使用私人端點的 IoT Central 網路安全性
使用公用 URL 存取裝置連線的標準 IoT Central 端點。 所有具備有效身分識別的裝置,都可以從任何位置連線到您的 IoT Central 應用程式。
使用私人端點來限制和保護 IoT Central 應用程式的裝置連線,並且只允許透過私人虛擬網路進行存取。
私人端點會使用虛擬網路位址空間的私人 IP 位址,將裝置私下連線到 IoT Central 應用程式。 虛擬網路上的裝置和 IoT 平台之間的網路流量,會流經虛擬網路和 Microsoft 骨幹網路上的私人連結,以排除公開網際網路的風險。
若要深入了解 Azure 虛擬網路,請參閱:
IoT Central 應用程式中的私人端點可讓您:
- 設定防火牆來封鎖公用端點上的所有裝置連線,藉此保護您的叢集。
- 藉由讓您保護虛擬網路上的資料,以提高虛擬網路的安全性。
- 使用 VPN 閘道或 ExpressRoute 私人對等互連,從連線至虛擬網路的內部部署網路,安全地將裝置連線到 IoT Central。
IoT Central 中的私人端點適用於已連線至內部部署網路的裝置。 請勿將私人端點用於已在廣域網路 (例如網際網路) 中部署的裝置。
什麼是私人端點?
私人端點是虛擬網路中 Azure 服務的特殊網路介面,也是虛擬網路 IP 位址範圍中的已指派 IP 位址。 私人端點可在虛擬網路的裝置,以及裝置所連線的 IoT 平台之間提供安全連線。 私人端點與 Azure IoT 平台之間的連線會使用安全私人連結:
連線到虛擬網路的裝置,可以透過私人端點順暢地連線到叢集。 其授權機制與您用來連線到公用端點的授權機制相同。 不過,您需要更新 DPS 連線 URL,因為當應用程式停用公用網路存取時,全域佈建主機 global.azure-devices-provisioning.net URL 就不會進行解析。
當您在虛擬網路中建立叢集的私人端點時,會傳送同意要求以供訂用帳戶擁有者核准。 如果要求建立私人端點的使用者,同時也是訂用帳戶的擁有者,則系統會自動核准此要求。 訂用帳戶擁有者可以在 Azure 入口網站的 [私人端點] 底下,管理叢集的同意要求和私人端點。
每個 IoT Central 應用程式都可以支援多個私人端點,每個端點都可以位於不同區域的虛擬網路中。 如果您預計使用多個私人端點,請謹慎地設定 DNS,並規劃虛擬網路的子網路大小。
規劃虛擬網路中的子網路大小
建立子網之後,就無法改變虛擬網路中的子網大小。 因此請務必以未來成長需求作為考量,來規劃子網路的大小。
IoT Central 會在私人端點的部署過程中,建立多個客戶可見的 FQDN。 除了適用於 IoT Central 的 FQDN 之外,還有適用於基礎 IoT 中樞、事件中樞和裝置佈建服務資源的 FQDN。
IoT Central 私人端點會使用虛擬網路和子網路的多個 IP 位址。 此外,IoT Central 會根據應用程式的負載設定檔,自動調整其基礎 IoT 中樞,因此私人端點所用的 IP 位址數目可能會增加。 當您規劃子網路的大小時,請將此增加可能性一併納入考量。
您可以透過下列資訊判斷子網路所需的 IP 位址總數:
| 使用 | 每個私人端點的 IP 位址數目 |
|---|---|
| IoT Central URL | 1 |
| 基礎 IoT 中樞 | 2-50 |
| 對應至 IoT 中樞的事件中樞 | 2-50 |
| 裝置佈建服務 | 1 |
| Azure 保留位址 | 5 |
| 總計 | 11-107 |
若要深入了解,請參閱 Azure 虛擬網路常見問題。
注意
子網路大小的下限為 /28 (14 個可用 IP 位址)。 建議您搭配使用 IoT Central 私人端點 /24,以協助處理極端的工作負載。
下一步
現在您已了解如何使用私人端點來將裝置連線到應用程式,以下是建議的下一個步驟: