你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

管理 IoT 中心的公用网络访问

  • 项目

重要

禁用公用网络访问将阻止使用 Device Update for IoT Hub。

若要仅允许专用终结点访问 VNet 中的 IoT 中心,请禁用公用网络访问。 为此,请使用 Azure 门户或 publicNetworkAccess API。 你还可使用门户或 publicNetworkAccess API 允许公共访问。

使用 Azure 门户禁用公用网络访问

  1. 转到 Azure 门户
  2. 导航到 IoT 中心。 转到“资源组”,选择相应的组,然后选择你的 IoT 中心。
  3. 从左侧菜单中选择“网络”。
  4. 在“允许公用网络访问”下,选择“已禁用”
  5. 选择“保存”。

显示在 Azure 门户中禁用公用网络访问的屏幕截图。

若要启用公用网络访问,请选择“所有网络”,然后选择“保存” 。

禁用公共网络访问后访问 IoT 中心

禁用公共网络访问后,只能使用 Azure 专用链接通过其 VNet 专用终结点访问 IoT 中心。 此限制包括通过 Azure 门户进行访问,因为对 IoT 中心服务的 API 调用是使用你的浏览器和凭据直接进行的。

禁用公共网络访问后的 IoT 中心终结点、IP 地址和端口

IoT 中心是一种多租户平台即服务 (PaaS),因此不同的客户共用相同的计算、网络和存储硬件资源池。 IoT 中心的主机名会映射到一个公共终结点,该终结点具有可通过 Internet 以公开方式路由的 IP 地址。 不同的客户将共享此 IoT 中心公共终结点,广域网和本地网络中的 IoT 设备均可对其进行访问。

强制禁用对特定 IoT 中心资源的公共网络访问,以确保隔离。 为了使服务对其他使用公共路径的客户资源保持活动状态,其公共终结点需保持可解析状态,IP 地址需保持可发现状态,端口需保持打开状态。 不必为此担忧,因为 Microsoft 集成了多层安全保护,可确保租户间完全隔离。 若要了解详细信息,请参阅 Azure 公有云中的隔离

筛选器

如果禁用了公用网络访问,则会忽略所有 IP 筛选器规则。 这是因为系统会阻止公共 Internet 中的所有 IP。 若要使用 IP 筛选器,请使用“所选 IP 范围”选项。

与事件中心兼容的内置终结点的 bug 修复

IoT 中心有一个 bug,即禁用对 IoT 中心的公用网络访问后,仍可通过公共 Internet 访问与事件中心兼容的内置终结点。 若要了解有关此 bug 的详细信息并就此问题与我们联系,请参阅禁用 IoT 中心的公用网络访问将禁止访问内置事件中心终结点

使用 Azure 门户启用网络访问

  1. 转到 Azure 门户
  2. 导航到 IoT 中心。 转到“资源组”,选择相应的组,然后选择你的 IoT 中心。
  3. 从左侧菜单中选择“网络”。
  4. 在“允许公用网络访问”下,选择“所选 IP 范围”。
  5. 在打开的“IP 筛选器”对话框中,选择“添加客户端 IP 地址”,并输入名称和地址范围。
  6. 选择“保存”。 如果按钮灰度,请确保客户端 IP 地址已添加为 IP 筛选器。

显示在 Azure 门户中启用公用网络访问的屏幕截图。

打开所有网络范围

  1. 导航到 IoT 中心。 转到“资源组”,选择相应的组,然后选择你的 IoT 中心。
  2. 从左侧菜单中选择“网络”。
  3. 在“允许公用网络访问”下,选择“所有网络”。
  4. 选择“保存”。

使用 Cloud Shell 检查 IoT 中心访问

可以使用 Azure Cloud Shell 检查 IoT 中心访问。 请确保已打开所有网络范围,然后发出以下命令。 将“SubscriptionName”替换为你的订阅的名称,将“MyIoTHub”替换为你的 IoT 中心的名称。

  az account set -s "SubscriptionName"
  az iot hub device-identity list --hub-name "MyIoTHub"

  Set-AzContext -Name "SubscriptionName"
  Get-AzIoTHubDevice -IotHubName "MyIoTHub"

故障排除

如果在访问 IoT 中心时遇到问题,则网络配置可能是问题所在。 例如,如果在尝试访问 IoT 设备页时看到以下错误消息,请检查“网络”页,看看公用网络访问是已禁用,还是已限制为所选 IP 范围。

  Unable to retrieve devices. Please ensure that your network connection is online and network settings allow connections from your IP address.

在尝试使用其他工具(如 Azure CLI)访问 IoT 中心时,如果请求未正确路由到 IoT 中心,则错误消息可能会包含 {"errorCode": 401002, "message": "Unauthorized"}

若要访问 IoT 中心,请向 IT 管理员请求权限,将你的 IP 地址添加到 IP 地址范围或启用对所有网络的公共网络访问权限。 如果这无法解决问题,请检查本地网络设置或联系本地网络管理员,修复与 IoT 中心的连接。 例如,有时本地网络中的代理会干扰对 IoT 中心的访问。

如果上述命令不起作用,或者你无法打开所有网络范围,请联系 Microsoft 支持部门。