使用私人端點的IoT Central網路安全性
使用公用 URL 存取裝置連線的標準 IoT Central 端點。 任何具有有效身分識別的裝置都可以從任何位置連線到 IoT Central 應用程式。
使用私人端點來限制和保護IoT Central應用程式的裝置連線能力,並且只允許透過您的專用虛擬網路進行存取。
私人端點會使用虛擬網路位址空間的私人 IP 位址,將裝置私下連線至 IoT Central 應用程式。 虛擬網路上的裝置和 IoT 平台之間的網路流量,會流經虛擬網路和 Microsoft 骨幹網路上的私人連結,以排除公開至網際網路的風險。
若要深入瞭解 Azure 虛擬網絡,請參閱:
IoT Central 應用程式中的私人端點可讓您:
- 設定防火牆來封鎖公用端點上的所有裝置連線,以保護您的叢集。
- 藉由讓您保護虛擬網路上的數據,以提高虛擬網路的安全性。
- 使用 VPN 閘道 或 ExpressRoute 私人對等互連,從連線到虛擬網路的內部部署網路安全地將裝置連線到 IoT Central。
在 IoT Central 中使用私人端點適用於連線到內部部署網路的裝置。 您不應該將私人端點用於部署在廣域網中的裝置,例如因特網。
什麼是私人端點?
私人端點是虛擬網路中 Azure 服務的特殊網路介面,其會從虛擬網路的 IP 位址範圍指派 IP 位址。 私人端點可在虛擬網路上的裝置與其連線的IoT平臺之間提供安全的連線。 私人端點與 Azure IoT 平台之間的聯機會使用安全的私人連結:
線上至虛擬網路的裝置可以透過私人端點順暢地連線到叢集。 授權機制與您用來連線至公用端點的授權機制相同。 不過,您必須更新 DPS 連線 URL,因為當應用程式停用公用網路存取時,全域布建主機 global.azure-devices-provisioning.net URL 不會解析。
當您在虛擬網路中建立叢集的私人端點時,會傳送同意要求以供訂用帳戶擁有者核准。 如果要求建立私人端點的使用者也是訂用帳戶的擁有者,則會自動核准要求。 訂用帳戶擁有者可以在 Azure 入口網站 的 [私人端點] 下管理叢集的同意要求和私人端點。
每個 IoT Central 應用程式都可以支援多個私人端點,每個端點都可以位於不同區域的虛擬網路中。 如果您打算使用多個私人端點,請特別小心設定 DNS 並規劃虛擬網路子網的大小。
規劃虛擬網路中的子網大小
建立子網之後,就無法改變虛擬網路中的子網大小。 因此,請務必規劃子網的大小,並允許未來成長。
IoT Central 會在私人端點部署中建立多個客戶可見的 FQDN。 除了適用於IoT Central的 FQDN 之外,還有基礎 IoT 中樞、事件中樞和裝置布建服務資源的 FQDN。
IoT Central 私人端點會使用來自虛擬網路和子網的多個IP位址。 此外,根據應用程式的負載配置檔,IoT Central 會自動調整其基礎 IoT 中樞,因此私人端點所使用的IP位址數目可能會增加。 當您決定子網的大小時,請規劃此可能增加。
使用下列資訊來協助判斷子網中所需的IP位址總數:
| 使用 | 每個私人端點的IP位址數目 |
|---|---|
| IoT Central URL | 1 |
| 基礎 IoT 中樞 | 2-50 |
| 對應至IoT中樞的事件中樞 | 2-50 |
| 裝置佈建服務 | 1 |
| Azure 保留位址 | 5 |
| 總數 | 11-107 |
若要深入瞭解,請參閱 Azure 虛擬網絡 常見問題。
注意
子網的大小下限是 /28 (14 個可用IP位址)。 建議搭配IoT Central私人端點 /24 使用,以協助極端工作負載。
下一步
既然您已瞭解如何使用私人端點將裝置連線到您的應用程式,以下是建議的下一個步驟: