你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
在 IoT Central 中使用专用终结点的网络安全
使用公共 URL 访问用于设备连接的标准 IoT Central 终结点。 具有有效标识的任何设备都可以从任何位置连接到 IoT Central 应用程序。
使用专用终结点来限制和保护与 IoT Central 应用程序的设备连接,只允许通过专用虚拟网络进行访问。
专用终结点使用虚拟网络地址空间中的专用 IP 地址,将设备以私密方式连接到 IoT Central 应用程序。 虚拟网络和 IoT 平台上的设备之间的网络流量将穿过虚拟网络以及 Microsoft 主干网络上的专用链接,因此不会在公共 Internet 上公开。
若要详细了解 Azure 虚拟网络,请参阅:
在 IoT Central 应用程序中使用专用终结点,可以实现:
- 通过将防火墙配置为阻止公共终结点上的所有设备连接来保护群集。
- 通过启用保护虚拟网络上的数据来提高虚拟网络的安全性。
- 通过使用 VPN 网关或 ExpressRoute 专用对等互连,将设备从连接到虚拟网络的本地网络安全地连接到 IoT Central。
在 IoT Central 中使用专用终结点适用于连接到本地网络的设备。 不应将专用终结点用于在广域网络(如 Internet)中部署的设备。
什么是专用终结点?
专用终结点是虚拟网络中 Azure 服务的一个特殊网络接口,它被分配了来自虚拟网络 IP 地址范围的 IP 地址。 专用终结点在虚拟网络上的设备与它们所连接到的 IoT 平台之间提供安全的连接。 专用终结点与 Azure IoT 平台之间的连接使用安全的专用链接:
连接到虚拟网络的设备可以通过专用终结点无缝连接到群集。 授权机制与用于连接到公共终结点的机制相同。 不过,你需要更新 DPS 连接 URL,因为在对你的应用程序禁用公共网络访问时,全局预配主机 global.azure-devices-provisioning.net URL 不会进行解析。
为虚拟网络中的群集创建专用终结点时,订阅所有者会发送许可请求以供审批。 如果请求创建专用终结点的用户也是订阅的所有者,此请求会自动获得批准。 订阅所有者可以在 Azure 门户中的“专用终结点”下管理群集的同意请求和专用终结点。
每个 IoT Central 应用程序均可支持多个专用终结点,每个终结点均可位于不同区域的虚拟网络中。 如果你计划使用多个专用终结点,请特别小心配置 DNS 并规划虚拟网络子网的大小。
规划虚拟网络中子网的大小
创建子网后,无法更改虚拟网络中子网的大小。 因此,请务必规划子网的大小,为将来的增长预留空间。
在专用终结点部署过程中,IoT Central 会创建多个客户可见的 FQDN。 除了 IoT Central 的 FQDN 外,还存在用于基础 IoT 中心、事件中心和设备预配服务资源的 FQDN。
IoT Central 专用终结点使用虚拟网络和子网中的多个 IP 地址。 此外,根据应用程序的负载配置文件,IoT Central 会自动缩放基础 IoT 中心,因此专用终结点使用的 IP 地址数量可能会增加。 在确定子网的大小时,要计划这种可能的增加。
使用以下信息可帮助确定子网中所需 IP 地址的总数:
| 用途 | 每个专用终结点的 IP 地址数 |
|---|---|
| IoT Central URL | 1 |
| 基础 IoT 中心 | 2-50 |
| 与 IoT 中心对应的事件中心 | 2-50 |
| 设备预配服务 | 1 |
| Azure 保留地址 | 5 |
| 总计 | 11-107 |
有关详细信息,请参阅 Azure 虚拟网络常见问题解答。
注意
子网的最小大小为 /28(14 个可用 IP 地址)。 建议与 IoT Central 专用终结点 /24 一起使用,有助于处理极端工作负荷。
后续步骤
现在,你已了解如何使用专用终结点将设备连接到应用程序,下面是建议的后续步骤: