Сетевая безопасность для IoT Central с помощью частных конечных точек
Доступ к стандартным конечным точкам IoT Central для подключения устройств можно получить с помощью общедоступных URL-адресов. Любое устройство с допустимым удостоверением может подключиться к приложению IoT Central из любого расположения.
Используйте частные конечные точки, чтобы ограничить и защитить подключение устройств к приложению IoT Central и разрешить доступ только через частную виртуальную сеть.
Частные конечные точки используют частные IP-адреса из адресного пространства виртуальной сети для частного подключения устройств к приложению IoT Central. Сетевой трафик между устройствами в виртуальной сети и платформой Интернета вещей проходит через виртуальную сеть и приватный канал в магистральной сети Майкрософт, устраняя уязвимость в общедоступном Интернете.
Дополнительные сведения о виртуальных сетях Azure см. в статье:
Частные конечные точки в приложении IoT Central позволяют:
- Защитите кластер, настроив брандмауэр так, чтобы блокировать все подключения устройств к общедоступной конечной точке.
- Повышение безопасности виртуальной сети за счет защиты данных в виртуальной сети.
- Безопасное подключение устройств к IoT Central из локальных сетей, которые подключаются к виртуальной сети с помощью VPN-шлюза или частного пиринга ExpressRoute .
Использование частных конечных точек в IoT Central подходит для устройств, подключенных к локальной сети. Не следует использовать частные конечные точки для устройств, развернутых в широкой сети, например в Интернете.
Что собой представляет частная конечная точка?
Частная конечная точка — это специальный сетевой интерфейс для службы Azure в виртуальной сети, которому назначены IP-адреса из диапазона IP-адресов виртуальной сети. Частная конечная точка обеспечивает безопасное подключение между устройствами в виртуальной сети и платформой Интернета вещей, к которому они подключаются. Подключение между частной конечной точкой и платформой Интернета вещей Azure использует безопасный приватный канал:
Устройства, подключенные к виртуальной сети, могут легко подключаться к кластеру через частную конечную точку. Механизмы авторизации используются для подключения к общедоступным конечным точкам. Однако необходимо обновить URL-адрес подключения DPS, так как URL-адрес узла global.azure-devices-provisioning.net глобальной подготовки не разрешается при отключении доступа к общедоступной сети для приложения.
При создании частной конечной точки для кластера в виртуальной сети владелец подписки отправляет запрос согласия на утверждение. Если пользователь, запрашивающий создание частной конечной точки, также является владельцем подписки, запрос утверждается автоматически. Владельцы подписки могут управлять запросами согласия и частными конечными точками для кластера в портал Azure в разделе Частные конечные точки.
Каждое приложение IoT Central может поддерживать несколько частных конечных точек, каждая из которых может находиться в виртуальной сети в другом регионе. Если вы планируете использовать несколько частных конечных точек, присмотритесь к настройке DNS и планированию размера подсетей виртуальной сети.
Планирование размера подсети в виртуальной сети
Размер подсети в виртуальной сети нельзя изменить после создания подсети. Поэтому важно спланировать размер подсети и обеспечить будущий рост.
IoT Central создает несколько видимых клиентами полных доменных имен в рамках развертывания частной конечной точки. Помимо полного доменного имени для IoT Central, существуют полные доменные имена для базовых ресурсов Центр Интернета вещей, Центров событий и службы подготовки устройств.
Частная конечная точка IoT Central использует несколько IP-адресов из виртуальной сети и подсети. Кроме того, в зависимости от профиля нагрузки приложения IoT Central автоматически масштабирует свои базовые Центры Интернета вещей , чтобы количество IP-адресов, используемых частной конечной точкой, может увеличиться. Запланируйте это возможное увеличение при определении размера подсети.
Используйте следующие сведения, чтобы определить общее количество IP-адресов, необходимых в вашей подсети:
| Использование | Количество IP-адресов на частную конечную точку |
|---|---|
| URL-адрес IoT Central | 1 |
| Базовые центры Интернета вещей | 2–50 |
| Центры событий, соответствующие Центрам Интернета вещей | 2–50 |
| Device Provisioning Service (Служба подготовки устройств) | 1 |
| Зарезервированные адреса Azure | 5 |
| Итог | 11-107 |
Дополнительные сведения см. в статье Часто задаваемые вопросы об Azure виртуальная сеть.
Примечание
Минимальный размер подсети — /28 (14 доступных IP-адресов). Для использования с частной конечной точкой /24 IoT Central рекомендуется использовать, что помогает в экстремальных рабочих нагрузках.
Дальнейшие действия
Теперь, когда вы узнали об использовании частных конечных точек для подключения устройства к приложению, вот следующий шаг: