IoT Hub obsługa sieci wirtualnych za pomocą Azure Private Link

Artykuł
03/18/2023

Domyślnie nazwy hostów IoT Hub są mapowane na publiczny punkt końcowy z publicznym routingiem adresu IP przez Internet. Różni klienci współdzielą ten publiczny punkt końcowy usługi IoT Hub, a wszystkie urządzenia IoT w sieciach WAN i lokalnych mogą uzyskiwać do niego dostęp.

Diagram IoT Hub publicznego punktu końcowego.

Niektóre funkcje IoT Hub, w tym routing komunikatów, przekazywanie plików i zbiorcze importowanie/eksportowanie urządzeń, również wymagają łączności z IoT Hub do zasobu platformy Azure należącego do klienta za pośrednictwem publicznego punktu końcowego. Te ścieżki łączności tworzą ruch wychodzący z IoT Hub do zasobów klientów.

Możesz ograniczyć łączność z zasobami platformy Azure (w tym IoT Hub) za pośrednictwem sieci wirtualnej, której jesteś właścicielem i obsługiwać z kilku powodów, w tym:

Wprowadzenie izolacji sieci dla centrum IoT przez zapobieganie narażeniu łączności z publicznym Internetem.
Włączenie środowiska łączności prywatnej z zasobów sieci lokalnej, co gwarantuje, że dane i ruch są przesyłane bezpośrednio do sieci szkieletowej platformy Azure.
Zapobieganie atakom eksfiltracji z poufnych sieci lokalnych.
Zgodnie z ustalonymi wzorcami łączności dla całej platformy Azure przy użyciu prywatnych punktów końcowych.

W tym artykule opisano, jak osiągnąć te cele przy użyciu Azure Private Link na potrzeby łączności przychodzącej z IoT Hub i używania wyjątku zaufanych usług firmy Microsoft w przypadku łączności wychodzącej z IoT Hub do innych zasobów platformy Azure.

Łączność ruchu przychodzącego z IoT Hub przy użyciu Azure Private Link

Prywatny punkt końcowy to prywatny adres IP przydzielony wewnątrz sieci wirtualnej należącej do klienta, za pośrednictwem której zasób platformy Azure jest osiągalny. Za pomocą Azure Private Link możesz skonfigurować prywatny punkt końcowy dla centrum IoT, aby umożliwić usługom w sieci wirtualnej dotarcie do IoT Hub bez konieczności wysyłania ruchu do publicznego punktu końcowego IoT Hub. Podobnie urządzenia lokalne mogą używać wirtualnej sieci prywatnej (VPN) lub komunikacji równorzędnej usługi ExpressRoute w celu uzyskania łączności z siecią wirtualną i centrum IoT (za pośrednictwem prywatnego punktu końcowego). W związku z tym można ograniczyć lub całkowicie zablokować łączność z publicznymi punktami końcowymi centrum IoT przy użyciu filtru adresu IP IoT Hub lub przełącznika dostępu do sieci publicznej. Takie podejście zapewnia łączność z centrum przy użyciu prywatnego punktu końcowego dla urządzeń. Głównym celem tej konfiguracji jest instalacja urządzeń w sieci lokalnej. Ta konfiguracja nie jest zalecana dla urządzeń wdrożonych w sieci rozległej.

Diagram ruchu przychodzącego IoT Hub sieci wirtualnej.

Przed kontynuowaniem upewnij się, że spełnione są następujące wymagania wstępne:

Utworzono sieć wirtualną platformy Azure z podsiecią, w której zostanie utworzony prywatny punkt końcowy.
W przypadku urządzeń działających w sieciach lokalnych skonfiguruj prywatną sieć prywatną (VPN) lub prywatną komunikację równorzędną usługi ExpressRoute w sieci wirtualnej platformy Azure.

Konfigurowanie prywatnego punktu końcowego dla ruchu przychodzącego usługi IoT Hub

Prywatny punkt końcowy działa dla interfejsów API urządzeń IoT Hub (takich jak komunikaty urządzenia do chmury) i interfejsów API usługi (takich jak tworzenie i aktualizowanie urządzeń).

