Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Secara default, nama host IoT Hub memetakan ke titik akhir publik dengan alamat IP yang dapat dirutekan secara publik melalui internet. Pelanggan yang berbeda berbagi titik akhir publik IoT Hub ini, dan perangkat IoT di jaringan area luas serta semua jaringan lokal dapat mengaksesnya.
Beberapa fitur IoT Hub, termasuk perutean pesan, pengunggahan file, dan impor/ekspor perangkat massal, juga memerlukan konektivitas dari IoT Hub ke sumber daya Azure milik pelanggan melalui titik akhir publiknya. Jalur konektivitas ini membentuk lalu lintas keluar dari IoT Hub ke sumber daya pelanggan.
Anda mungkin ingin membatasi konektivitas ke sumber daya Azure Anda (termasuk IoT Hub) melalui jaringan virtual yang Anda miliki dan operasikan karena beberapa alasan, termasuk:
Memperkenalkan isolasi jaringan untuk hub IoT Anda dengan mencegah paparan konektivitas ke internet publik.
Mengaktifkan pengalaman konektivitas privat dari aset jaringan lokal Anda, yang memastikan bahwa data dan lalu lintas Anda dikirimkan langsung ke jaringan backbone Azure.
Mencegah serangan eksfiltrasi dari jaringan lokal yang sensitif.
Mengikuti pola konektivitas Azure yang sudah ada dengan menggunakan titik akhir privat.
Artikel ini menjelaskan cara mencapai tujuan ini menggunakan Azure Private Link untuk konektivitas masuk ke IoT Hub dan menggunakan pengecualian layanan Microsoft tepercaya untuk konektivitas keluar dari IoT Hub ke sumber daya Azure lainnya.
Konektivitas Ingress ke IoT Hub menggunakan Azure Private Link
Titik akhir privat adalah alamat IP privat yang dialokasikan di dalam jaringan virtual milik pelanggan di mana sumber daya Azure dapat dijangkau. Dengan Azure Private Link, Anda dapat menyiapkan titik akhir privat untuk hub IoT Anda untuk memungkinkan layanan di dalam jaringan virtual Anda mencapai IoT Hub tanpa mengharuskan lalu lintas dikirim ke titik akhir publik IoT Hub. Demikian pula, perangkat lokal Anda dapat menggunakan Azure VPN Gateway atau peering Azure ExpressRoute untuk mendapatkan konektivitas ke jaringan virtual Anda dan hub IoT Anda (melalui titik akhir privatnya). Akibatnya, Anda dapat membatasi atau sepenuhnya memblokir konektivitas ke titik akhir publik hub IoT Anda dengan menggunakan filter IP IoT Hub atau tombol akses jaringan publik. Pendekatan ini menjaga konektivitas ke hub Anda menggunakan titik akhir privat untuk perangkat. Fokus utama dari penyiapan ini adalah untuk perangkat di dalam jaringan lokal. Penyiapan ini tidak disarankan untuk perangkat yang disebarkan di jaringan area luas.
Sebelum melanjutkan, pastikan prasyarat berikut terpenuhi:
Anda membuat jaringan virtual Azure dengan subnet untuk membuat titik akhir privat.
Untuk perangkat yang beroperasi di jaringan lokal, siapkan Azure VPN Gateway atau peering privat Azure ExpressRoute ke jaringan virtual Azure Anda.
Menyiapkan titik akhir privat untuk masuknya IoT Hub
Titik akhir privat berfungsi untuk API perangkat IoT Hub (seperti pesan perangkat ke cloud) dan API layanan (seperti membuat dan memperbarui perangkat).
Di portal Azure, navigasi ke hub IoT Anda.
Di panel sisi kiri, di bawah Pengaturan keamanan, pilihAkses privatJaringan>, lalu pilih Buat titik akhir privat.
Berikan langganan, grup sumber daya, nama, nama antarmuka jaringan, dan wilayah untuk membuat titik akhir privat baru. Idealnya, titik akhir privat harus dibuat di wilayah yang sama dengan hub Anda.
Pilih Berikutnya: Sumber Daya, dan berikan langganan untuk sumber daya IoT Hub Anda. Kemudian, pilih Microsoft.Devices/IotHubs untuk jenis sumber daya, nama hub IoT Anda sebagai sumber daya, dan iotHub sebagai sub-sumber daya target.
Pilih Berikutnya: Virtual Network, dan sediakan jaringan virtual dan subnet Anda untuk membuat titik akhir privat.
Pilih Berikutnya: DNS, dan pilih opsi untuk diintegrasikan dengan zona DNS privat, jika diinginkan.
Pilih Berikutnya: Tag, dan secara opsional berikan tag apa pun untuk sumber daya Anda.
Pilih Berikutnya: Tinjau + buat untuk meninjau detail sumber daya tautan privat Anda, lalu pilih Buat untuk membuat sumber daya.
Titik akhir bawaan yang kompatibel dengan Event Hubs
Titik akhir yang kompatibel dengan Azure Event Hubs bawaan juga dapat diakses melalui titik akhir privat. Saat tautan privat dikonfigurasi, Anda akan melihat koneksi dan konfigurasi titik akhir privat lain untuk titik akhir bawaan. Ini adalah yang dengan servicebus.windows.net di FQDN.
Filter IP IoT Hub dapat secara opsional mengontrol akses publik ke titik akhir bawaan.
Untuk sepenuhnya memblokir akses jaringan publik ke hub IoT Anda, nonaktifkan akses jaringan publik atau gunakan filter IP untuk memblokir semua IP dan pilih opsi untuk menerapkan aturan ke titik akhir bawaan.
Harga untuk Private Link
Untuk detail harga, lihat Harga Azure Private Link.
Konektivitas keluar dari IoT Hub ke sumber daya Azure lainnya
IoT Hub dapat terhubung ke penyimpanan blob Azure Anda, event hub, sumber daya bus layanan untuk perutean pesan, pengunggahan file, dan impor/ekspor perangkat massal melalui titik akhir publik sumber daya. Mengikat sumber daya Anda ke jaringan virtual memblokir konektivitas ke sumber daya secara default. Akibatnya, konfigurasi ini mencegah hub IoT mengirim data ke sumber daya Anda. Untuk memperbaiki masalah ini, aktifkan konektivitas dari sumber daya IoT Hub Anda ke akun penyimpanan, hub peristiwa, atau sumber daya bus layanan Anda melalui opsi layanan Microsoft tepercaya .
Untuk mengizinkan layanan lain menemukan hub IoT Anda sebagai layanan Microsoft tepercaya, hub Anda harus menggunakan identitas terkelola. Setelah identitas terkelola disediakan, berikan izin ke identitas terkelola hub Anda untuk mengakses titik akhir kustom Anda. Ikuti prosedur yang disediakan dalam dukungan IoT Hub untuk identitas terkelola untuk menyediakan identitas terkelola dengan izin kontrol akses berbasis peran (RBAC) Azure, dan tambahkan titik akhir kustom ke hub IoT Anda. Untuk mengizinkan akses hub IoT Anda ke titik akhir kustom, pastikan Anda mengaktifkan pengecualian pihak pertama tepercaya dari Microsoft jika Anda telah mengkonfigurasi firewall.
Harga untuk opsi layanan Microsoft tepercaya
Fitur pengecualian layanan pihak pertama Microsoft tepercaya gratis. Biaya untuk akun penyimpanan yang disediakan, Event Hub, atau sumber daya Service Bus berlaku secara terpisah.
Langkah selanjutnya
Gunakan tautan berikut untuk mempelajari selengkapnya tentang fitur IoT Hub: