Gestione dell'accesso alla rete pubblica per l'hub IoT

Importante

La disabilitazione dell'accesso alla rete pubblica impedisce l'uso di Aggiornamento dispositivi per hub IoT.

Per limitare l'accesso solo a un endpoint privato per un hub IoT nella rete virtuale, disabilitare l'accesso alla rete pubblica. A questo scopo, usare il portale di Azure o l'API publicNetworkAccess. Usando il portale o l'API publicNetworkAccess è anche possibile consentire l'accesso pubblico.

Disattivare l'accesso alla rete pubblica usando il portale di Azure

1. Accedere al portale di Azure
2. Passare all'hub IoT. Passare a Gruppi di risorse, scegliere il gruppo appropriato e selezionare il hub IoT.
3. Selezionare Rete dal menu a sinistra.
4. In "Consenti l'accesso alla rete pubblica" selezionare Disabilitato
5. Selezionare Salva.

Per attivare l'accesso alla rete pubblica, selezionare Tutte le reti e quindi Salva.

Accesso al hub IoT dopo aver disabilitato l'accesso alla rete pubblica

Dopo la disabilitazione dell'accesso alla rete pubblica, il hub IoT è accessibile solo tramite l'endpoint privato della rete virtuale usando il collegamento privato di Azure. Questa restrizione include l'accesso tramite il portale di Azure, perché le chiamate API al servizio hub IoT vengono effettuate direttamente usando il browser con le credenziali.

hub IoT endpoint, indirizzo IP e porte dopo la disabilitazione dell'accesso alla rete pubblica

hub IoT è una piattaforma multi-tenant distribuita come servizio (PaaS), quindi clienti diversi condividono lo stesso pool di risorse hardware di calcolo, rete e archiviazione. I nomi host dell'hub IoT eseguono il mapping a un endpoint pubblico con un indirizzo IP instradabile pubblicamente su Internet. Diversi clienti possono condividere questo endpoint pubblico dell'hub IoT e consentire l'accesso a tutti i dispositivi IoT su reti WAN (Wide Area Network) e su reti locali.

La disabilitazione dell'accesso alla rete pubblica viene applicata in una risorsa specifica dell'hub IoT garantendo l'isolamento. Per mantenere attivo il servizio per altre risorse del cliente usando il percorso pubblico, l'endpoint pubblico rimane risolvibile, gli indirizzi IP restano individuabili e le porte rimangono aperte. Questo non è un problema perché Microsoft integra più livelli di sicurezza per garantire l'isolamento completo tra i tenant. Per altre informazioni, vedere Isolamento nel cloud pubblico di Azure.

Filtro IP

Se l'accesso alla rete pubblica è disabilitato, tutte le regole del filtro IP vengono ignorate. Questo è dovuto al fatto che tutti gli indirizzi IP dalla rete Internet pubblica sono bloccati. Per usare il filtro IP, usare l'opzione Intervalli IP selezionati .

Correzione di bug con l'endpoint compatibile con Hub eventi predefinito

Esiste un bug con hub IoT in cui l'endpoint compatibile con Hub eventi predefinito continua ad essere accessibile tramite Internet pubblico quando l'accesso alla rete pubblica al hub IoT è disabilitato. Per altre informazioni e contattare Microsoft su questo bug, vedere Disabilitazione dell'accesso alla rete pubblica per hub IoT disabilita l'accesso all'endpoint predefinito di Hub eventi.

Attivare l'accesso alla rete usando il portale di Azure

1. Accedere al portale di Azure.
2. Passare all'hub IoT. Passare a Gruppi di risorse, scegliere il gruppo appropriato e selezionare l'hub.
3. Selezionare Rete dal menu a sinistra.
4. In "Consenti l'accesso alla rete pubblica" selezionare Intervalli IP selezionati.
5. Nella finestra di dialogo Filtro IP visualizzata selezionare Aggiungi l'indirizzo IP del client e immettere un nome e un intervallo di indirizzi.
6. Selezionare Salva. Se il pulsante è disattivato, assicurarsi che l'indirizzo IP del client sia già stato aggiunto come filtro IP.

Attivare tutti gli intervalli di rete

1. Passare all'hub IoT. Passare a Gruppi di risorse, scegliere il gruppo appropriato e selezionare l'hub.
2. Selezionare Rete dal menu a sinistra.
3. In "Consenti l'accesso alla rete pubblica" selezionare Tutte le reti.
4. Selezionare Salva.

Controllare l'accesso all'hub IoT usando Cloud Shell

È possibile controllare l'accesso all'hub IoT usando Azure Cloud Shell. Assicurarsi di aver attivato tutti gli intervalli di rete e quindi eseguire i comandi seguenti. Sostituire "SubscriptionName" con il nome della sottoscrizione e "MyIoTHub" con il nome dell'hub.

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"

  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

Risoluzione dei problemi

Se si verificano problemi durante l'accesso all'hub IoT, la configurazione di rete potrebbe essere il problema. Ad esempio, se viene visualizzato il messaggio di errore seguente quando si tenta di accedere alla pagina Dispositivi IoT, controllare la pagina Rete per verificare se l'accesso alla rete pubblica è disabilitato o limitato agli intervalli IP selezionati.

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

Quando si tenta di accedere all'hub IoT con altri strumenti, ad esempio l'interfaccia della riga di comando di Azure, il messaggio di errore può includere {"errorCode": 401002, "message": "Unauthorized"} nel caso in cui la richiesta non venga indirizzata correttamente all'hub IoT.

Per ottenere l'accesso all'hub IoT, richiedere all'amministratore IT l'autorizzazione per aggiungere l'indirizzo IP nell'intervallo di indirizzi IP o per abilitare l'accesso alla rete pubblica per tutte le reti. Se il problema persiste, controllare le impostazioni della rete locale o contattare l'amministratore di rete locale per correggere la connettività all'hub IoT. Ad esempio, a volte un proxy nella rete locale può interferire con l'accesso all'hub IoT.

Se i comandi precedenti non funzionano o non è possibile attivare tutti gli intervalli di rete, contattare il supporto tecnico Microsoft.