Gerenciar o acesso à rede pública para o hub IoT

  • Artigo

Importante

Desabilitar o acesso à rede pública impedirá que você use a Atualização de Dispositivo para Hub IoT.

Para restringir o acesso somente a um ponto de extremidade privado para um hub IoT em sua VNet, desabilite o acesso à rede pública. Para fazer isso, use o portal do Azure ou a API publicNetworkAccess. Você também pode permitir acesso público usando o portal ou a API publicNetworkAccess.

Desativar o acesso à rede pública usando o portal do Azure

  1. Vá para o Portal do Azure
  2. Navegue até o seu Hub IoT. Vá para grupos de recursos, escolha o grupo apropriado e selecione o Hub IOT.
  3. Selecione Rede no menu do lado esquerdo.
  4. Em "Permitir acesso de rede pública para", selecione Desabilitado
  5. Selecione Salvar.

Captura de tela mostrando no portal do Azure onde desligar o acesso à rede pública.

Para ativar o acesso à rede pública, selecione Todas as redes e, em seguida, Salvar.

Acessar o hub IoT após desabilitar o acesso à rede pública

Depois que o acesso à rede pública é desabilitado, o hub IoT só fica acessível por meio de seu ponto de extremidade privado da VNet usando o link privado do Azure. Essa restrição inclui o acesso por meio do portal do Azure, porque as chamadas à API para o serviço do Hub IoT são feitas diretamente usando seu navegador com suas credenciais.

Ponto de extremidade do hub IoT, endereço IP e portas depois de desabilitar o acesso à rede pública

O hub IoT é uma plataforma como serviço (PaaS) multilocatário e, portanto, diferentes clientes compartilham o mesmo pool de recursos de hardware de computação, de rede e de armazenamento. Os nomes de host do hub IoT são mapeados para um ponto de extremidade público com um endereço IP roteado publicamente pela Internet. Diferentes clientes compartilham esse ponto de extremidade público do Hub IoT, e dispositivos IoT em redes de longa distância e redes locais podem acessá-lo.

A desabilitação do acesso à rede pública é imposta em um recurso específico do Hub IoT, garantindo o isolamento. Para manter o serviço ativo para outros recursos do cliente que usam o caminho público, o ponto de extremidade público permanece resolvido, os endereços IP são detectáveis e as portas permanecem abertas. Isso não causa preocupação, pois a Microsoft integra várias camadas de segurança para garantir o isolamento completo entre os locatários. Para saber mais, consulte Isolamento na nuvem pública do Azure.

Filtro IP

Se o acesso à rede pública estiver desabilitado, todas as regras de filtro IP serão ignoradas. Isso ocorre porque todos os IPs da internet pública estão bloqueados. Para usar o filtro IP, use a opção Intervalos de IP selecionados.

Faça a correção de bug com um ponto de extremidade compatível com os hubs de eventos internos

Há um bug com o hub IoT em que o ponto de extremidade compatível com os hubs de eventos internos continua a ser acessado por meio da internet pública quando o acesso, pela rede pública, ao hub IoT é desabilitado. Para saber mais e entrar em contato conosco sobre esse bug, consulte Desabilitar o acesso, pela rede pública, ao hub IoT desabilita o acesso ao ponto de extremidade dos hubs de eventos internos.

Ativar o acesso à rede usando o portal do Azure

  1. Acesse o portal do Azure.
  2. Navegue até o seu Hub IoT. Vá para grupos de recursos, escolha o grupo apropriado e selecione o hub.
  3. Selecione Rede, no menu do lado esquerdo.
  4. Em "Permitir acesso de rede pública para", selecione Intervalos IP selecionados.
  5. Na caixa de diálogo filtro IP que é aberta, selecione Adicionar o endereço IP do cliente e insira um nome e um intervalo de endereços.
  6. Selecione Salvar. Se o botão estiver esmaecido, verifique se o endereço IP do cliente já foi adicionado como um filtro IP.

Captura de tela mostrando no portal do Azure onde ativar o acesso à rede pública.

Ativar todos os intervalos de rede

  1. Navegue até o seu Hub IoT. Vá para grupos de recursos, escolha o grupo apropriado e selecione o hub.
  2. Selecione Rede, no menu do lado esquerdo.
  3. Em "Permitir acesso de rede pública para", selecione Todas as redes.
  4. Selecione Salvar.

Verificar o acesso ao Hub IoT usando Cloud Shell

Você pode verificar o acesso ao Hub IoT usando o Azure Cloud Shell. Verifique se você ativou todos os intervalos de rede e, em seguida, emita os comandos a seguir. Substitua "Subscriptionname" pelo nome da sua assinatura e "MyIoTHub" pelo nome do seu hub.

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"

  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

Solução de problemas

Se você tiver problemas para acessar o Hub IoT, sua configuração de rede poderá ser o problema. Por exemplo, se você vir a seguinte mensagem de erro ao tentar acessar a página de dispositivos IoT, marque a página Rede para ver se o acesso à rede pública está desabilitado ou restrito a intervalos IP selecionados.

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

Quando você tenta acessar o hub IoT com outras ferramentas, como a CLI do Azure, a mensagem de erro pode incluir {"errorCode": 401002, "message": "Unauthorized"} quando a solicitação não é encaminhada corretamente ao hub IoT.

Para obter acesso ao Hub IoT, solicite permissão de seu administrador de TI para adicionar seu endereço IP no intervalo de endereços IP ou para habilitar o acesso à rede pública a todas as redes. Se isso não resolver o problema, verifique as configurações da rede local ou entre em contato com o administrador da rede local para corrigir a conectividade com o hub IoT. Por exemplo, às vezes um proxy na rede local pode interferir no acesso ao Hub IoT.

Se os comandos anteriores não funcionarem ou se você não puder ativar todos os intervalos de rede, entre em contato com o suporte da Microsoft.