu pilih Buat titik akhir privat.
Berikan langganan, grup sumber daya, nama, dan wilayah untuk membuat titik akhir privat baru. Idealnya, titik akhir privat harus dibuat di wilayah yang sama dengan hub Anda.
Pilih Berikutnya: Sumber Daya, dan berikan langganan untuk sumber daya IoT Hub Anda, dan pilih "Microsoft.Devices/IotHubs" sebagai jenis sumber daya, nama hub IoT Anda sebagai sumber daya, dan iotHub sebagai subsumber daya target.
Pilih Berikutnya: Konfigurasi dan sediakan jaringan virtual dan subnet Anda untuk membuat titik akhir privat. Pilih opsi untuk berintegrasi dengan zona DNS privat Azure, jika diinginkan.
Pilih Berikutnya: Tag, dan secara opsional berikan tag apa pun untuk sumber daya Anda.
Pilih Tinjau + buat untuk membuat sumber daya tautan privat Anda.
Titik akhir yang kompatibel dengan Azure Event Hubs bawaan
Titik akhir yang kompatibel dengan Azure Event Hubs bawaan juga dapat diakses melalui titik akhir privat. Saat tautan privat dikonfigurasi, Anda akan melihat koneksi titik akhir privat lain untuk titik akhir bawaan. Ini adalah koneksi titik akhir privat dengan servicebus.windows.net
di FQDN.
Filter IP IoT Hub dapat secara opsional mengontrol akses publik ke titik akhir bawaan.
Untuk memblokir akses jaringan publik sepenuhnya ke IoT hub Anda, nonaktifkan akses jaringan publik atau gunakan filter IP untuk memblokir semua IP dan pilih opsi untuk menerapkan aturan ke titik akhir bawaan.
Harga untuk Private Link
Untuk detail harga, lihat Harga Azure Private Link.
Konektivitas keluar dari IoT Hub ke sumber daya Azure lainnya
IoT Hub dapat terhubung ke penyimpanan blob Azure Anda, event hub, sumber daya bus layanan untuk perutean pesan, pengunggahan file, dan impor/ekspor perangkat massal melalui titik akhir publik sumber daya. Mengikat sumber daya Anda ke VNet memblokir konektivitas ke sumber daya secara default. Akibatnya, konfigurasi ini mencegah hub IoT mengirim data ke sumber daya Anda. Untuk memperbaiki masalah ini, aktifkan konektivitas dari sumber daya IoT Hub Anda ke akun penyimpanan, event hub, atau sumber daya bus layanan anda melalui opsi layanan Microsoft tepercaya.
Untuk mengizinkan layanan lain menemukan hub IoT Anda sebagai layanan Microsoft tepercaya, hub Anda harus menggunakan identitas terkelola. Setelah identitas terkelola disediakan, berikan izin ke identitas terkelola hub Anda untuk mengakses titik akhir kustom Anda. Ikuti artikel Dukungan identitas terkelola di IoT Hub untuk menyediakan identitas terkelola dengan izin kontrol akses berbasis peran (RBAC) Azure, dan tambahkan titik akhir kustom ke hub IoT Anda. Pastikan Anda mengaktifkan pengecualian pihak pertama Microsoft tepercaya untuk mengizinkan akses hub IoT Anda ke titik akhir kustom jika Anda memiliki konfigurasi firewall.
Harga untuk opsi layanan Microsoft tepercaya
Fitur pengecualian layanan pihak pertama Microsoft tepercaya tidak dikenakan biaya. Biaya untuk akun penyimpanan yang disediakan, event hubs, atau sumber daya bus layanan berlaku secara terpisah.
Langkah berikutnya
Gunakan tautan berikut untuk mempelajari selengkapnya tentang fitur IoT Hub: