Настройка частных конечных точек для обновления устройств для службы "Обновление устройств для Центра Интернета вещей"

Вы можете пустить через частные конечные точки безопасный трафик напрямую из виртуальной сети в учетную запись по приватному каналу без использования общедоступного Интернета. Частная конечная точка использует IP-адрес из адресного пространства виртуальной сети для вашей учетной записи. Дополнительные сведения о принципах работы см. в разделе Безопасность сети.

В этой статье рассказывается, как настроить частные конечные точки для учетных записей.

Для создания частной конечной точки для учетной записи можно использовать портал Azure или Azure CLI.

Необходимые компоненты

Портал Azure

Отсутствие необходимых условий для использования портала Azure.

Azure CLI

Среда интерфейса командной строки Azure:

• Используйте среду Bash в Azure Cloud Shell.

  

• Если вы предпочитаете выполнять справочные команды CLI локально, установите Azure CLI

  • Выполните вход в Azure CLI с помощью команды az login.

  • Выполните команду az version, чтобы узнать установленную версию и зависимые библиотеки. Чтобы обновиться до последней версии, выполните команду az upgrade.

  • При появлении запроса установите расширения Azure CLI при первом использовании. В командах в этой статье используется расширение azure-iot. Запустите az extension update --name azure-iot и убедитесь, что используется последняя версия расширения.

Настройка частных конечных точек из учетной записи Обновления устройств

В портале Azure можно создать частную конечную точку из учетной записи обновления устройства. Эти подключения к частной конечной точке утверждены автоматически и не требуют дополнительных шагов проверки и утверждения, описанных в остальной части этой статьи.

1. Войдите на портал Azure и перейдите к своему учетной записи или домену.

2. Перейдите на вкладку Сеть на странице учетной записи. Если вы хотите ограничить доступ только к частной конечной точке, отключите Доступ из общедоступных сетей.

3. Перейдите на вкладку Частный доступ и выберите + Добавить на панели инструментов.

   

4. На странице Основные сведения укажите следующие сведения для частной конечной точки:

   • Подписка. Выберите подписку Azure, в которой нужно создать частную конечную точку.

   • Группа ресурсов. Существующая или новая группа ресурсов для частной конечной точки.

   • Имя. Введите имя для конечной точки. Это значение используется для автоматического создания Имени сетевого интерфейса.

   • Регион. Регион Azure для конечной точки. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть, но может находиться в разных регионах из учетной записи службы "Обновление устройств".

     

5. Страница Ресурс заполняется автоматически

   

6. На странице Виртуальная сеть выберите подсеть в виртуальной сети, в которой требуется развернуть частную конечную точку.

   • Виртуальная сеть. В раскрывающемся списке отображаются только виртуальные сети в выбранных сейчас подписке и расположении.

   • Подсеть. Выберите подсеть в выбранной виртуальной сети.

     

7. На странице DNS используйте предварительно заполненные значения, если у вас нет собственной службы DNS.

   

8. На странице Теги создайте теги (имена и значения), которые нужно связать с ресурсом частной конечной точки.

9. На странице Проверка + создание проверьте все параметры и нажмите Создать, чтобы создать частную конечную точку.

Настройка частных конечных точек из центра Приватного канала

Если у вас нет доступа к учетной записи обновления устройств, можно создать частные конечные точки из центра Приватного канала. В случае, если пользователь, создающий подключение, не имеет возможности также утвердить его, подключение будет создано в состоянии ожидания.

Для создания частных конечных точек можно использовать портал Azure или интерфейс командной строки Azure.

Портал Azure

1. С портала Azure перейдите к Частным конечным точкам>Центра приватного канала и нажмите +Создать.

   

2. На странице Основные сведения укажите следующие сведения для частной конечной точки:

   • Подписка. Выберите подписку Azure, в которой нужно создать частную конечную точку.
   • Группа ресурсов. Существующая или новая группа ресурсов для частной конечной точки.
   • Имя. Введите имя для конечной точки. Это значение используется для автоматического создания Имени сетевого интерфейса.
   • Регион. Регион Azure для конечной точки. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть, но может находиться в разных регионах из учетной записи службы "Обновление устройств".

3. Заполните все обязательные поля на вкладке Ресурсы

   • Метод подключения. Выберите Подключиться к ресурсу Azure по идентификатору ресурса или псевдониму.
   • Идентификатор ресурса или псевдоним. Введите идентификатор ресурса учетной записи службы "Обновление устройств". Идентификатор ресурса Учетной записи обновления устройства можно получить на портале Azure, выбрав Представление JSON на странице Обзора. Кроме того, его можно получить с помощью команды az iot du account show command и запроса для значения идентификатора: az iot du account show -n <account_name> --query id
   • Необходимое целевое значение подресурса: DeviceUpdate

   

4. На странице Виртуальная сеть выберите подсеть в виртуальной сети, в которой требуется развернуть частную конечную точку.

   • Виртуальная сеть. В раскрывающемся списке отображаются только виртуальные сети в выбранных сейчас подписке и расположении.
   • Подсеть. Выберите подсеть в выбранной виртуальной сети.

5. На странице DNS используйте предварительно заполненные значения, если у вас нет собственной службы DNS.

6. На странице Теги создайте теги (имена и значения), которые нужно связать с ресурсом частной конечной точки.

7. На странице Проверка + создание проверьте все параметры и нажмите Создать, чтобы создать частную конечную точку.

Azure CLI

Чтобы создать частную конечную точку, воспользуйтесь командой az network private-endpoint create.

Подставьте следующие заполнители, используя собственную информацию:

• RESOURCE_GROUP_NAME: имя группы ресурсов.
• PRIVATE_ENDPOINT_NAME: имя частной конечной точки.
• PRIVATE_LINK_CONNECTION_NAME: имя подключения службы приватного канала.
• VIRTUAL_NETWORK_NAME: имя существующей виртуальной сети, связанной с подсетью.
• SUBNET_NAME: имя или идентификатор существующей подсети. Если вы используете имя подсети, необходимо также включить имя виртуальной сети. При использовании идентификатора подсети можно опустить параметр --vnet-name.
• DEVICE_UPDATE_RESOURCE_ID: Идентификатор ресурса учетной записи обновления устройства можно получить на портале Azure, выбрав представление JSON на странице Обзора. Кроме того, его можно получить с помощью команды az iot du account show command и запроса для значения идентификатора: az iot du account show -n <account_name> --query id
• LOCATION: имя региона Azure. Частная конечная точка должна находиться в том же регионе, что и виртуальная сеть, но может находиться в разных регионах из учетной записи службы "Обновление устройств".

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

Вы можете удалить частную конечную точку с помощью команды az network private-endpoint delete.

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Управление подключениями приватного канала

При создании частной конечной точки, ожидающей утверждения вручную, необходимо утвердить подключение, прежде чем его можно будет использовать. Если ресурс, для которого создается частная конечная точка, находится в вашем каталоге, вы можете утвердить запрос на подключение, если у вас есть необходимые разрешения. При подключении к ресурсу Azure в другом каталоге необходимо дождаться, пока владелец этого ресурса утвердит запрос на подключение.

Существует четыре состояния подготовки:

Действие в службе	Состояние частной конечной точки объекта-получателя службы	Description
Нет	Не завершено	Подключение создается вручную и ожидает утверждения от владельца ресурса приватного канала.
Утвердить	Утвержденная	Подключение утверждено автоматически или вручную и готово к использованию.
Отклонить	Аннулировано	Подключение отклонил владелец ресурса Приватного канала.
Удалить	Отключено	Подключение удалил владелец ресурса Приватного канала. Частная конечная точка станет информативной и подлежит удалению для очистки.

Портал Azure

Проверка ожидающего подключения из учетной записи службы "Обновление устройств"

1. На портале Azure перейдите к учетной записи Обновления устройств, которая требует управления.

2. Перейдите на вкладку Сеть.

3. Если есть подключения в состоянии ожидания, вы увидите такое подключение в списке с состоянием В ожидании.

   

4. С помощью флажка выберите ожидающее подключение, а затем выберите Утвердить или Отклонить.

Проверка ожидающего подключения из Центра Приватного канала

1. В портале Azure перейдите к Ожидающим подключениям>Центра приватного канала.

2. С помощью флажка выберите ожидающее подключение, а затем выберите Утвердить или Отклонить.

   

Azure CLI

Используйте команду az iot du account private-endpoint-connection-connection set для управления подключением к частной конечной точке.

Подставьте следующие заполнители, используя собственную информацию:

• ИМЯ УЧЕТНОЙ ЗАПИСИ: имя учетной записи обновления устройства.
• PRIVATE_LINK_CONNECTION_NAME: имя подключения службы приватного канала.
• СОСТОЯНИЕ: Approved либо Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Следующие шаги

О концепциях безопасности сети.