Membuat dan mengonfigurasi titik akhir privat untuk IoT Central
Anda dapat menyambungkan perangkat ke aplikasi IoT Central anda dengan menggunakan titik akhir privat di Azure Virtual Network.
Titik akhir privat menggunakan alamat IP privat dari ruang alamat jaringan virtual untuk menghubungkan perangkat Anda secara privat ke aplikasi IoT Central Anda. Lalu lintas jaringan antara perangkat di jaringan virtual dan platform IoT melintasi jaringan virtual dan tautan privat di jaringan backbone Microsoft, menghilangkan paparan di internet publik. Artikel ini memperlihatkan kepada Anda cara membuat titik akhir privat untuk aplikasi IoT Central Anda.
Prasyarat
- Langganan Azure aktif. Jika Anda tidak memiliki langganan Azure, buat akun gratis sebelum Anda memulai.
- Aplikasi IoT Central. Untuk mempelajari lebih lanjut, lihat Membuat aplikasi IoT Central.
- Jaringan virtual di langganan Azure Anda. Untuk mempelajari selengkapnya, lihat Membuat jaringan virtual. Untuk menyelesaikan langkah-langkah dalam panduan ini, Anda tidak memerlukan host Bastion atau komputer virtual.
Membuat titik akhir privat
Ada beberapa cara untuk membuat titik akhir privat untuk aplikasi IoT Central:
- Gunakan portal Azure untuk membuat sumber daya titik akhir privat secara langsung. Gunakan opsi ini jika Anda tidak memiliki akses ke aplikasi IoT Central yang memerlukan titik akhir privat.
- Membuat titik akhir privat pada aplikasi IoT Central yang sudah ada
Untuk membuat titik akhir privat pada aplikasi IoT Central yang ada:
Di portal Azure, navigasikan ke aplikasi Anda lalu pilih Jaringan.
Pilih tab Koneksi titik akhir privat, lalu pilih + Titik akhir privat.
Pada tab Dasar , masukkan nama dan pilih wilayah untuk titik akhir privat Anda. Lalu pilih Berikutnya: Sumber Daya.
Tab Sumber Daya diisi otomatis untuk Anda. Pilih Berikutnya: Virtual Network.
Pada tab Virtual Network , pilih Jaringan virtual dan Subnet tempat Anda ingin menyebarkan titik akhir privat Anda.
Pada tab yang sama, di bagian Konfigurasi IP Privat, pilih Alokasikan alamat IP secara dinamis.
Pilih Berikutnya: DNS.
Pada tab DNS , pilih Ya untuk Integrasikan dengan zona DNS privat. DNS privat menyelesaikan semua titik akhir yang diperlukan ke alamat IP privat di jaringan virtual Anda:
Catatan
Karena kemampuan skala otomatis di IoT Central, Anda harus menggunakan opsi integrasi DNS Privat jika memungkinkan. Jika karena alasan tertentu Anda tidak dapat menggunakan opsi ini, lihat Menggunakan server DNS kustom.
Pilih Berikutnya: Tag.
Pada tab Tag , konfigurasikan tag apa pun yang Anda butuhkan, lalu pilih Berikutnya: Tinjau + Buat.
Tinjau detail konfigurasi lalu pilih Buat untuk membuat sumber daya titik akhir privat Anda.
Memverifikasi pembuatan titik akhir privat
Saat pembuatan titik akhir privat selesai, Anda dapat mengaksesnya di portal Azure.
Untuk melihat semua titik akhir privat yang dibuat untuk aplikasi Anda:
Di portal Azure, navigasikan ke aplikasi IoT Central Anda, lalu pilih Jaringan.
Pilih tab Koneksi titik akhir privat. Tabel menunjukkan semua titik akhir privat yang dibuat untuk aplikasi Anda.
Menggunakan server DNS kustom
Dalam beberapa situasi, Anda mungkin tidak dapat berintegrasi dengan zona DNS privat jaringan virtual. Misalnya, Anda dapat menggunakan server DNS Anda sendiri atau membuat catatan DNS menggunakan file host di komputer virtual Anda. Bagian ini menjelaskan cara masuk ke zona DNS.
Pasang cokelat.
Instal ARMClient:
choco install armclient
Masuk dengan ARMClient:
armclient login
Gunakan perintah berikut untuk mendapatkan zona DNS privat untuk aplikasi IoT Central Anda. Ganti tempat penampung dengan detail untuk aplikasi IoT Central Anda:
armclient GET /subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources?api-version=2021-11-01-preview
Periksa responsnya. Zona DNS yang diperlukan berada dalam
requiredZoneNames
array dalam payload respons:{ "value": [ { "id": "/subscriptions/<subscriptionId>/resourceGroups/<resourceGroupName>/providers/Microsoft.IoTCentral/IoTApps/<AppName>/privateLinkResources/iotApp", "name": "ioTApp", "type": "Microsoft.IoTCentral/IoTApps/privateLinkResources", "location": "<the region of your application>", "properties": { "groupId": "iotApp", "requiredMembers":[ "<IoTCentral Name>", "<DPS Name>", "<IoTHub1 Name>", "<IoTHub2 Name>", "<EH1 Name>", "<EH2 Name>"], "requiredZoneNames": [ "privatelink.azureiotcentral.com", "privatelink.azure-devices.net", "privatelink.servicebus.windows.net", "privatelink.azure-devices-provisioning.net"], "provisioningState": "Succeeded"} } ] }
Di portal Azure, navigasikan ke titik akhir privat Anda, dan pilih Konfigurasi DNS. Di halaman ini, Anda dapat menemukan informasi yang diperlukan untuk pemetaan alamat IP ke nama DNS.
Peringatan
Informasi ini memungkinkan Anda mengisi server DNS kustom Anda dengan rekaman yang diperlukan. Jika memungkinkan, Anda harus berintegrasi dengan Zona DNS privat jaringan virtual dan tidak mengonfigurasi server DNS kustom Anda sendiri. Titik akhir privat untuk aplikasi IoT Central berbeda dari layanan Azure PaaS lainnya. Dalam beberapa situasi, seperti penskalaan otomatis IoT Central, IoT Central menskalakan jumlah IoT Hub yang dapat diakses melalui titik akhir privat. Jika Anda memilih untuk mengisi server DNS kustom Anda sendiri, Anda bertanggung jawab untuk memperbarui catatan DNS setiap kali skala otomatis IoT Central, dan kemudian menghapus rekaman saat jumlah hub IoT menskalakan masuk.
Membatasi akses publik
Untuk membatasi akses publik untuk perangkat Anda ke IoT Central, nonaktifkan akses dari titik akhir publik. Setelah Anda menonaktifkan akses publik, perangkat tidak dapat tersambung ke IoT Central dari jaringan publik, dan harus menggunakan titik akhir privat:
Di portal Azure, navigasikan ke aplikasi IoT Central Anda lalu pilih Jaringan.
Pada tab Akses publik, pilih Dinonaktifkan untuk akses jaringan publik.
Secara opsional, Anda dapat menentukan daftar alamat/rentang IP yang dapat terhubung ke titik akhir publik aplikasi IoT Central Anda.
Pilih Simpan.
Tip
Jika Anda memilih untuk menentukan daftar alamat/rentang IP yang dapat terhubung ke titik akhir publik aplikasi IoT Central Anda, pastikan untuk menyertakan alamat IP proksi apa pun yang digunakan perangkat Anda untuk terhubung ke aplikasi IoT Central Anda.
Menyambungkan ke titik akhir privat
Saat Anda menonaktifkan akses jaringan publik untuk aplikasi IoT Central, perangkat Anda tidak dapat tersambung ke titik akhir global Device Provisioning Service (DPS). Ini terjadi karena satu-satunya FQDN untuk DPS memiliki alamat IP langsung di jaringan virtual Anda. Titik akhir global sekarang tidak dapat dijangkau.
Saat Anda mengonfigurasi titik akhir privat untuk aplikasi IoT Central Anda, titik akhir layanan IoT Central diperbarui untuk mencerminkan titik akhir DPS langsung.
Perbarui kode perangkat Anda untuk menggunakan titik akhir DPS langsung.
Praktik terbaik
Jangan gunakan URL subdomain tautan privat untuk menyambungkan perangkat Anda ke IoT Central. Selalu gunakan URL DPS yang ditampilkan di aplikasi IoT Central Anda setelah Anda membuat titik akhir privat.
Gunakan zona DNS privat yang disediakan Azure untuk manajemen DNS. Hindari menggunakan server DNS Anda sendiri karena Anda harus terus memperbarui konfigurasi DNS Anda untuk mengikuti saat IoT Central menskalakan sumber dayanya secara otomatis.
Jika Anda membuat beberapa titik akhir privat untuk sumber daya IoT Central yang sama, Zona DNS mungkin menimpa FQDN sehingga Anda harus menambahkannya lagi.
Batasan
Saat ini, konektivitas privat hanya diaktifkan untuk koneksi perangkat ke hub IoT dan DPS yang mendasar di aplikasi IoT Central. UI web dan API IoT Central terus bekerja melalui titik akhir publik mereka.
Titik akhir privat harus berada di wilayah yang sama dengan jaringan virtual Anda.
Saat Anda menonaktifkan akses jaringan publik:
Perangkat simulasi IoT Central tidak berfungsi karena tidak memiliki konektivitas ke jaringan virtual Anda.
Titik akhir DPS global (
global.device-provisioning.net
) tidak dapat diakses. Perbarui firmware perangkat Anda untuk terhubung ke instans DPS langsung. Anda dapat menemukan URL DPS langsung di halaman Grup koneksi perangkat di aplikasi IoT Central Anda.
Anda tidak dapat mengganti nama aplikasi IoT Central setelah mengonfigurasi titik akhir privat.
Anda tidak dapat memindahkan titik akhir privat atau aplikasi IoT Central ke grup sumber daya atau langganan lain.
Dukungan terbatas pada IPv4. IPv6 tidak didukung.
Pemecahan Masalah
Jika Anda mengalami masalah saat menyambungkan ke titik akhir privat, gunakan panduan pemecahan masalah berikut:
Periksa status koneksi
Pastikan status koneksi titik akhir privat Anda diatur ke disetujui.
- Di portal Azure, navigasikan ke aplikasi Anda lalu pilih Jaringan.
- Pilih tab Koneksi titik akhir privat. Verifikasi bahwa status koneksi Disetujui untuk titik akhir privat Anda.
Jalankan pemeriksaan dalam jaringan virtual
Gunakan pemeriksaan berikut untuk menyelidiki masalah konektivitas dari dalam jaringan virtual yang sama. Sebarkan komputer virtual di jaringan virtual yang sama tempat Anda membuat titik akhir privat. Masuk ke komputer virtual, untuk menjalankan pengujian berikut.
Untuk memastikan bahwa resolusi nama berfungsi dengan baik, ulangi semua FQDN dalam konfigurasi DNS titik akhir privat dan jalankan pengujian menggunakan nslookup
, Test-NetConnection
, atau alat serupa lainnya untuk memverifikasi bahwa setiap DNS cocok dengan alamat IP yang sesuai.
Selain itu, jalankan perintah berikut untuk memverifikasi nama DNS setiap FQDN yang cocok dengan alamat IP yang sesuai.
#replace the <...> placeholders with the correct values
nslookup iotc-….azure-devices.net
Output yang dihasilkan terlihat seperti output berikut:
#Results in the following output:
Server:127.0.0.53
Address:127.0.0.53#53
Non-authoritative answer: xyz.azure-devices.net
canonical name = xyz.privatelink.azure-devices.net
Name:xyz.privatelink.azure-devices.net
Address: 10.1.1.12
Jika Anda menemukan FQDN yang tidak cocok dengan alamat IP yang sesuai, perbaiki server DNS kustom Anda. Jika Anda tidak menggunakan server DNS kustom, buat tiket dukungan.
Periksa apakah Anda memiliki beberapa titik akhir privat
Konfigurasi DNS dapat ditimpa jika Anda membuat atau menghapus beberapa titik akhir privat untuk satu aplikasi IoT Central:
- Di portal Azure, navigasikan ke sumber daya titik akhir privat.
- Di bagian DNS, pastikan ada entri untuk semua sumber daya yang diperlukan: IoT Hubs, Event Hubs, DPS, dan IoT Central FQDN.
- Verifikasi bahwa IP (dan IP untuk titik akhir privat lainnya menggunakan zona DNS ini) tercermin dalam catatan A DNS.
- Hapus rekaman A untuk IP dari titik akhir privat yang lebih lama yang sebelumnya dihapus.
Tips pemecahan masalah lainnya
Jika setelah mencoba semua pemeriksaan ini, Anda masih mengalami masalah, coba panduan pemecahan masalah titik akhir privat.
Jika semua pemeriksaan berhasil dan perangkat Anda masih tidak dapat membuat koneksi ke IoT Central, hubungi tim keamanan perusahaan yang bertanggung jawab atas firewall dan jaringan secara umum. Alasan potensial kegagalan meliputi:
- Kesalahan konfigurasi jaringan virtual Azure Anda
- Kesalahan konfigurasi appliance firewall
- Kesalahan konfigurasi rute yang ditentukan pengguna di jaringan virtual Azure Anda
- Proksi yang salah dikonfigurasi antara perangkat dan sumber daya IoT Central
Langkah berikutnya
Sekarang setelah Anda mempelajari cara membuat titik akhir privat untuk aplikasi Anda, berikut adalah langkah berikutnya yang disarankan: