分享方式:

IoT 中樞利用 Azure Private Link 支援虛擬網路

  • 文章

根據預設,IoT 中樞的主機名稱會使用可透過網際網路公開路由所傳送 IP 位址來對應至公用端點。 不同客戶會共用此 IoT 中樞公用端點,且廣域網路和內部部署網路中的 IoT 裝置全部都可進行存取。

Diagram of IoT Hub public endpoint.

部分 IoT 中樞功能 (包括訊息路由檔案上傳大量裝置匯入/匯出) 也需要從 IoT 中樞透過其公用端點連線到客戶擁有的 Azure 資源。 這些連線路徑會構成從 IoT 中樞到客戶資源的輸出流量。

基於數個原因,您可能會想透過所擁有和操作的 VNet,限制對 Azure 資源 (包括 IoT 中樞) 的連線,理由包括:

  • 藉由防止對公用網際網路公開連線,為 IoT 中樞引進網路隔離。

  • 啟用來自內部部署網路資產的私人連線,以確保資料和流量會直接傳輸到 Azure 骨幹網路。

  • 防止來自敏感性內部部署網路的外洩攻擊。

  • 遵循使用私人端點建立的全 Azure 連線模式。

本文描述如何使用 Azure Private Link 輸入連線到 IoT 中樞,並使用信任的 Microsoft 服務例外從 IoT 中樞輸出連線到其他 Azure 資源來達成這些目標。

私人端點是在客戶所擁有 VNet 內配置的私人 IP 位址,可藉此連線到 Azure 資源。 透過 Azure Private Link,您可為 IoT 中樞設定私人端點,以允許 VNet 內的服務連線到 IoT 中樞,而無須將流量傳送至 IoT 中樞的公用端點。 同樣地,內部部署裝置可使用虛擬私人網路 (VPN)ExpressRoute 對等互連,透過其私人端點連線至 VNet 和 IoT 中樞。 因此,您可使用 IoT 中樞 IP 篩選器公用網路存取切換,限制或完全封鎖 IoT 中樞公用端點的連線。 此方法會使用使用裝置的私人端點以與中樞保持連線。 此設定主要是針對內部部署網路內的裝置。 若是部署在廣域網路中的裝置,則不建議此設定。

Diagram of IoT Hub virtual network ingress.

請確定符合下列先決條件,再繼續進行:

設定用於 IoT 中樞輸入的私人端點

私人端點適用於 IoT 中樞裝置 API (例如裝置到雲端的訊息) 以及服務 API (例如建立和更新裝置)。

  1. Azure 入口網站中,瀏覽至您的 IoT 中樞。

  2. 選取 [網路]>[私人存取],然後選取 [建立私人端點]

    Screenshot showing where to add private endpoint for IoT Hub.

  3. 提供訂用帳戶、資源群組、名稱和區域以建立新私人端點。 在理想情況下,私人端點應與您的中樞建立於相同區域。

  4. 選取 [下一步:資源],並提供 IoT 中樞資源的訂用帳戶,然後選取 [Microsoft.Devices/IotHubs] 作為資源類型、選取您的 IoT 中樞名稱作為 [資源],並選取 [iotHub] 作為 [目標子資源]。

  5. 選取 [下一步:設定],並提供要在其中建立私人端點的虛擬網路和子網路。 如有需要,請選取與 Azure 私人 DNS 區域整合的選項。

  6. 選取 [下一步:標籤],並為資源選擇性提供任意標籤。

  7. 選取 [檢閱 + 建立] 以建立私人連結資源。

內建事件中樞相容端點

內建事件中樞相容端點也可以透過私人端點存取。 設定私人連結時,您應該會看到內建端點的其他私人端點連線。 這是 FQDN 中含有 servicebus.windows.net 的連線。

Screenshot showing two private endpoints given each IoT Hub private link

IoT 中樞的 IP 篩選器可以選擇性地控制對內建端點進行公用存取。

若要完全封鎖 IoT 中樞的公用網路存取,請關閉公用網路存取,或使用 IP 篩選器來封鎖所有 IP,然後選取將規則套用至內建端點的選項。

如需價格詳細資料,請參閱 Azure Private Link 價格

從 IoT 中樞輸出連線到其他 Azure 資源

IoT 中樞可連線到 Azure Blob 儲存體、事件中樞、服務匯流排資源,以透過資源的公用端點進行訊息路由檔案上傳大量裝置匯入/匯出。 將資源繫結至 VNet 預設會封鎖與資源的連線。 因此,此設定可防止 IoT 中樞將資料傳送至資源。 若要修正此問題,請透過 [信任的 Microsoft 服務] 選項,啟用從 IoT 中樞資源到儲存體帳戶、事件中樞或服務匯流排資源的連線。

若要允許其他服務作為信任的 Microsoft 服務來尋找 IoT 中樞,則您的中樞必須使用受控識別。 佈建受控識別之後,請將權限授與您中樞的受控識別,以存取您的自訂端點。 遵循 IoT 中樞中的受控識別支援來佈建具有 Azure 角色型存取控制 (RBAC) 權限的受控識別,並將自訂端點新增至您的 IoT 中樞。 如果您已備妥防火牆設定,請務必開啟受信任的 Microsoft 協力廠商例外狀況,以允許您的 IoT 中樞存取自訂端點。

受信任的 Microsoft 服務選項的定價

信任的 Microsoft 第一方服務例外功能為免費。 但佈建的儲存體帳戶、事件中樞或服務匯流排資源則會另外收取費用。

下一步

請使用下列連結深入瞭解 IoT 中樞功能: