Sicurezza di rete per IoT Central tramite endpoint privati
Gli endpoint IoT Central standard per la connettività dei dispositivi sono accessibili usando URL pubblici. Qualsiasi dispositivo con un'identità valida può connettersi all'applicazione IoT Central da qualsiasi posizione.
Usare gli endpoint privati per limitare e proteggere la connettività dei dispositivi all'applicazione IoT Central e consentire l'accesso solo tramite la rete virtuale privata.
Gli endpoint privati usano indirizzi IP privati da uno spazio indirizzi di rete virtuale per connettere i dispositivi privatamente all'applicazione IoT Central. Il traffico di rete tra dispositivi nella rete virtuale e la piattaforma IoT attraversa la rete virtuale e un collegamento privato nella rete backbone Microsoft, eliminando l'esposizione sulla rete Internet pubblica.
Per altre informazioni sulle reti virtuali di Azure, vedere:
Gli endpoint privati nell'applicazione IoT Central consentono di:
- Proteggere il cluster configurando il firewall per bloccare tutte le connessioni del dispositivo nell'endpoint pubblico.
- Aumentare la sicurezza per la rete virtuale consentendo di proteggere i dati nella rete virtuale.
- Connettere in modo sicuro i dispositivi a IoT Central da reti locali che si connettono alla rete virtuale usando un gateway VPN o un peering privato ExpressRoute .
L'uso di endpoint privati in IoT Central è appropriato per i dispositivi connessi a una rete locale. Non è consigliabile usare endpoint privati per i dispositivi distribuiti in una rete a livello di area, ad esempio Internet.
Che cos'è un endpoint privato?
Un endpoint privato è un'interfaccia di rete speciale per un servizio di Azure nella rete virtuale assegnata dagli indirizzi IP dall'intervallo di indirizzi IP della rete virtuale. L'endpoint privato offre connettività sicura tra i dispositivi nella rete virtuale e la piattaforma IoT a cui si connettono. La connessione tra l'endpoint privato e la piattaforma Azure IoT usa un collegamento privato sicuro:
I dispositivi connessi alla rete virtuale possono connettersi facilmente al cluster tramite l'endpoint privato. I meccanismi di autorizzazione sono gli stessi usati per connettersi agli endpoint pubblici. Tuttavia, è necessario aggiornare l'URL di connessione DPS perché l'URL dell'host global.azure-devices-provisioning.net di provisioning globale non viene risolto quando l'accesso alla rete pubblica è disabilitato per l'applicazione.
Quando si crea un endpoint privato per un cluster nella rete virtuale, viene inviata una richiesta di consenso per l'approvazione da parte del proprietario della sottoscrizione. Se l'utente che richiede la creazione dell'endpoint privato è anche un proprietario della sottoscrizione, la richiesta viene approvata automaticamente. I proprietari delle sottoscrizioni possono gestire le richieste di consenso e gli endpoint privati per il cluster nel portale di Azure, in Endpoint privati.
Ogni applicazione IoT Central può supportare più endpoint privati, ognuno dei quali può trovarsi in una rete virtuale in un'area diversa. Se si prevede di usare più endpoint privati, prestare particolare attenzione alla configurazione del DNS e alla pianificazione delle dimensioni delle subnet della rete virtuale.
Pianificare le dimensioni della subnet nella rete virtuale
Le dimensioni della subnet nella rete virtuale non possono essere modificate dopo la creazione della subnet. È quindi importante pianificare le dimensioni della subnet e consentire una crescita futura.
IoT Central crea più nomi di dominio completi visibili ai clienti come parte di una distribuzione di endpoint privato. Oltre al nome di dominio completo per IoT Central, sono disponibili FQDN per le risorse sottostanti hub IoT, Hub eventi e Servizio Device Provisioning.
L'endpoint privato di IoT Central usa più indirizzi IP dalla rete virtuale e dalla subnet. Inoltre, in base al profilo di carico dell'applicazione, IoT Central ridimensiona automaticamente gli hub IoT sottostanti , in modo che il numero di indirizzi IP usati da un endpoint privato possa aumentare. Pianificare questo possibile aumento quando si determinano le dimensioni per la subnet.
Usare le informazioni seguenti per determinare il numero totale di indirizzi IP necessari nella subnet:
| Uso | Numero di indirizzi IP per endpoint privato |
|---|---|
| IoT Central URL | 1 |
| Hub IoT sottostanti | 2-50 |
| Hub eventi corrispondenti agli hub IoT | 2-50 |
| Servizio Device Provisioning | 1 |
| Indirizzi riservati di Azure | 5 |
| Totale | 11-107 |
Per altre informazioni, vedere Domande frequenti su Azure Rete virtuale.
Nota
Le dimensioni minime per la subnet sono /28 (14 indirizzi IP utilizzabili). Per l'uso con un endpoint /24 privato di IoT Central, è consigliabile usare carichi di lavoro estremi.
Passaggi successivi
Dopo aver appreso come usare endpoint privati per connettere il dispositivo all'applicazione, ecco il passaggio successivo consigliato: