Configurare gli endpoint privati per Aggiornamento dispositivi per gli account hub IoT

È possibile usare endpoint privati per consentire il traffico direttamente dalla rete virtuale all'account in modo sicuro tramite un collegamento privato senza passare attraverso la rete Internet pubblica. L'endpoint privato usa un indirizzo IP dallo spazio di indirizzi della rete virtuale per l'account. Per altre informazioni concettuali, vedere Sicurezza di rete.

Questo articolo descrive come configurare gli endpoint privati per gli account.

È possibile usare il portale di Azure o l'interfaccia della riga di comando di Azure per creare un endpoint privato per un account.

Prerequisiti

Azure portal

Nessun prerequisito per il portale di Azure.

Interfaccia della riga di comando di Azure

Un ambiente dell'interfaccia della riga di comando di Azure:

• Usare l'ambiente Bash in Azure Cloud Shell.

  

• In alternativa, se si preferisce eseguire i comandi di riferimento dell'interfaccia della riga di comando in locale, installare l'interfaccia della riga di comando di Azure

  • Accedere all'interfaccia della riga di comando di Azure usando il comando az login .

  • Eseguire az version per trovare la versione e le librerie dipendenti installate. Per eseguire l'aggiornamento alla versione più recente, eseguire az upgrade.

  • Quando richiesto, installare le estensioni dell'interfaccia della riga di comando di Azure al primo utilizzo. I comandi in questo articolo usano l'estensione azure-iot . Eseguire az extension update --name azure-iot per assicurarsi di usare la versione più recente dell'estensione.

Configurare endpoint privati dall'account di Aggiornamento dispositivi

Nella portale di Azure è possibile creare un nuovo endpoint privato dall'interno dell'account di Aggiornamento dispositivi. Queste connessioni all'endpoint privato vengono approvate automaticamente e non richiedono i passaggi aggiuntivi per la revisione e l'approvazione descritti nel resto di questo articolo.

1. Accedere al portale di Azure e passare all'account o al dominio.

2. Passare alla scheda Rete della pagina dell'account. Se si vuole limitare l'accesso solo all'endpoint privato, disabilitare l'accesso alla rete pubblica.

3. Passare alla scheda Accesso privato e quindi selezionare + Aggiungi sulla barra degli strumenti.

   

4. Nella pagina Informazioni di base specificare le informazioni seguenti per l'endpoint privato:

   • Sottoscrizione: sottoscrizione di Azure in cui si vuole creare l'endpoint privato.

   • Gruppo di risorse: gruppo di risorse esistente o nuovo per l'endpoint privato.

   • Nome: nome per l'endpoint. Questo valore viene usato per generare automaticamente il nome dell'interfaccia di rete.

   • Area: area di Azure per l'endpoint. L'endpoint privato deve trovarsi nella stessa area della rete virtuale, ma può trovarsi in un'area diversa dall'account di Aggiornamento dispositivi.

     

5. La pagina Risorsa viene popolata automaticamente

   

6. Nella pagina Rete virtuale selezionare la subnet e la rete virtuale in cui si vuole distribuire l'endpoint privato.

   • Rete virtuale: nell'elenco a discesa sono elencate solo le reti virtuali nella sottoscrizione e nella località attualmente selezionate.

   • Subnet: selezionare una subnet nella rete virtuale selezionata.

     

7. Nella pagina DNS usare i valori precompilato, a meno che non si usi un DNS personalizzato.

   

8. Nella pagina Tag creare i tag (nomi e valori) da associare alla risorsa endpoint privato.

9. Nella pagina Rivedi e crea esaminare tutte le impostazioni e selezionare Crea per creare l'endpoint privato.

Configurare gli endpoint privati dal Centro collegamento privato

Se non si ha accesso all'account di Aggiornamento dispositivi, è possibile creare endpoint privati dal centro collegamento privato. Nel caso in cui l'utente che crea la connessione non abbia la potenza di approvarla, la connessione verrà creata nello stato in sospeso.

È possibile usare il portale di Azure o l'interfaccia della riga di comando di Azure per creare endpoint privati.

Azure portal

1. Nella portale di Azure passare a collegamento privato Center Private Endpoints (Centro>endpoint privati) e selezionare +Crea.

   

2. Nella pagina Informazioni di base specificare le informazioni seguenti per l'endpoint privato:

   • Sottoscrizione: sottoscrizione di Azure in cui si vuole creare l'endpoint privato.
   • Gruppo di risorse: gruppo di risorse esistente o nuovo per l'endpoint privato.
   • Nome: nome per l'endpoint. Questo valore viene usato per generare automaticamente il nome dell'interfaccia di rete.
   • Area: area di Azure per l'endpoint. L'endpoint privato deve trovarsi nella stessa area della rete virtuale, ma può trovarsi in un'area diversa dall'account di Aggiornamento dispositivi.

3. Compilare tutti i campi obbligatori nella scheda Risorsa

   • metodo Connessione ion: selezionare Connessione in una risorsa di Azure in base all'ID risorsa o all'alias.
   • ID risorsa o alias: immettere l'ID risorsa dell'account di Aggiornamento dispositivi. È possibile recuperare l'ID risorsa di un account di Aggiornamento dispositivi dal portale di Azure selezionando Visualizzazione JSON nella pagina Panoramica. In alternativa, è possibile recuperarlo usando il comando az iot du account show ed eseguendo una query per il valore ID: az iot du account show -n <account_name> --query id.
   • Sotto-risorsa di destinazione: il valore deve essere DeviceUpdate

   

4. Nella pagina Rete virtuale selezionare la subnet e la rete virtuale in cui si vuole distribuire l'endpoint privato.

   • Rete virtuale: nell'elenco a discesa sono elencate solo le reti virtuali nella sottoscrizione e nella località attualmente selezionate.
   • Subnet: selezionare una subnet nella rete virtuale selezionata.

5. Nella pagina DNS usare i valori precompilato, a meno che non si usi un DNS personalizzato.

6. Nella pagina Tag creare i tag (nomi e valori) da associare alla risorsa endpoint privato.

7. Nella pagina Rivedi e crea esaminare tutte le impostazioni e selezionare Crea per creare l'endpoint privato.

Interfaccia della riga di comando di Azure

Usare il comando az network private-endpoint create per creare un endpoint privato.

Sostituire i segnaposto seguenti con le proprie informazioni:

• RESOURCE_GROUP_NAME: nome del gruppo di risorse.
• PRIVATE_ENDPOINT_NAME: nome dell'endpoint privato.
• PRIVATE_LINK_CONNECTION_NAME: nome della connessione al servizio di collegamento privato.
• VIRTUAL_NETWORK_NAME: nome di una rete virtuale esistente associata alla subnet.
• SUBNET_NAME: nome o ID di una subnet esistente. Se si usa un nome di subnet, è necessario includere anche il nome della rete virtuale. Se si usa un ID subnet, è possibile omettere il --vnet-name parametro .
• DEVICE_UPDATE_RESOURCE_ID: è possibile recuperare l'ID risorsa di un account di Aggiornamento dispositivi dal portale di Azure selezionando Visualizzazione JSON nella pagina Panoramica. In alternativa, è possibile recuperarlo usando il comando az iot du account show ed eseguendo una query per il valore ID: az iot du account show -n <account_name> --query id.
• LOCALITÀ: nome dell'area di Azure. L'endpoint privato deve trovarsi nella stessa area della rete virtuale, ma può trovarsi in un'area diversa dall'account di Aggiornamento dispositivi.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

È possibile eliminare un endpoint privato con il comando az network private-endpoint delete .

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Gestire le connessioni di collegamento privato

Quando si crea un endpoint privato in attesa dell'approvazione manuale, la connessione deve essere approvata prima di poterla usare. Se la risorsa per cui si sta creando un endpoint privato si trova nella propria directory, è possibile approvare la richiesta di connessione purché si abbiano autorizzazioni sufficienti. Se ci si sta connettendo a una risorsa di Azure in un'altra directory, è necessario attendere che il proprietario della risorsa approvi la richiesta di connessione.

Sono disponibili quattro stati di provisioning:

Azione del servizio	Stato dell'endpoint privato del consumer del servizio	Descrizione
Nessuna	In sospeso	Connessione ion viene creato manualmente ed è in attesa di approvazione da parte del proprietario della risorsa collegamento privato.
Approvazione	Approvato	La connessione è stata approvata automaticamente o manualmente ed è pronta per essere usata.
Rifiuto	Rifiutato	La connessione è stata rifiutata dal proprietario della risorsa di collegamento privato.
Rimuovi	Disconnesso	La connessione è stata rimossa dal proprietario della risorsa di collegamento privato, l'endpoint privato diventa informativo e deve essere eliminato per la pulizia.

Azure portal

Esaminare una connessione in sospeso dall'account di Aggiornamento dispositivi

1. Dal portale di Azure passare all'account di Aggiornamento dispositivi che si vuole gestire.

2. Selezionare la scheda Rete.

3. Se sono presenti connessioni in sospeso, verrà visualizzata una connessione elencata con In sospeso nello stato di provisioning.

   

4. Usare la casella di controllo per selezionare la connessione in sospeso, quindi selezionare Approva o Rifiuta.

Esaminare una connessione in sospeso dal Centro collegamento privato

1. Dal portale di Azure passare a collegamento privato Connessioni in sospeso al Centro>.

2. Usare la casella di controllo per selezionare la connessione in sospeso, quindi selezionare Approva o Rifiuta.

   

Interfaccia della riga di comando di Azure

Usare il comando az iot du account private-endpoint-connection set per gestire la connessione all'endpoint privato.

Sostituire i segnaposto seguenti con le proprie informazioni:

• ACCOUNT_NAME: nome dell'account di Aggiornamento dispositivi.
• PRIVATE_LINK_CONNECTION_NAME: nome della connessione al servizio di collegamento privato.
• STATUS: Approved o Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Passaggi successivi

Informazioni sui concetti relativi alla sicurezza di rete.