Konfigurowanie prywatnych punktów końcowych dla usługi Device Update dla kont usługi IoT Hub

Artykuł
03/10/2024

Możesz użyć prywatnych punktów końcowych , aby zezwolić na ruch bezpośrednio z sieci wirtualnej do konta za pośrednictwem łącza prywatnego bez przechodzenia przez publiczny Internet. Prywatny punkt końcowy używa adresu IP z przestrzeni adresowej sieci wirtualnej dla twojego konta. Aby uzyskać więcej informacji koncepcyjnych, zobacz Zabezpieczenia sieci.

W tym artykule opisano sposób konfigurowania prywatnych punktów końcowych dla kont.

Aby utworzyć prywatny punkt końcowy dla konta, możesz użyć witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Wymagania wstępne

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

Brak wymagań wstępnych dla witryny Azure Portal.

Środowisko interfejsu wiersza polecenia platformy Azure:

Użyj środowiska powłoki Bash w usłudze Azure Cloud Shell.
Jeśli wolisz uruchamiać polecenia referencyjne interfejsu wiersza polecenia lokalnie, zainstaluj interfejs wiersza polecenia platformy Azure
- Zaloguj się do interfejsu wiersza polecenia platformy Azure przy użyciu polecenia az login .
- Uruchom polecenie az version, aby znaleźć zainstalowane wersje i biblioteki zależne. Aby uaktualnić do najnowszej wersji, uruchom polecenie az upgrade.
- Po wyświetleniu monitu zainstaluj rozszerzenia interfejsu wiersza polecenia platformy Azure podczas pierwszego użycia. Polecenia w tym artykule używają rozszerzenia azure-iot . Uruchom polecenie az extension update --name azure-iot , aby upewnić się, że używasz najnowszej wersji rozszerzenia.

Konfigurowanie prywatnych punktów końcowych z konta usługi Device Update

W witrynie Azure Portal możesz utworzyć nowy prywatny punkt końcowy z poziomu konta usługi Device Update. Te połączenia prywatnych punktów końcowych są automatycznie zatwierdzane i nie wymagają dodatkowych kroków przeglądania i zatwierdzenia opisanych w pozostałej części tego artykułu.

Zaloguj się do witryny Azure Portal i przejdź do swojego konta lub domeny.
Przejdź do karty Sieć na stronie konta. Jeśli chcesz ograniczyć dostęp tylko do prywatnego punktu końcowego, wyłącz dostęp do sieci publicznej.
Przejdź do karty Dostęp prywatny, a następnie wybierz pozycję + Dodaj na pasku narzędzi.
Na stronie Podstawowe podaj następujące informacje dotyczące prywatnego punktu końcowego:
- Subskrypcja: subskrypcja platformy Azure, w której chcesz utworzyć prywatny punkt końcowy.
- Grupa zasobów: istniejąca lub nowa grupa zasobów dla prywatnego punktu końcowego.
- Nazwa: nazwa punktu końcowego. Ta wartość służy do automatycznego generowania nazwy interfejsu sieciowego.
- Region: region świadczenia usługi Azure dla punktu końcowego. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna, ale może znajdować się w innym regionie niż konto usługi Device Update.
Strona Zasób jest wypełniana automatycznie
Na stronie Sieć wirtualna wybierz podsieć i sieć wirtualną, w której chcesz wdrożyć prywatny punkt końcowy.
- Sieć wirtualna: na liście rozwijanej są wyświetlane tylko sieci wirtualne w aktualnie wybranej subskrypcji i lokalizacji.
- Podsieć: wybierz podsieć w wybranej sieci wirtualnej.
Na stronie DNS użyj wstępnie wypełnionych wartości, chyba że używasz własnego niestandardowego systemu DNS.
Na stronie Tagi utwórz wszystkie tagi (nazwy i wartości), które chcesz skojarzyć z zasobem prywatnego punktu końcowego.
Na stronie Przeglądanie + tworzenie przejrzyj wszystkie ustawienia i wybierz pozycję Utwórz, aby utworzyć prywatny punkt końcowy.

Konfigurowanie prywatnych punktów końcowych z centrum usługi Private Link

Jeśli nie masz dostępu do konta usługi Device Update, możesz utworzyć prywatne punkty końcowe w Centrum usługi Private Link. W przypadku, gdy użytkownik tworzący połączenie nie ma uprawnień do jego zatwierdzenia, połączenie zostanie utworzone w stanie oczekiwania.

Do tworzenia prywatnych punktów końcowych można użyć witryny Azure Portal lub interfejsu wiersza polecenia platformy Azure.

