Zabezpieczenia sieci dla usługi IoT Central przy użyciu prywatnych punktów końcowych
Dostęp do standardowych punktów końcowych usługi IoT Central na potrzeby łączności urządzeń uzyskuje się przy użyciu publicznych adresów URL. Każde urządzenie z prawidłową tożsamością może połączyć się z aplikacją usługi IoT Central z dowolnej lokalizacji.
Użyj prywatnych punktów końcowych, aby ograniczyć i zabezpieczyć łączność urządzeń z aplikacją usługi IoT Central i zezwalać na dostęp tylko za pośrednictwem prywatnej sieci wirtualnej.
Prywatne punkty końcowe używają prywatnych adresów IP z przestrzeni adresowej sieci wirtualnej, aby połączyć urządzenia prywatnie z aplikacją usługi IoT Central. Ruch sieciowy między urządzeniami w sieci wirtualnej a platformą IoT przechodzi przez sieć wirtualną i łącze prywatne w sieci szkieletowej firmy Microsoft, eliminując narażenie na publiczny Internet.
Aby dowiedzieć się więcej o sieciach wirtualnych platformy Azure, zobacz:
- Sieci wirtualne platformy Azure
- Prywatne punkty końcowe platformy Azure
- Łącza prywatne platformy Azure
Prywatne punkty końcowe w aplikacji usługi IoT Central umożliwiają:
- Zabezpiecz klaster, konfigurując zaporę w celu blokowania wszystkich połączeń urządzeń w publicznym punkcie końcowym.
- Zwiększ bezpieczeństwo sieci wirtualnej, umożliwiając ochronę danych w sieci wirtualnej.
- Bezpieczne łączenie urządzeń z usługą IoT Central z sieci lokalnych łączących się z siecią wirtualną przy użyciu bramy sieci VPN lub prywatnej komunikacji równorzędnej usługi ExpressRoute .
Korzystanie z prywatnych punktów końcowych w usłudze IoT Central jest odpowiednie dla urządzeń połączonych z siecią lokalną. Nie należy używać prywatnych punktów końcowych dla urządzeń wdrożonych w sieci rozległej, takiej jak Internet.
Co to jest prywatny punkt końcowy?
Prywatny punkt końcowy to specjalny interfejs sieciowy dla usługi platformy Azure w sieci wirtualnej, do której przypisano adresy IP z zakresu adresów IP sieci wirtualnej. Prywatny punkt końcowy zapewnia bezpieczną łączność między urządzeniami w sieci wirtualnej a platformą IoT, z którą nawiązują połączenie. Połączenie między prywatnym punktem końcowym a platformą Azure IoT korzysta z bezpiecznego łącza prywatnego:
Urządzenia połączone z siecią wirtualną mogą bezproblemowo łączyć się z klastrem za pośrednictwem prywatnego punktu końcowego. Mechanizmy autoryzacji są takie same, których można użyć do nawiązywania połączenia z publicznymi punktami końcowymi. Należy jednak zaktualizować adres URL połączenia z usługą DPS, ponieważ globalny adres URL hosta global.azure-devices-provisioning.net aprowizacji nie jest rozpoznawany, gdy dostęp do sieci publicznej jest wyłączony dla aplikacji.
Podczas tworzenia prywatnego punktu końcowego dla klastra w sieci wirtualnej żądanie zgody jest wysyłane do zatwierdzenia przez właściciela subskrypcji. Jeśli użytkownik żądający utworzenia prywatnego punktu końcowego jest również właścicielem subskrypcji, żądanie zostanie automatycznie zatwierdzone. Właściciele subskrypcji mogą zarządzać żądaniami zgody i prywatnymi punktami końcowymi klastra w Azure Portal w obszarze Prywatne punkty końcowe.
Każda aplikacja usługi IoT Central może obsługiwać wiele prywatnych punktów końcowych, z których każdy może znajdować się w sieci wirtualnej w innym regionie. Jeśli planujesz używać wielu prywatnych punktów końcowych, pamiętaj, aby skonfigurować system DNS i zaplanować rozmiar podsieci sieci wirtualnej.
Planowanie rozmiaru podsieci w sieci wirtualnej
Nie można zmienić rozmiaru podsieci w sieci wirtualnej po utworzeniu podsieci. Dlatego ważne jest, aby zaplanować rozmiar podsieci i umożliwić przyszły wzrost.
Usługa IoT Central tworzy wiele nazw FQDN widocznych dla klienta w ramach wdrożenia prywatnego punktu końcowego. Oprócz nazwy FQDN dla usługi IoT Central istnieją nazwy FQDN dla bazowych IoT Hub, usługi Event Hubs i zasobów usługi Device Provisioning Service.
Prywatny punkt końcowy usługi IoT Central używa wielu adresów IP z sieci wirtualnej i podsieci. Ponadto na podstawie profilu ładowania aplikacji usługa IoT Central automatycznie skaluje swoje bazowe centra IoT Hub , aby liczba adresów IP używanych przez prywatny punkt końcowy mogła wzrosnąć. Zaplanuj ten możliwy wzrost podczas określania rozmiaru podsieci.
Skorzystaj z poniższych informacji, aby określić łączną liczbę adresów IP wymaganych w podsieci:
| Zastosowanie | Liczba adresów IP na prywatny punkt końcowy |
|---|---|
| IoT Central URL | 1 |
| Podstawowe centra IoT | 2-50 |
| Usługa Event Hubs odpowiadająca usługom IoT Hubs | 2-50 |
| Device Provisioning Service | 1 |
| Zarezerwowane adresy platformy Azure | 5 |
| Łącznie | 11-107 |
Aby dowiedzieć się więcej, zobacz Często zadawane pytania dotyczące usługi Azure Azure Virtual Network.
Uwaga
Minimalny rozmiar podsieci to /28 (14 adresów IP do użycia). Do użytku z prywatnym punktem końcowym /24 usługi IoT Central jest zalecane, co pomaga w przypadku ekstremalnych obciążeń.
Następne kroki
Teraz, gdy już wiesz już, jak używać prywatnych punktów końcowych do łączenia urządzenia z aplikacją, oto sugerowany następny krok: