Hub IoT suporte para redes virtuais com Azure Private Link

Por predefinição, os nomes de anfitrião do Hub IoT mapeiam para um ponto final público com um endereço IP encaminhável publicamente através da Internet. Diferentes clientes partilham este ponto final público do Hub IoT, pelo que acesso será permitido a todos os dispositivos IoT em redes alargadas e em redes no local.

Algumas funcionalidades de Hub IoT, incluindo o encaminhamento de mensagens, o carregamento de ficheiros e a importação/exportação de dispositivos em massa, também requerem conectividade do Hub IoT a um recurso do Azure pertencente ao cliente através do ponto final público. Estes caminhos de conectividade compõem o tráfego de saída do Hub IoT para os recursos do cliente.

Poderá querer restringir a conectividade aos seus recursos do Azure (incluindo Hub IoT) através de uma VNet que possui e opera por vários motivos, incluindo:

• Introdução ao isolamento de rede para o seu hub IoT ao impedir a exposição da conectividade à Internet pública.

• Ativar uma experiência de conectividade privada a partir dos recursos de rede no local, o que garante que os dados e o tráfego são transmitidos diretamente para a rede principal do Azure.

• Impedir ataques de exfiltração de redes confidenciais no local.

• Seguir padrões de conectividade estabelecidos ao nível do Azure com pontos finais privados.

Este artigo descreve como alcançar estes objetivos com Azure Private Link para conectividade de entrada para Hub IoT e utilizar a exceção de serviços Microsoft fidedignos para a conectividade de saída de Hub IoT para outros recursos do Azure.

Conectividade de entrada para Hub IoT com Azure Private Link

Um ponto final privado é um endereço IP privado alocado dentro de uma VNet propriedade do cliente através da qual um recurso do Azure está acessível. Com Azure Private Link, pode configurar um ponto final privado para o seu hub IoT para permitir que os serviços dentro da VNet alcancem Hub IoT sem exigir que o tráfego seja enviado para o ponto final público do Hub IoT. Da mesma forma, os seus dispositivos no local podem utilizar a Rede Privada Virtual (VPN) ou o peering do ExpressRoute para obter conectividade à VNet e ao hub IoT (através do respetivo ponto final privado). Como resultado, pode restringir ou bloquear completamente a conectividade aos pontos finais públicos do hub IoT com Hub IoT filtro IP ou o botão de alternar de acesso à rede pública. Esta abordagem mantém a conectividade ao hub através do ponto final privado para dispositivos. O foco principal desta configuração é para dispositivos dentro de uma rede no local. Esta configuração não é recomendada para dispositivos implementados numa rede alargada.

Antes de continuar, certifique-se de que os seguintes pré-requisitos são cumpridos:

• Criou uma VNet do Azure com uma sub-rede na qual o ponto final privado será criado.

• Para dispositivos que operam em redes no local, configure a Rede Privada Virtual (VPN) ou o peering privado do ExpressRoute na VNet do Azure.

Configurar um ponto final privado para a entrada do Hub IoT

O ponto final privado funciona para Hub IoT APIs de dispositivos (como mensagens do dispositivo para a cloud) e APIs de serviço (como criar e atualizar dispositivos).

1. Na portal do Azure, navegue para o seu hub IoT.

2. Selecione Rede>Acesso privado e, em seguida, selecione Criar um ponto final privado.

   

3. Indique a subscrição, o grupo de recursos, o nome e a região para criar o novo ponto final privado. Idealmente, deve ser criado um ponto final privado na mesma região que o hub.

4. Selecione Seguinte: Recurso, forneça a subscrição do recurso Hub IoT e selecione "Microsoft.Devices/IotHubs" como tipo de recurso, o nome do hub IoT como recurso e o iotHub como sub-origem de destino.

5. Selecione Seguinte: Configuração e forneça a sua rede virtual e sub-rede para criar o ponto final privado. Selecione a opção para integrar na zona DNS privado do Azure, se assim o desejar.

6. Selecione Seguinte: Etiquetas e, opcionalmente, forneça quaisquer etiquetas para o recurso.

7. Selecione Rever + criar para criar o recurso de ligação privada.

Ponto final compatível com Os Hubs de Eventos Incorporados

O ponto final compatível com os Hubs de Eventos incorporado também pode ser acedido através de um ponto final privado. Quando a ligação privada estiver configurada, deverá ver outra ligação de ponto final privado para o ponto final incorporado. É aquele com servicebus.windows.net no FQDN.

O Filtro IP do Hub IoT pode controlar opcionalmente o acesso público ao ponto final incorporado.

Para bloquear completamente o acesso à rede pública ao seu hub IoT, desative o acesso à rede pública ou utilize o filtro IP para bloquear todo o IP e selecione a opção para aplicar regras ao ponto final incorporado.

Preços do Private Link

Para obter detalhes sobre preços, veja preços de Azure Private Link.

Conectividade de saída de Hub IoT para outros recursos do Azure

O Hub IoT pode ligar-se ao armazenamento de blobs do Azure, ao hub de eventos, a recursos do Service Bus para encaminhamento de mensagens, carregamento de ficheiros e importação/exportação de dispositivos em massa pelo ponto final público dos recursos. Vincular o recurso a uma VNet bloqueia a conectividade ao recurso por predefinição. Como resultado, esta configuração impede que os hubs IoT enviem dados para os seus recursos. Para corrigir este problema, ative a conectividade do recurso Hub IoT à conta de armazenamento, ao hub de eventos ou aos recursos do service bus através da opção de serviço microsoft fidedigna.

Para permitir que outros serviços encontrem o seu hub IoT como um serviço Microsoft fidedigno, o seu hub tem de utilizar uma identidade gerida. Assim que uma identidade gerida for aprovisionada, conceda permissão à identidade gerida do hub para aceder ao ponto final personalizado. Siga o artigo Suporte de identidades geridas no Hub IoT para aprovisionar uma identidade gerida com a permissão de controlo de acesso baseado em funções (RBAC) do Azure e adicionar o ponto final personalizado ao seu hub IoT. Certifique-se de que ativa a exceção de primeira entidade fidedigna da Microsoft para permitir que os hubs IoT acedam ao ponto final personalizado se tiver as configurações da firewall implementadas.

Opção Preços do serviço Microsoft fidedigno

A funcionalidade de exceção de serviços originais fidedignos da Microsoft é gratuita. Os custos das contas de armazenamento aprovisionadas, dos hubs de eventos ou dos recursos do service bus aplicam-se separadamente.

Passos seguintes

Utilize as seguintes ligações para saber mais sobre as funcionalidades Hub IoT:

• Encaminhamento de mensagens
• Carregamento de ficheiros
• Importação/exportação de dispositivos em massa