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

W witrynie Azure Portal przejdź do prywatnych punktów końcowych centrum>usługi Private Link i wybierz pozycję +Utwórz.
Na stronie Podstawowe podaj następujące informacje dotyczące prywatnego punktu końcowego:
- Subskrypcja: subskrypcja platformy Azure, w której chcesz utworzyć prywatny punkt końcowy.
- Grupa zasobów: istniejąca lub nowa grupa zasobów dla prywatnego punktu końcowego.
- Nazwa: nazwa punktu końcowego. Ta wartość służy do automatycznego generowania nazwy interfejsu sieciowego.
- Region: region świadczenia usługi Azure dla punktu końcowego. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna, ale może znajdować się w innym regionie niż konto usługi Device Update.
Wypełnij wszystkie wymagane pola na karcie Zasób
- metoda Połączenie ion: wybierz pozycję Połączenie do zasobu platformy Azure według identyfikatora zasobu lub aliasu.
- Identyfikator zasobu lub alias: wprowadź identyfikator zasobu konta usługi Device Update. Identyfikator zasobu konta usługi Device Update można pobrać z witryny Azure Portal, wybierając pozycję Widok JSON na stronie Przegląd . Możesz też pobrać go przy użyciu polecenia az iot du account show i wykonywania zapytań o wartość identyfikatora: az iot du account show -n <account_name> --query id.
- Docelowy zasób podrzędny: wartość musi mieć wartość DeviceUpdate
Na stronie Sieć wirtualna wybierz podsieć i sieć wirtualną, w której chcesz wdrożyć prywatny punkt końcowy.
- Sieć wirtualna: na liście rozwijanej są wyświetlane tylko sieci wirtualne w aktualnie wybranej subskrypcji i lokalizacji.
- Podsieć: wybierz podsieć w wybranej sieci wirtualnej.
Na stronie DNS użyj wstępnie wypełnionych wartości, chyba że używasz własnego niestandardowego systemu DNS.
Na stronie Tagi utwórz wszystkie tagi (nazwy i wartości), które chcesz skojarzyć z zasobem prywatnego punktu końcowego.
Na stronie Przeglądanie + tworzenie przejrzyj wszystkie ustawienia i wybierz pozycję Utwórz, aby utworzyć prywatny punkt końcowy.

Użyj polecenia az network private-endpoint create, aby utworzyć prywatny punkt końcowy.

Zastąp następujące symbole zastępcze własnymi informacjami:

RESOURCE_GROUP_NAME: nazwa grupy zasobów.
PRIVATE_ENDPOINT_NAME: nazwa prywatnego punktu końcowego.
PRIVATE_LINK_CONNECTION_NAME: nazwa połączenia usługi łącza prywatnego.
VIRTUAL_NETWORK_NAME: nazwa istniejącej sieci wirtualnej skojarzonej z podsiecią.
SUBNET_NAME: nazwa lub identyfikator istniejącej podsieci. Jeśli używasz nazwy podsieci, musisz również dołączyć nazwę sieci wirtualnej. Jeśli używasz identyfikatora podsieci, możesz pominąć --vnet-name parametr .
DEVICE_UPDATE_RESOURCE_ID: identyfikator zasobu konta usługi Device Update można pobrać z witryny Azure Portal, wybierając pozycję Widok JSON na stronie Przegląd. Możesz też pobrać go przy użyciu polecenia az iot du account show i wykonywania zapytań o wartość identyfikatora: az iot du account show -n <account_name> --query id.
LOKALIZACJA: nazwa regionu świadczenia usługi Azure. Prywatny punkt końcowy musi znajdować się w tym samym regionie co sieć wirtualna, ale może znajdować się w innym regionie niż konto usługi Device Update.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

Prywatny punkt końcowy można usunąć za pomocą polecenia az network private-endpoint delete .

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Zarządzanie połączeniami łącza prywatnego

Podczas tworzenia prywatnego punktu końcowego oczekującego na ręczne zatwierdzenie należy zatwierdzić połączenie, zanim będzie można go użyć. Jeśli zasób, dla którego tworzysz prywatny punkt końcowy, znajduje się w katalogu, możesz zatwierdzić żądanie połączenia, pod warunkiem, że masz wystarczające uprawnienia. Jeśli łączysz się z zasobem platformy Azure w innym katalogu, musisz poczekać, aż właściciel tego zasobu zatwierdzi żądanie połączenia.

Istnieją cztery stany aprowizacji:

Akcja w usłudze	Stan prywatnego punktu końcowego odbiorcy usługi	Opis
None	Oczekiwanie	Połączenie ion jest tworzony ręcznie i oczekuje na zatwierdzenie od właściciela zasobu private Link.
Zatwierdzanie	Zatwierdzona	Połączenie ion został automatycznie lub ręcznie zatwierdzony i jest gotowy do użycia.
Odrzuć	Odrzucona	Połączenie ion został odrzucony przez właściciela zasobu łącza prywatnego.
Usuń	Odłączony	Połączenie ion został usunięty przez właściciela zasobu łącza prywatnego, prywatny punkt końcowy staje się informacyjny i powinien zostać usunięty w celu oczyszczenia.

Witryna Azure Portal
Interfejs wiersza polecenia platformy Azure

Przejrzyj oczekujące połączenie z konta usługi Device Update

W witrynie Azure Portal przejdź do konta usługi Device Update, którym chcesz zarządzać.
Wybierz kartę Sieć.
Jeśli istnieją oczekujące połączenia, zostanie wyświetlone połączenie z komunikatem Oczekujące w stanie aprowizacji.
Zaznacz pole wyboru, aby zaznaczyć oczekujące połączenie, a następnie wybierz pozycję Zatwierdź lub Odrzuć.

Przejrzyj oczekujące połączenie z Centrum usługi Private Link

W witrynie Azure Portal przejdź do centrum>usługi Private Link Oczekujące połączenia.
Zaznacz pole wyboru, aby zaznaczyć oczekujące połączenie, a następnie wybierz pozycję Zatwierdź lub Odrzuć.

Użyj polecenia az iot du account private-endpoint-connection set, aby zarządzać połączeniem prywatnego punktu końcowego.