Keamanan jaringan untuk IoT Central menggunakan titik akhir privat
Titik akhir IoT Central standar untuk konektivitas perangkat diakses menggunakan URL publik. Perangkat apa pun dengan identitas yang valid dapat terhubung ke aplikasi IoT Central Anda dari lokasi mana pun.
Gunakan titik akhir privat untuk membatasi dan mengamankan konektivitas perangkat ke aplikasi IoT Central Anda dan hanya mengizinkan akses melalui jaringan virtual privat Anda.
Titik akhir privat menggunakan alamat IP privat dari ruang alamat jaringan virtual untuk menghubungkan perangkat Anda secara privat ke aplikasi IoT Central Anda. Lalu lintas jaringan antara perangkat di jaringan virtual dan platform IoT melintasi jaringan virtual dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan di internet publik.
Untuk mempelajari selengkapnya tentang Azure Virtual Networks, lihat:
Titik akhir privat di aplikasi IoT Central memungkinkan Anda untuk:
- Amankan kluster Anda dengan mengonfigurasi firewall untuk memblokir semua koneksi perangkat di titik akhir publik.
- Tingkatkan keamanan untuk jaringan virtual dengan memungkinkan Anda melindungi data di jaringan virtual.
- Sambungkan perangkat dengan aman ke IoT Central dari jaringan lokal yang terhubung ke jaringan virtual dengan menggunakan gateway VPN atau peering privat ExpressRoute.
Penggunaan titik akhir privat di IoT Central sesuai untuk perangkat yang terhubung ke jaringan lokal. Anda tidak boleh menggunakan titik akhir privat untuk perangkat yang disebarkan di jaringan area luas seperti internet.
Apa itu titik akhir privat?
Titik akhir privat adalah antarmuka jaringan khusus untuk layanan Azure di jaringan virtual Anda yang ditetapkan alamat IP dari rentang alamat IP jaringan virtual Anda. Titik akhir privat menyediakan konektivitas yang aman antara perangkat Anda di jaringan virtual dan platform IoT tempat mereka terhubung. Koneksi antara titik akhir privat dan platform Azure IoT menggunakan tautan privat yang aman:
Perangkat yang terhubung ke jaringan virtual dapat terhubung dengan mulus ke kluster melalui titik akhir privat. Mekanisme otorisasi adalah mekanisme yang sama dengan yang akan Anda gunakan untuk menyambungkan ke titik akhir publik. Namun, Anda perlu memperbarui URL koneksi DPS karena URL host global.azure-devices-provisioning.net
provisi global tidak diselesaikan saat akses jaringan publik dinonaktifkan untuk aplikasi Anda.
Saat Anda membuat titik akhir privat untuk kluster di jaringan virtual Anda, permintaan persetujuan dikirim untuk disetujui oleh pemilik langganan. Jika pengguna yang meminta pembuatan titik akhir privat juga merupakan pemilik langganan, permintaan akan disetujui secara otomatis. Pemilik langganan dapat mengelola permintaan persetujuan dan titik akhir privat untuk kluster di portal Azure, di bawah Titik akhir privat.
Setiap aplikasi IoT Central dapat mendukung beberapa titik akhir privat, yang masing-masing dapat ditemukan di jaringan virtual di wilayah yang berbeda. Jika Anda berencana menggunakan beberapa titik akhir privat, berhati-hatilah untuk mengonfigurasi DNS Anda dan merencanakan ukuran subnet jaringan virtual Anda.
Merencanakan ukuran subnet di jaringan virtual Anda
Ukuran subnet di jaringan virtual Anda tidak dapat diubah setelah subnet dibuat. Oleh karena itu, penting untuk merencanakan ukuran subnet dan memungkinkan pertumbuhan di masa depan.
IoT Central membuat beberapa FQDN yang terlihat pelanggan sebagai bagian dari penyebaran titik akhir privat. Selain FQDN untuk IoT Central, ada FQDN untuk sumber daya IoT Hub, Event Hubs, dan Device Provisioning Service yang mendasar.
Titik akhir privat IoT Central menggunakan beberapa alamat IP dari jaringan virtual dan subnet Anda. Selain itu, berdasarkan profil beban aplikasi, IoT Central secara otomatis menskalakan IoT Hubs yang mendasar sehingga jumlah alamat IP yang digunakan oleh titik akhir privat mungkin meningkat. Rencanakan kemungkinan peningkatan ini saat Anda menentukan ukuran subnet.
Gunakan informasi berikut untuk membantu menentukan jumlah total alamat IP yang diperlukan di subnet Anda:
Menggunakan | Jumlah alamat IP per titik akhir privat |
---|---|
IoT Central URL | 1 |
Hub IoT yang mendasar | 2-50 |
Azure Event Hubs yang sesuai dengan hub IoT | 2-50 |
Layanan Provisi Perangkat | 1 |
Alamat yang dipesan Azure | 5 |
Total | 11-107 |
Untuk mempelajari selengkapnya, lihat Tanya Jawab Umum Azure Virtual Network.
Catatan
Ukuran minimum untuk subnet adalah /28
(14 alamat IP yang dapat digunakan). Untuk digunakan dengan titik /24
akhir privat IoT Central disarankan, yang membantu beban kerja ekstrem.
Langkah berikutnya
Sekarang setelah Anda mempelajari tentang menggunakan titik akhir privat untuk menyambungkan perangkat ke aplikasi Anda, berikut adalah langkah berikutnya yang disarankan:
Buat titik akhir privat untuk aplikasi Azure IoT Central.