IoT Hub stöd för virtuella nätverk med Private Link och hanterad identitet

Som standard mappar IoT Hub värdnamn till en offentlig slutpunkt med en offentligt dirigerbar IP-adress via Internet. Olika kunder delar den här IoT Hub offentliga slutpunkten, och IoT-enheter i nätverk och lokala nätverk kan alla komma åt den.

IoT Hub offentlig slutpunkt

IoT Hub funktioner som meddelanderoutning, filuppladdning och massimport/export av enheter kräver också anslutning från IoT Hub till en kundägd Azure-resurs via den offentliga slutpunkten. Dessa anslutningsvägar utgör tillsammans utgående trafik från IoT Hub till kundresurser.

Du kanske vill begränsa anslutningen till dina Azure-resurser (inklusive IoT Hub) via ett virtuellt nätverk som du äger och använder. Följande orsaker är:

  • Introduktion till nätverksisolering för din IoT-hubb genom att förhindra att anslutningen exponeras för det offentliga Internet.

  • Aktivera en privat anslutningsupplevelse från dina lokala nätverkstillgångar och se till att dina data och trafik överförs direkt till Azures stamnätverk.

  • Förhindra exfiltreringsattacker från känsliga lokala nätverk.

  • Följ etablerade Anslutningsmönster för Hela Azure med hjälp av privata slutpunkter.

Den här artikeln beskriver hur du uppnår dessa mål med hjälp av Azure Private Link för inkommande anslutning till IoT Hub och med hjälp av undantag för betrodda Microsoft tjänster för utgående anslutning från IoT Hub till andra Azure-resurser.

En privat slutpunkt är en privat IP-adress som allokeras i ett kundägt virtuellt nätverk via vilket en Azure-resurs kan nås. Via Azure Private Link kan du konfigurera en privat slutpunkt för din IoT-hubb så att tjänster i det virtuella nätverket kan nå IoT Hub utan att trafik behöver skickas till IoT Hub offentliga slutpunkt. På samma sätt kan dina lokala enheter använda VPN (Virtual Private Network) eller ExpressRoute-peering för att få anslutning till ditt virtuella nätverk och dina IoT Hub (via dess privata slutpunkt). Därför kan du begränsa eller helt blockera anslutningen till IoT-hubbens offentliga slutpunkter med hjälp av IoT Hub IP-filter eller växlingsknappen för offentlig nätverksåtkomst. Den här metoden behåller anslutningen till din hubb med hjälp av den privata slutpunkten för enheter. Huvudfokus för den här konfigurationen är för enheter i ett lokalt nätverk. Den här konfigurationen rekommenderas inte för enheter som distribueras i ett nätverk med stora nätverk.

IoT Hub utgående virtuellt nätverk

Kontrollera att följande krav är uppfyllda innan du fortsätter:

Konfigurera en privat slutpunkt för IoT Hub-ingress

Privat slutpunkt fungerar för IoT Hub-API:er (t.ex. meddelanden från enheten till molnet) samt tjänst-API:er (som att skapa och uppdatera enheter).

  1. I Azure Portal väljer du Nätverk, Privat åtkomst och klickar på alternativet + Skapa en privat slutpunkt.

    Skärmbild som visar var du lägger till en privat slutpunkt för IoT Hub

  2. Ange prenumeration, resursgrupp, namn och region där den nya privata slutpunkten ska skapas. Vi rekommenderar att den privata slutpunkten skapas i samma region som hubben.

  3. Klicka på Nästa: Resurs och ange prenumerationen för din IoT Hub resurs och välj "Microsoft. Enheter/IotHubs" som resurstyp, ditt IoT Hub namn som resurs och iotHub som målunderresurs.

  4. Klicka på Nästa: Konfiguration och ange ditt virtuella nätverk och undernät för att skapa den privata slutpunkten i. Välj alternativet för att integrera med Azure privat DNS-zon om du vill.

  5. Klicka på Nästa: Taggar och ange eventuella taggar för resursen.

  6. Klicka på Granska + skapa för att skapa din privata länkresurs.

Inbyggd Event Hub-kompatibel slutpunkt

Den inbyggda Event Hub-kompatibla slutpunkten kan också nås över en privat slutpunkt. När en privat länk har konfigurerats bör du kunna se ytterligare en privat slutpunktsanslutning för den inbyggda slutpunkten. Det är den med servicebus.windows.net i FQDN.

Bild som visar två privata slutpunkter med varje IoT Hub privat länk

IoT Hubs IP-filter kan eventuellt styra offentlig åtkomst till den inbyggda slutpunkten.

Om du vill blockera åtkomsten till det offentliga nätverket helt till din IoT-hubb stänger du av åtkomsten till det offentliga nätverket eller använder IP-filter för att blockera alla IP-adresser och väljer alternativet att tillämpa regler på den inbyggda slutpunkten.

Prisinformation finns i Azure Private Link prissättning.

Utgående anslutning från IoT Hub till andra Azure-resurser

IoT Hub kan ansluta till din Azure-bloblagring, händelsehubb, service bus-resurser för meddelanderoutning, filuppladdning och massimport/massexport av enheter via resursernas offentliga slutpunkt. Om du binder resursen till ett VNet blockeras anslutningen till resursen som standard. Därför förhindrar den här konfigurationen att IoT Hubs skickar data till dina resurser. Åtgärda problemet genom att aktivera anslutning från din IoT Hub resurs till ditt lagringskonto, händelsehubb eller Service Bus-resurser via alternativet betrodd Microsoft tjänst.

För att andra tjänster ska kunna hitta din IoT Hub som en betrodd Microsoft-tjänst måste hubben använda hanterad identitet. När en hanterad identitet har etablerats måste du ge Azure RBAC-behörighet till hubbens hanterade identitet för att få åtkomst till din anpassade slutpunkt. Följ artikeln Stöd för hanterad identitet i IoT Hub för att etablera en hanterad identitet med Azure RBAC-behörighet och lägga till den anpassade slutpunkten i IoT Hub. Se till att aktivera undantaget för betrodd Microsoft-förstapart så att IoT Hub får åtkomst till den anpassade slutpunkten om du har brandväggskonfigurationerna på plats.

Prissättning för alternativet betrodd Microsoft tjänst

Den betrodda Microsoft undantagsfunktionen för tjänster från första part är kostnadsfri. Avgifter för etablerade lagringskonton, händelsehubbar eller Service Bus-resurser gäller separat.

Nästa steg

Använd länkarna nedan om du vill veta mer om IoT Hub funktioner: