Aracılığıyla paylaş

Sanal ağlar için Azure IoT Hub Cihaz Sağlama Hizmeti (DPS) desteği

Bu makalede, DPS kullanılarak IoT hub'ları ile sağlanan IoT cihazları için sanal ağ bağlantı düzeni tanıtlenmektedir. Bu düzen, müşterilere ait Azure sanal ağı içindeki cihazlar, DPS ve IoT hub'ı arasında özel bağlantı sağlar.

DPS'nin bir sanal ağ ile yapılandırıldığı çoğu senaryoda IoT hub'ınız da aynı sanal ağda yapılandırılır. IoT hub'ları için sanal ağ desteği ve yapılandırması hakkında daha fazla bilgi için bkz. Azure Özel Bağlantı ile sanal ağlar için IoT Hub desteği.

Giriş

Varsayılan olarak, DPS ana bilgisayar adları İnternet üzerinden genel olarak yönlendirilebilen IP adresine sahip bir genel uç noktaya eşler. Bu genel uç nokta tüm müşteriler tarafından görülebilir. Geniş alan ağları ve şirket içi ağlar üzerinden IoT cihazları genel uç noktaya erişmeyi deneyebilir.

Müşteriler çeşitli nedenlerle DPS gibi Azure kaynaklarına bağlantıyı kısıtlamak isteyebilir. Bu nedenler şunlardır:

  • Genel İnternet üzerinden bağlantının açığa çıkmasını önleyin. IoT hub'ınız ve DPS kaynaklarınız için ağ düzeyinde yalıtım yoluyla daha fazla güvenlik katmanı kullanıma sunularak açığa çıkarma azaltılabilir

  • Şirket içi ağ varlıklarınızdan özel bağlantı deneyimi sağlayarak verilerinizin ve trafiğinizin doğrudan Azure omurga ağına iletilmesini sağlar.

  • Hassas şirket içi ağlardan sızdırma saldırılarını önleme.

  • Azure genelinde özel uç noktalar kullanılarak oluşturulan bağlantı desenlerini takip edin.

Bağlantıyı kısıtlamaya yönelik yaygın yaklaşımlar DPS IP filtresi kuralları ve özel uç noktalara sahip sanal ağ içerir. Bu makalenin amacı, özel uç noktaları kullanan DPS için sanal ağ yaklaşımını açıklamaktır.

Şirket içi ağlarda çalışan cihazlar, Azure'da bir sanal ağa bağlanmak ve özel uç noktalar aracılığıyla DPS kaynaklarına erişmek için Sanal Özel Ağ (VPN) veya ExpressRoute özel eşlemesi kullanabilir.

Özel uç nokta, bir Azure kaynağının erişilebilir olduğu müşteriye ait bir sanal ağ içinde ayrılan özel bir IP adresidir. DPS kaynağınız için özel bir uç noktaya sahip olarak, sanal ağınızda çalışan cihazların genel uç noktaya trafiğe izin vermeden DPS kaynağınızdan sağlama talep etmesine izin verebilirsiniz. Her DPS kaynağı, her biri farklı bir bölgedeki bir sanal ağda yer alan birden çok özel uç noktayı destekleyebilir.

Önkoşullar

Devam etmeden önce aşağıdaki önkoşulların karşılandığından emin olun:

Özel uç nokta sınırlamaları

Özel uç noktaları kullanırken DPS için aşağıdaki geçerli sınırlamalara dikkat edin:

  • DPS kaynağı ve bağlı IoT hub'ı farklı bulutlarda olduğunda özel uç noktalar çalışmaz. Örneğin, Azure Kamu ve global Azure.

  • DPS'deki özel uç noktalar, yalnızca genel bölgelerde desteklenen Azure Özel Bağlantı'yı kullanır. Daha fazla bilgi için bkz. Azure Özel Bağlantı kullanılabilirliği.

  • Şu anda, Azure işlevi bir sanal ağa ve özel uç noktalara kilitlendiğinde DPS için Azure İşlevleri ile özel ayırma ilkeleri çalışmaz.

  • Geçerli DPS sanal ağ desteği yalnızca DPS'ye veri girişi içindir. IoT Hub'a DPS'den akan trafik olan veri çıkışı, ayrılmış bir sanal ağ yerine iç hizmetten hizmete geçiş mekanizmasını kullanır. DPS ile IoT Hub arasında tam sanal ağ tabanlı çıkış kilitleme desteği şu anda kullanılamıyor.

  • En düşük gecikme süresi ayırma ilkesi, ioT hub'ına en düşük gecikme süresine sahip bir cihaz atamak için kullanılır. Bu ayırma ilkesi sanal ağ ortamında güvenilir değildir.

  • Bir veya daha fazla özel uç noktanın etkinleştirilmesi genellikle DPS örneğine genel erişimi devre dışı bırakmayı içerir. Genel erişim devre dışı bırakıldıktan sonra azure portalını kullanarak kayıtları yönetemezsiniz. Bunun yerine, DPS örneğinde yapılandırılmış bir veya daha fazla sanal ağ/özel uç nokta içindeki makinelerden Azure CLI, PowerShell veya hizmet API'lerini kullanarak kayıtları yönetebilirsiniz.

  • Özel uç noktaları kullanırken, Kullanılabilirlik Alanlarını destekleyen bölgelerden birinde DPS dağıtmanızı öneririz. Aksi takdirde, özel uç noktaları etkinleştirilmiş DPS örnekleri kesintiler sırasında daha az kullanılabilirlik görebilir.

Uyarı

Veri yerleşimi konusunda dikkat edilmesi gerekenler:

DPS bir Genel cihaz uç noktası (global.azure-devices-provisioning.net ) sağlar. Ancak genel uç noktayı kullandığınızda, verileriniz DPS örneğinin ilk oluşturulduğu bölgenin dışına yönlendirilebilir. İlk DPS bölgesinde veri yerleşimi sağlamak için özel uç noktaları kullanın.

Özel uç nokta ayarlama

Özel uç nokta ayarlamak için şu adımları izleyin:

  1. Azure portalında DPS kaynağınıza gidin.

  2. Hizmet menüsündeki Ayarlar'ın altında sekmesini seçin.

  3. Çalışma bölmesinde Özel erişim sekmesini ve ardından + Özel uç nokta oluştur'u seçin.

    Azure portalında DPS örneği için yeni bir özel uç nokta eklemeyi gösteren ekran görüntüsü.

  4. Özel uç nokta oluştur sayfasının Temel Bilgiler sekmesinde, aşağıdaki tabloda belirtilen bilgileri girin.

    Özel uç nokta oluşturma sayfasının Temel bilgiler sekmesini gösteren ekran görüntüsü.

    Saha Değer
    Abonelik Özel uç noktayı içerecek istenen Azure aboneliğini seçin.
    Kaynak Grubu Özel uç noktayı içerecek bir kaynak grubu seçin veya oluşturun.
    İsim Özel uç noktanız için bir ad girin.
    Ağ Arabirimi Adı İsterseniz, özel uç noktanızın ağ arabirimi için bir ad girin.
    Bölge Özel uç nokta için bölgeyi seçin. Seçilen bölge, sanal ağı içeren bölgeyle aynı olmalıdır, ancak DPS kaynağıyla aynı olması gerekmez.

    Özel uç noktanın işaret olduğu kaynağı yapılandırmak için İleri: Kaynak'ı seçin.

  5. Özel uç nokta oluştur sayfasının Kaynak sekmesinde, aşağıdaki tabloda belirtilen bilgileri girin.

    Özel uç nokta oluştur sayfasının Kaynak sekmesini gösteren ekran görüntüsü.

    Saha Değer
    Abonelik Henüz seçilmediyse, özel uç noktanızın işaret olduğu DPS kaynağını içeren Azure aboneliğini seçin.
    Kaynak türü Henüz seçilmediyse Microsoft.Devices/ProvisioningServices'i seçin.
    Kaynak Daha önce seçilmediyse, özel uç nokta ile eşleşen DPS kaynağını seçin.
    Hedef alt kaynak iotDps'yi seçin.

    İpucu

    Azure kaynağına kaynak kimliği veya diğer adla bağlan ayarıyla ilgili bilgiler bu makalenin Özel uç nokta iste bölümünde sağlanır.

    Özel uç nokta için sanal ağı yapılandırmak için İleri: Sanal Ağ'ı seçin.

  6. Özel uç nokta oluştur sayfasının Sanal Ağ sekmesinde, içinde özel uç nokta oluşturmak için sanal ağınızı ve alt ağınızı seçin.

    Özel uç nokta oluştur sayfasının Sanal Ağ sekmesini gösteren ekran görüntüsü.

    Özel uç noktanız için gereken özel DNS tümleştirme seçeneklerini belirlemek için İleri: DNS'yi seçin.

  7. Özel uç nokta oluştur sayfasının DNS sekmesinde, özel uç noktanız için gereken özel DNS tümleştirme seçeneklerini belirleyin.

    Özel uç nokta oluştur sayfasının DNS sekmesini gösteren ekran görüntüsü.

    İleri: Etiketler'i seçin ve isteğe bağlı olarak kaynağınız için herhangi bir etiket sağlayın.

  8. İleri: Gözden geçir + oluştur'u ve ardından Oluştur'u seçerek özel uç nokta kaynağınızı oluşturun.

Cihazlarla özel uç noktaları kullanma

Cihaz sağlama koduyla özel uç noktaları kullanmak için, sağlama kodunuzun, Azure portalındaki DPS örneğinizin genel bakış sayfasında gösterildiği gibi DPS örneğine özgü Hizmet uç noktasını kullanması gerekir. Hizmet uç noktası aşağıdaki forma sahiptir.

<Your DPS Tenant Name>.azure-devices-provisioning.net

Belgelerimizde ve SDK'larda gösterildiği gibi örnek kodun çoğu, belirli bir DPS örneğini çözümlemek için Genel cihaz uç noktasını (global.azure-devices-provisioning.net) ve Kimlik Kapsamını kullanır. Cihazlarınızı sağlamak için özel uç noktaları kullanarak bir DPS örneğine bağlanırken genel cihaz uç noktasının yerine hizmet uç noktasını kullanın.

Örneğin, Azure IoT C SDK'sında sağlama cihazı istemci örneği (pro_dev_client_sample), prov_dev_client_sample.c'de genel sağlama URI'si (global_prov_uri) olarak Genel cihaz uç noktasını kullanacak şekilde tasarlanmıştır

MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_RESULT, PROV_DEVICE_RESULT_VALUE);
MU_DEFINE_ENUM_STRINGS_WITHOUT_INVALID(PROV_DEVICE_REG_STATUS, PROV_DEVICE_REG_STATUS_VALUES);

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

}

PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
PROV_DEVICE_HANDLE prov_device_handle;
if ((prov_device_handle = Prov_Device_Create(global_prov_uri, id_scope, prov_transport)) == NULL)
{
    (void)printf("failed calling Prov_Device_Create\r\n");

Örneği özel uç noktayla kullanmak için, önceki örnekte vurgulanan kod DPS kaynağınızın hizmet uç noktasını kullanacak şekilde değiştirilir. Örneğin, hizmet uç noktanız ise mydps.azure-devices-provisioning.netkod aşağıdaki gibi görünür.

static const char* global_prov_uri = "global.azure-devices-provisioning.net";
static const char* service_uri = "mydps.azure-devices-provisioning.net";
static const char* id_scope = "[ID Scope]";

    PROV_DEVICE_RESULT prov_device_result = PROV_DEVICE_RESULT_ERROR;
    PROV_DEVICE_HANDLE prov_device_handle;
    if ((prov_device_handle = Prov_Device_Create(service_uri, id_scope, prov_transport)) == NULL)
    {
        (void)printf("failed calling Prov_Device_Create\r\n");
    }

Özel uç nokta isteme

Kaynak kimliğine göre DPS örneğine özel uç nokta isteyebilirsiniz. Bu isteği gerçekleştirmek için kaynak sahibinin size kaynak kimliğini sağlaması gerekir.

  1. Kaynak kimliği, aşağıdaki ekran görüntüsünde gösterildiği gibi Azure portalındaki DPS kaynağının Özellikler sayfasında sağlanır.

    Azure portalındaki bir DPS örneğinin Özellikler sayfasını gösteren ve DPS örneğinin kaynak kimliğini vurgulayan ekran görüntüsü.

    Dikkat

    Kaynak kimliği abonelik kimliğini içerir.

  2. Kaynak kimliğine sahip olduktan sonra, Özel uç nokta oluşturma sayfasının Kaynak sekmesindeki Özel uç nokta ayarlama adım 3'teki adımları izleyin. Azure kaynağına kaynak kimliğine veya diğer adına göre bağlan'ı seçin ve aşağıdaki tabloya bilgileri girin.

    Saha Değer
    Kaynak kimliği veya takma ad DPS kaynağının kaynak kimliğini girin.
    Hedef alt kaynak iotDps girin
    İstek iletisi DPS kaynak sahibi için bir istek iletisi girin.
    Örneğin
    Please approve this new private endpoint
    for IoT devices in site 23 to access this DPS instance

    Özel uç nokta için sanal ağı yapılandırmak için İleri: Sanal Ağ'ı seçin.

  3. Özel uç nokta oluştur sayfasının Sanal Ağ sekmesinde, içinde özel uç nokta oluşturmak için sanal ağınızı ve alt ağınızı seçin.

    Özel uç nokta oluştur sayfasının Sanal Ağ sekmesini gösteren ekran görüntüsü.

    Özel uç nokta isteğiniz için gereken özel DNS tümleştirme seçeneklerini seçmek için İleri: DNS'yi seçin.

  4. Özel uç nokta oluştur sayfasının DNS sekmesinde, özel uç nokta isteğiniz için gereken özel DNS tümleştirme seçeneklerini belirleyin.

    Özel uç nokta oluştur sayfasının DNS sekmesini gösteren ekran görüntüsü.

    İleri: Etiketler'i seçin ve isteğe bağlı olarak kaynağınız için herhangi bir etiket sağlayın.

  5. İleri: Gözden geçir + oluştur'u ve ardından Oluştur'u seçerek özel uç nokta isteğinizi oluşturun.

  6. DPS sahibi özel uç nokta isteğini, Azure portalındaki DPS örneğinin sayfasındaki Özel uç nokta bağlantıları listesinde görür. Bu sayfada, sahip özel uç nokta isteğini Onaylayabilir veya Reddedebilir .

    Azure portalında DPS örneğinin Ağ sayfasını gösteren ve özel uç nokta isteğini vurgulayan ekran görüntüsü.

Özel uç noktaları fiyatlandırma

Fiyatlandırma ayrıntıları için bkz. Azure Özel Bağlantı fiyatlandırma.

Sonraki adımlar

DPS güvenlik özellikleri hakkında daha fazla bilgi edinin:

  • Last updated on