Konfigurera privata slutpunkter för enhetsuppdatering för IoT Hub-konton

Du kan använda privata slutpunkter för att tillåta trafik direkt från ditt virtuella nätverk till ditt konto på ett säkert sätt via en privat länk utan att gå via det offentliga Internet. Den privata slutpunkten använder en IP-adress från det virtuella nätverkets adressutrymme för ditt konto. Mer konceptuell information finns i Nätverkssäkerhet.

Den här artikeln beskriver hur du konfigurerar privata slutpunkter för konton.

Du kan antingen använda Azure-portalen eller Azure CLI för att skapa en privat slutpunkt för ett konto.

Förutsättningar

Azure-portalen

Inga krav för Azure-portalen.

Azure CLI

En Azure CLI-miljö:

• Använd Bash-miljön i Azure Cloud Shell.

  

• Eller om du föredrar att köra CLI-referenskommandon lokalt installerar du Azure CLI

  • Logga in på Azure CLI med kommandot az login .

  • Kör az version om du vill hitta versionen och de beroende bibliotek som är installerade. Om du vill uppgradera till den senaste versionen kör du az upgrade.

  • När du uppmanas till det installerar du Azure CLI-tillägg vid första användningen. Kommandona i den här artikeln använder azure-iot-tillägget . Kör az extension update --name azure-iot för att se till att du använder den senaste versionen av tillägget.

Konfigurera privata slutpunkter från enhetsuppdateringskontot

I Azure-portalen kan du skapa en ny privat slutpunkt från enhetsuppdateringskontot. Dessa privata slutpunktsanslutningar är automatiskt godkända och behöver inte de extra stegen för att granskas och godkännas som beskrivs i resten av den här artikeln.

1. Logga in på Azure-portalen och navigera till ditt konto eller din domän.

2. Växla till fliken Nätverk på kontosidan. Om du bara vill begränsa åtkomsten till den privata slutpunkten inaktiverar du åtkomsten till det offentliga nätverket.

3. Växla till fliken Privat åtkomst och välj sedan + Lägg till i verktygsfältet.

   

4. På sidan Grundläggande anger du följande information för din privata slutpunkt:

   • Prenumeration: Den Azure-prenumeration där du vill skapa den privata slutpunkten.

   • Resursgrupp: En befintlig eller ny resursgrupp för den privata slutpunkten.

   • Namn: Ett namn för slutpunkten. Det här värdet används för att generera nätverksgränssnittets namn automatiskt.

   • Region: En Azure-region för slutpunkten. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk, men kan i en annan region än enhetsuppdateringskontot.

     

5. Sidan Resurs fylls i automatiskt

   

6. På sidan Virtuellt nätverk väljer du det undernät och det virtuella nätverk där du vill distribuera den privata slutpunkten.

   • Virtuellt nätverk: Endast virtuella nätverk i den aktuella valda prenumerationen och platsen visas i listrutan.

   • Undernät: Välj ett undernät i det virtuella nätverk som du har valt.

     

7. På SIDAN DNS använder du de förifyllda värdena såvida du inte använder din egen anpassade DNS.

   

8. På sidan Taggar skapar du eventuella taggar (namn och värden) som du vill associera med den privata slutpunktsresursen.

9. På sidan Granska + skapa granskar du alla inställningar och väljer Skapa för att skapa den privata slutpunkten.

Konfigurera privata slutpunkter från Private Link Center

Om du inte har åtkomst till enhetsuppdateringskontot kan du skapa privata slutpunkter från Private Link Center. Om användaren som skapar anslutningen inte har behörighet att godkänna den, skapas anslutningen i väntande tillstånd.

Du kan använda antingen Azure-portalen eller Azure CLI för att skapa privata slutpunkter.

Azure-portalen

1. Från Azure-portalen går du till Privata Link Center-slutpunkter> och väljer +Skapa.

   

2. På sidan Grundläggande anger du följande information för din privata slutpunkt:

   • Prenumeration: Den Azure-prenumeration där du vill skapa den privata slutpunkten.
   • Resursgrupp: En befintlig eller ny resursgrupp för den privata slutpunkten.
   • Namn: Ett namn för slutpunkten. Det här värdet används för att generera nätverksgränssnittets namn automatiskt.
   • Region: En Azure-region för slutpunkten. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk, men kan i en annan region än enhetsuppdateringskontot.

3. Fyll i alla obligatoriska fält på fliken Resurs

   • Anslut ionsmetod: Välj Anslut till en Azure-resurs efter resurs-ID eller alias.
   • Resurs-ID eller alias: Ange resurs-ID för enhetsuppdateringskontot. Du kan hämta resurs-ID:t för ett enhetsuppdateringskonto från Azure-portalen genom att välja JSON-vy på sidan Översikt . Du kan också hämta den med kommandot az iot du account show och fråga efter ID-värdet: az iot du account show -n <account_name> --query id.
   • Målunderresurs: Värdet måste vara DeviceUpdate

   

4. På sidan Virtuellt nätverk väljer du det undernät och det virtuella nätverk där du vill distribuera den privata slutpunkten.

   • Virtuellt nätverk: Endast virtuella nätverk i den aktuella valda prenumerationen och platsen visas i listrutan.
   • Undernät: Välj ett undernät i det virtuella nätverk som du har valt.

5. På SIDAN DNS använder du de förifyllda värdena såvida du inte använder din egen anpassade DNS.

6. På sidan Taggar skapar du eventuella taggar (namn och värden) som du vill associera med den privata slutpunktsresursen.

7. På sidan Granska + skapa granskar du alla inställningar och väljer Skapa för att skapa den privata slutpunkten.

Azure CLI

Använd kommandot az network private-endpoint create för att skapa en privat slutpunkt.

Ersätt följande platshållare med din egen information:

• RESOURCE_GROUP_NAME: Namnet på resursgruppen.
• PRIVATE_ENDPOINT_NAME: Namnet på den privata slutpunkten.
• PRIVATE_LINK_CONNECTION_NAME: Namnet på den privata länktjänstens anslutning.
• VIRTUAL_NETWORK_NAME: Namnet på ett befintligt virtuellt nätverk som är associerat med undernätet.
• SUBNET_NAME: Namn eller ID för ett befintligt undernät. Om du använder ett undernätsnamn måste du även inkludera namnet på det virtuella nätverket. Om du använder ett undernäts-ID kan du utelämna parametern --vnet-name .
• DEVICE_UPDATE_RESOURCE_ID: Du kan hämta resurs-ID:t för ett enhetsuppdateringskonto från Azure-portalen genom att välja JSON-vy på sidan Översikt. Du kan också hämta den med kommandot az iot du account show och fråga efter ID-värdet: az iot du account show -n <account_name> --query id.
• PLATS: Namnet på Azure-regionen. Din privata slutpunkt måste finnas i samma region som ditt virtuella nätverk, men kan i en annan region än enhetsuppdateringskontot.

az network private-endpoint create \
    --resource-group <RESOURCE_GROUP_NAME> \
    --name <PRIVATE_ENDPOINT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --vnet-name <VIRTUAL_NETWORK_NAME> \
    --subnet <SUBNET_NAME> \
    --private-connection-resource-id "<DEVICE_UPDATE_RESOURCE_ID> \
    --location <LOCATION> \
    --group-id DeviceUpdate
    --request-message "Optional message"
    --manual-request

Du kan ta bort en privat slutpunkt med kommandot az network private-endpoint delete .

az network private-endpoint delete --resource-group <RESOURCE_GROUP_NAME> --name <PRIVATE_ENDPOINT_NAME>

Hantera privata länkanslutningar

När du skapar en privat slutpunkt som väntar på det manuella godkännandet måste anslutningen godkännas innan den kan användas. Om resursen som du skapar en privat slutpunkt för finns i din katalog kan du godkänna anslutningsbegäran förutsatt att du har tillräcklig behörighet. Om du ansluter till en Azure-resurs i en annan katalog måste du vänta tills resursens ägare har godkänt anslutningsbegäran.

Det finns fyra etableringstillstånd:

Tjänståtgärd	Tjänstkonsumentens privata slutpunktstillstånd	Description
None	Väntande	Anslut ion skapas manuellt och väntar på godkännande från resursägaren för private Link.
Godkänn	Godkänd	Anslut ion godkändes automatiskt eller manuellt och är redo att användas.
Avvisa	Avvisat	Anslut ion avvisades av resursägaren för den privata länken.
Ta bort	Frånkopplad	Anslut ion togs bort av resursägaren för den privata länken blir den privata slutpunkten informativ och bör tas bort för rensning.

Azure-portalen

Granska en väntande anslutning från enhetsuppdateringskontot

1. Från Azure-portalen går du till det enhetsuppdateringskonto som du vill hantera.

2. Välj fliken Nätverk.

3. Om det finns några väntande anslutningar visas en anslutning med Väntar i etableringstillståndet.

   

4. Använd kryssrutan för att markera den väntande anslutningen och välj sedan antingen Godkänn eller Avvisa.

Granska en väntande anslutning från Private Link Center

1. Från Azure-portalen går du till Private Link Center>Väntar på anslutningar.

2. Använd kryssrutan för att markera den väntande anslutningen och välj sedan antingen Godkänn eller Avvisa.

   

Azure CLI

Använd kommandot az iot du account private-endpoint-connection set för att hantera privat slutpunktsanslutning.

Ersätt följande platshållare med din egen information:

• ACCOUNT_NAME: Namnet på enhetsuppdateringskontot.
• PRIVATE_LINK_CONNECTION_NAME: Namnet på den privata länktjänstens anslutning.
• STATUS: Antingen Approved eller Rejected.

az iot du account private-endpoint-connection set \
    --name <ACCOUNT_NAME> \
    --connection-name <PRIVATE_LINK_CONNECTION_NAME> \
    --status <STATUS> \
    --desc 'Optional description'

Nästa steg

Lär dig mer om nätverkssäkerhetsbegrepp.