W Azure Portal przejdź do centrum IoT Hub.
Wybierz pozycjęDostęp prywatny dosieci>, a następnie wybierz pozycję Utwórz prywatny punkt końcowy.
Podaj subskrypcję, grupę zasobów, nazwę i region, aby utworzyć nowy prywatny punkt końcowy. Najlepiej, aby prywatny punkt końcowy został utworzony w tym samym regionie co centrum.
Wybierz pozycję Dalej: zasób i podaj subskrypcję zasobu IoT Hub, a następnie wybierz pozycję "Microsoft.Devices/IotHubs" jako typ zasobu, nazwę centrum IoT Jako zasób i iotHub jako źródło docelowe.
Wybierz pozycję Dalej: konfiguracja i podaj sieć wirtualną i podsieć, aby utworzyć prywatny punkt końcowy. W razie potrzeby wybierz opcję integracji z prywatną strefą DNS platformy Azure.
Wybierz pozycję Dalej: Tagi i opcjonalnie podaj tagi dla zasobu.
Wybierz pozycję Przejrzyj i utwórz , aby utworzyć zasób linku prywatnego.

Wbudowany punkt końcowy zgodny z usługą Event Hubs

Dostęp do wbudowanego punktu końcowego zgodnego z usługą Event Hubs można również uzyskać za pośrednictwem prywatnego punktu końcowego. Po skonfigurowaniu łącza prywatnego powinno zostać wyświetlone inne połączenie prywatnego punktu końcowego dla wbudowanego punktu końcowego. Jest to element z servicebus.windows.net nazwą FQDN.

Zrzut ekranu przedstawiający dwa prywatne punkty końcowe podane dla każdego IoT Hub łącza prywatnego

Filtr adresów IP usługi IoT Hub może opcjonalnie kontrolować dostęp publiczny do wbudowanego punktu końcowego.

Aby całkowicie zablokować dostęp do sieci publicznej do centrum IoT, wyłącz dostęp do sieci publicznej lub użyj filtru IP, aby zablokować cały adres IP i wybrać opcję stosowania reguł do wbudowanego punktu końcowego.

Cennik Private Link

Aby uzyskać szczegółowe informacje o cenach, zobacz Azure Private Link cennik.

Łączność wychodząca z IoT Hub do innych zasobów platformy Azure

Usługa IoT Hub może nawiązać połączenie z magazynem obiektów blob platformy Azure, centrum zdarzeń i zasobami magistrali usług w celu routingu komunikatów, przekazywania plików i zbiorczego importowania/eksportowania urządzeń za pośrednictwem publicznego punktu końcowego zasobów. Powiązanie zasobu z siecią wirtualną domyślnie blokuje łączność z zasobem. W związku z tym ta konfiguracja uniemożliwia usługom IoT Hub wysyłanie danych do zasobów. Aby rozwiązać ten problem, włącz łączność z zasobu IoT Hub do konta magazynu, centrum zdarzeń lub zasobów usługi Service Bus za pośrednictwem opcji zaufanej usługi firmy Microsoft.

Aby umożliwić innym usługom znajdowanie centrum IoT jako zaufanej usługi firmy Microsoft, centrum musi używać tożsamości zarządzanej. Po aprowizacji tożsamości zarządzanej przyznaj tożsamości zarządzanej centrum uprawnienia dostępu do niestandardowego punktu końcowego. Postępuj zgodnie z artykułem Obsługa tożsamości zarządzanych w IoT Hub, aby aprowizować tożsamość zarządzaną przy użyciu uprawnień kontroli dostępu opartej na rolach (RBAC) platformy Azure i dodać niestandardowy punkt końcowy do centrum IoT. Upewnij się, że włączysz wyjątek zaufanej firmy Microsoft, aby zezwolić usługom IoT Hubs na dostęp do niestandardowego punktu końcowego, jeśli istnieją konfiguracje zapory.

Cennik opcji zaufanej usługi firmy Microsoft

Funkcja wyjątków zaufanych usług firmy Microsoft jest bezpłatna. Opłaty za aprowizowane konta magazynu, centra zdarzeń lub zasoby usługi Service Bus są naliczane oddzielnie.

Następne kroki

Skorzystaj z poniższych linków, aby dowiedzieć się więcej na temat funkcji IoT Hub: