你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将传感器连接到 Azure 的方法
本文是介绍使用 Microsoft Defender for IoT 进行 OT 监视的部署路径的系列文章之一。
使用以下内容了解将 Defender for IoT 传感器连接到云中 Azure 门户所支持的体系结构和方法。
网络传感器连接到 Azure,以提供有关检测到的设备、警报和传感器运行状况的数据,以及访问威胁情报包等。 例如,连接的 Azure 服务包括 IoT 中心、Blob 存储、事件中心、Aria 和 Microsoft 下载中心。
所有连接方法都提供:
提高了安全性,无需额外的安全配置。 使用特定的安全终结点连接到 Azure,无需任何通配符。
加密,传输层安全性 (TLS1.2/AES-256) 在传感器和 Azure 资源之间提供加密通信。
可伸缩性(适用于仅在云中受支持的新功能)
重要
为了确保网络已准备就绪,建议首先在实验室或测试环境中运行连接,以便可以放心地验证 Azure 服务配置。
选择传感器连接方法
使用本节帮助确定哪种连接方法适合已连接云的 Defender for IoT 传感器。
如果出现如下情况 | ... 然后使用 |
---|---|
- 你希望将传感器直接连接到 Azure | 直接连接 |
- 传感器需要通过代理从 OT 网络访问云,或者 - 你希望通过单个接入点将多个传感器连接到 Azure |
使用代理链接进行代理连接 |
- 需要在传感器与 Azure 之间建立专用连接 - 站点通过 ExpressRoute 连接到 Azure,或者 - 站点通过 VPN 连接到 Azure |
使用 Azure 代理进行代理连接 |
- 在多个公有云中托管了传感器 | 多云连接 |
注意
虽然大多数连接方法仅与 OT 传感器相关,但直接连接也用于企业 IoT 传感器。
直接连接
下图显示了如何直接从远程站点通过 Internet 将传感器连接到 Azure 中的 Defender for IoT 门户,而不遍历企业网络。
使用直接连接:
任何直接通过 Internet 或 Azure ExpressRoute 连接到 Azure 数据中心的传感器都有到 Azure 数据中心的安全加密连接。 传输层安全性 (TLS1.2/AES-256) 在传感器和 Azure 资源之间提供始终打开的通信。
传感器会启动到 Azure 门户的所有连接。 仅从传感器启动连接可保护内部网络设备,使之不接受未经请求的入站连接,但也意味着无需配置任何入站防火墙规则。
有关详细信息,请参阅预配传感器以进行云管理。
使用代理链接进行代理连接
下图显示了如何使用不同级别的 Purdue 模型和企业网络层次结构,通过多个代理将传感器连接到 Azure 中的 Defender for IoT 门户。
此方法支持通过直接 Internet 访问、专用 VPN 或 ExpressRoute 连接你的传感器,传感器将建立 SSL 加密隧道,通过多个代理服务器将数据从传感器传输到服务终结点。 代理服务器不进行任何数据检查、分析或缓存。
客户负责通过代理链接设置和维护第三方代理服务,Microsoft 不为其提供支持。
有关详细信息,请参阅通过代理链接进行连接。
使用 Azure 代理进行代理连接
下图显示了如何通过 Azure VNET 中的代理将传感器连接到 Azure 中的 Defender for IoT 门户。 此配置可确保传感器和 Azure 之间所有通信的机密性。
根据网络配置,可以通过 VPN 连接或 ExpressRoute 连接访问 VNET。
此方法使用 Azure 中托管的代理服务器。 为了处理负载均衡和故障转移,代理配置为在负载均衡器后面进行自动缩放。
有关详细信息,请参阅通过 Azure 代理进行连接。
多云连接
可以从其他公有云将传感器连接到 Azure 中的 Defender for IoT 门户,以监视 OT/IoT 管理过程。
根据环境配置,可以使用以下方法之一进行连接:
使用客户管理的路由的 ExpressRoute
云交换提供商的 ExpressRoute
基于 Internet 的站点到站点 VPN。
有关详细信息,请参阅通过多云供应商进行连接。